일일 보안이슈
아이폰 권한상의 헛점으로 인한 제한적 위치 추적 가능
스마트폰으로 사진을 찍을 때, 찍은 위치 태그를 이미지에 표시할 수 있음. 이를 가져오는 iOS 어플리케이션을 만들고, 상대적으로 낮은 이미지 관련 권한만 얻으면, 아이폰 로컬에 저장된 이미지들로부터 위치 태그를 가져와 사용자의 이동경로를 추적할 수 있는 방식. Felix Krause 가 처음 발견. 이는 iOS 가 사진을 단순히 선택할 수 있는 권한과, 사진을 수정 및 관리할 수 있는 권한을 분리하지 않아 발생. 모두 동일한 사진에 대한 권한으로 취급된다. 악성 앱은 단순 사진관리앱으로 위장해 사용자의 위치를 추적할 수 있는 것. 이를 활용한 시연앱은 AppStore 에서 확인 가능. 이 앱의 소스코드. 기사원문
윈도우즈 디펜더 우회가능한 Illusion Gap 공격 기법
CyberArk 의 보안연구원은 WIndows Defender 를 우회하게 해주는 새로운 공격기법 Illusion Gap 에 대한 내용을 발표. 모든 윈도우OS 에서 동작가능하다. 사회공학 기법과 악성(rogue) SMB 서버를 함께 활용해 구현 가능. Illusion Gap 은 윈도우즈 디펜더가 SMB 공유폴더에 저장된 파일을 실행하기 전 검사하는 방식을 공략한다.
사용자가 SMB 서버에 저장된 실행파일을 더블클릭 하면, 사용자측 OS 는 SMB 서버에 해당 실행파일의 프로세스 생성작업을 위해 파일의 복사본을 요청한다. 이 와중에 디펜더는 해당 파일을 스캔하기 위한 복사본을 또 요청. SMB 서버측은 이 두개의 복사본요청을 구분할 수 있기에, rogue SMB 서버는 실행용 복사본 요청에는 악성파일을, 검사용 복사본 요청에는 정상파일을 전송(혹은 차단) 할 수 있다.
MS 는 이를 보안이슈로 취급하진 않는 모양. 아래는 이 기법을 발견한 사람이 MS에 보고한 내용에 대한 답변 원문과 시연영상.
Thanks for your email. Based on your report, successful attack requires a user to run/trust content from an untrusted SMB share backed by a custom server that can change its behavior depending on the access pattern. This doesn’t seem to be a security issue but a feature request which I have forwarded to the engineering group.
Thanks again for reporting security issues to Microsoft responsibly and we appreciate your effort in doing so.
복붙 한 악성코드로 63K$ 의 수익을 올린 모네로 마이너
익명의 악성코드 개발자(혹은 개발자들)이 지난 5개월간 패치하지 않은 IIS 6.0 서버를 해킹, 모네로코인을 채굴해 63000$의 수익을 올린것으로 밝혀졌다. 사용된 취약점은 큰 이슈를 끌었던 CVE-2017-7269, 지난 3월에 0-day 로 발표된 IIS 6.0 WebDAV 에 존재하는 바로 그 취약점이다. 기사원문
아이폰7 대상 와이파이를 활용한 공격
구글 project Zero 는 지난 화요일 아이폰7의 와이파이 칩셋인 Broadcom 칩셋 펌웨어에 존재하는 RCE 취약점에 대한 내용을 발표. (현재 패치됨) 버그리포트 와 기사원문 그리고 Project Zero 의 관련 연재글
