일일 보안이슈
ExploitAlert
Microsoft Windows Kernel win32k!NtGdiDoBanding Stack Memory Disclosure
Microsoft Windows Kernel win32k.sys TTF Font Buffer Overflow
Microsoft Windows Kernel win32k!NtQueryCompositionSurfaceBinding Stack Memory Disclosure
SUSE/Portus 2.2 XSS
ZKTeco ZKTime Web 2.0.1.12280 XSRF
해커가 비트코인지갑을 탈취하는 방법 시연
보안연구원들은 지난 수년간 SS7(Signaling System 7)에 있는 해커가 개인 통화 및 문자 메시지를 감청할 수 있는 치명적 이슈에대해 경고해왔다. 이에대한 해결방안이 나온지 수년이 됐지만 글로벌 휴대폰 사업자들은 이 이슈에 별 관심을 갖지 않아왔다. 왜냐하면 SS7 취약점을 익스플로잇하는건 고난도의 기술과 재정적 투자가 필요해 일반인들이 걱정할 정도가 아니었기 때문. 그런데 올해 초 이를 활용한 실 공격이 관찰됐다. 해커들이 은행계좌를 탈취하는데 이 취약점을 이용한것. 공격대상에게 발송된 멀티벡터 인증코드(1차 비밀번호, 2차 OTP 등)를 탈취, 해커에게 리디렉션 하는 방식으로 이뤄졌다.
이런 사건도 네트워크 사업자의 주목을 끌기에 부족했는지, Positive Technologies 는 해커가 SS7 취약점을 이용해 비트코인 지갑을 탈취하는 시연을 선보여. 기사원문
안드로이드 악성코드 Red Alert 2.0 해킹포럼 판매중
보안업체 SfyLabs 는 신종 안드로이드 파밍 악성코드가 다크웹에서 500$/월 에 거래되는것을 발견. Red Alert 2.0으로 명명. BankBot ExoBot 등 다른 파밍 악성코드가 소스코드가 공개된 기존 파밍 악성코드에 기반한것과 달리, Red Alert 2.0 은 모든 코드를 자체 개발한 것으로 보여. 은행으로부터 걸려오는 전화 차단기능 등이 존재. 트위터를 백업 및 C2 인프라로 활용한다. 기사원문
Equifax 캐나다인 10만명 정보 유출
화요일 Equifax 의 유출사고는 캐나다인 약 10만명에게 영향을 끼치지만 캐나다 소재의 본사 시스템에 침투흔적은 발견되지 않았다. 미국의 경우와 유사하게 유출된 정보는 이름, 주소, 사회보장번호, 그리고 부분적으로 신용카드 번호로 알려져. Equifax 공지 공격에는 Qpache Struts 2 취약점이 활용된것으로 보인다고. 기사원문
안드로이드용 Anti-Virus 앱 사용자 데이터 수집
수천만명의 안드로이드 사용자 데이터가 Google Play 를 통해 배포된 보안 프로그램을 통해 수집된것으로 보인다고 Check Point 는 경고했다. DU Antivirus Security 란 이름의 이 앱은 개발자가 데이터 수집코드를 삭제할 때(8월 28일) 까지 1000만~5000만 다운로드를 기록. 데이터 수집행위는 최초 실행 시에만 한 번 동작. 수집정보에는 기기식별번호, 연락처 목록, 통화기록, 기기 위치 등이 포함. 이후 수집된 정보는 수신전화 정보를 출력하는 같은 개발사(DU group)에서 개발한 다른 앱 Caller ID & Call Block – DU Caller 에 활용된다고. DU group 은 중국소재 보안(?)기업. 기사원문
iTerms2 출력결과 DNS 요청을 통해 유출 가능할 수 있어
Apple 공식 터미널 프로그램을 대체한 유명 맥 어플리케이션 iTerm2 가 터미널 컨텐츠를 DNS 요청을 통해 유출할 수 있는 취약점이 최근 패치됐다. 3.1.1 버전은 3.0.0 에 추가됐었고 기본 enable 상태인 기능을 비활성화. 이 기능은 “Perform DNS lookups to check if URLs are valid?” 하는 기능. 즉, 터미널상 URL로 보이는 텍스트가 있으면 DNS 검색을 통해 실제 동작하는 링크인지 확인하고, 클릭가능한 링크로 바꿔주는 역할을 한다. 문제는 DNS 검색을 보내는 타이밍이 마우스 커서가 해당 택스트 위로 지나갈 때 라는것. 부분적으로 터미널 내용을 유출할 여지가 남아있다. 웹서비스를 통해 API 키를 GET 방식으로 사용하는 경우가 많은데, 만약 이 URL 로 보이는 텍스트에 비밀번호와 API 키 등이 포함돼있다면…? 현재는 기본 disabled 로 패치. 기사원문
모네로 채굴하는 크롬 확장 플러그인
14만명의 사용자를 갖고 있는 크롬 확장 플러그인 SafeBrowse 은 최근 플러그인에 모네로 코인을 채굴하는 JavaScript 를 사용자 동의 없이 포함시켰다. 이로인해 무단으로 사용자 CPU 리소스를 점유. Pirate Bay 가 사용한 방법과 동일한 방법을 사용했다. 현재는 플러그인 샵에서 차단된 상태. 기사원문 그리고 xd4rker 란 사용자는 동일한 형태의 웹 기반 채굴코드를 차단토록 개발한 코드를 Github에 공개
MS Word 의 Undocumented 기능을 활용한 fingerprinting 기법
Kaspersky는 최근 MS Word 의 문서화되지 않은 기능을 이요해 PC를 식별할 수 있는 기법에 관한 보고서를 발표. 피싱메일 첨부파일을 통해 유포되는 이 악성문서는 OLE2 파일포맷을 갖고 내부에 PHP 웹서버의 링크가 포함되어 있다.
정상 광고 배너등에서 사용자 맞춤광고 출력을 위해 사용자를 식별하는 것은 널리 사용되는 기능. 문제는 수집하는 정보의 범위와 동의여부. 이 악성워드문서는 어떤 매크로, 액티브 컨텐츠도 포함하고 있지 않지만, 문서를 여는것 만으로도 문서를 연 PC를 fingerprinting 할 수 있다. 공격방식은 undocumented 필드인 INCLUDEPICTURE 를 활용하는것. 이 필드는 이미지가 텍스트의 특정 문자에 첨부됐음(?)을 나타낸다. 공격자는 이 필드에 PHP 웹서버 링크를 포함시키고, word 실행시 GET 요청이 발생하는 원리. 기사원문
