IBM의 데이터 위험 관리자에서 장비 장악 취약점 발견돼

수집 날짜

2020-04-23

원문 링크

https://www.boannews.com/media/view.asp?idx=87768&kind=4&sub_kind=

내용 요약

IBM 데이터 위험 관리자(IBM Data Risk Manager, IDRM)에서 4가지 취약점이 발견됐고 악용할경우 공격자가 인증과정을 거치지 않고 루트에서 원격 코드 실행 공격을 할수 있다. 개념 증명용 익스플로잇이 이미 존재하나 IBM은 아직 패치를 발표하지 않았다.

IDRM은 소프트웨어 플랫폼으로 위협이 될 만한 데이터를 전혀 다른 보안 시스템에서 수집, 통합해 전 조직적인 보안 위험 분석을 실시한다. 취약점이 발견된 버전은 IDRM 리눅스(IDRM Linux) 가상기기 2.0.1~2.0.3 버전이며 인증 우회, 명령 주입, 디폴트 비밀번호, 임의 파일 다운로드와 관련된 취약점이 발견됐다.

코로나19로 관심 늘어난 ‘마스크’ 노린 APT 공격... 코니 그룹 추정

수집 날짜

2020-04-23

원문 링크

https://www.boannews.com/media/view.asp?idx=87744&kind=&sub_kind=

내용 요약

보안 전문 기업 이스트 시큐리티에서 4/22일 마스크 관련 정보 문서로 위장한 악성 문서가 유포 되고 있으며 특정 정부 후원을 받는 것으로 추정되는 APT 그룹 '코니(Konni)'의 소행으로 추정된다고 밝혔다. 해당 문서는 워드형식이며 문서 실행시 PC에 악성코드가 실행되고 주요 정보가 탈취 될수 있다.

해당 악성문서는 한국어 기반의 시스템 환경에서 4월 21일에 생성된 것으로 추정되며 활용된 공격 벡터와 코드 기법 등을 분석한 결과 코니(Konni) 조직으로 확인됐다. 악성 문서는 ‘guidance’라는 파일명을 사용하고 있다. 이 악성 문서를 열어보면 최초에는 문서 내용이 제대로 보이지 않으며, 문서 내용 확인을 위해 상단에 나타난 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도한다. 악성 매크로 코드가 동작하며, 사용자 몰래 자동으로 추가 파일을 실행한다. 이후 공격자의 명령제어(이하 C2)서버에서 추가로 악성 파일을 다운로드해 사용자 정보를 탈취하는 기능을 가진 최종 악성코드를 설치한다. 악성코드가 설치될 경우 공격자가 지정한 FTP로 감염된 PC의 시스템 정보와 실행 중인 응용프로그램, 관련 작업, 프로세스 목록 정보가 업로드 되며, 명령제어(C&C) 서버를 통한 추가 공격 명령도 수행할 수 있게 된다.

오픈SSL에서 고위험군에 속하는 디도스 취약점 발견돼

수집 날짜

2020-04-23

원문 링크

https://www.boannews.com/media/view.asp?idx=87739&page=1&kind=1

내용 요약

오픈SSl(OpenSSL)에서 취약점 패치 업데이트를 발표했다.

CVE-2020-1967 : SSL_check_chain 함수에 있는 ‘세그멘테이션 오류(segmentation fault)

발견됐던 취약점은 익스플로잇할 경우 디도스 공격을 가능하게 해주는 취약점이었다. 취약점이 발견된 오픈SSL 버전은 1.1.1d, 1.1.1e, 1.1.1f인 것으로 알려져 있다. 패치가 적용되어 문제가 모두 해결된 버전은 1.1.1g라고 한다. 더 이상 업데이트가 되지 않는 버전인 1.0.2와 1.1.0의 경우, 다행히 위 오류가 발견되지 않고 있다.

 * 오픈SSL 프로젝트가 발표한 권고문 요약(https://www.openssl.org/news/secadv/20200421.txt)

TLS 1.3 핸드셰이크가 발생하는 와중이나 이후에 SSL_check_chain() 함수를 호출하는 서버나 클라이언트 애플리케이션들은 NULL 포인터 역참조로 인해 작동이 중단될 수 있다. signature_algoriths_cert라는 TLS 엑스텐션을 잘못 처리하기 때문에 발생한다. 또한부적절하거나 인식 불가능한 시그니처 알고리즘이 피어 네트워크로부터 전송될 경우 작동 중단 현상이 발동한다. 피어 네트워크에 연결된 악성 행위자가 이 부분을 악용함으로써 사실상의 디도스 공격을 유발하는 게 가능하다.

MS RDP 침해 방법 개발됐으나, MS 측은 “패치 없다”

수집 날짜

2020-04-23

원문 링크

https://www.boannews.com/media/view.asp?idx=87748&kind=4&sub_kind=

내용 요약

마이크로소프트의 터미널 서비스 클라이언트(MSTSC)가 활용하여 방어 장치를 피한후 원격 데스크톱 프로토콜(RDP)를 통해 악성코드를 실행시키는 공격 기법이 발견됐다. 아직까지 해당 기법이 악용된 사례는 없다. DLL 사이드로딩 통해 마이크로소프트의 RDP 침해하는 것 가능하다는 게 증명됐다.  DLL 사이드로딩이란 프로그램이 필요한 DLL을 부적절하거나 어정쩡하게 지정할 때 성립 가능한 공격법이라고 한다. 문제는 mstsc.exe라는 프로세스와 mstscax.dll이라는 자원이 무한 신뢰를 받기 때문에 DLL 사이드 로딩 후 악성코드를 실행시킬수 있다. MS측에서는 “공격 성공시키려면 관리자 권한 필요하다”면서 패치하지 않겠다 발표했다.따라서 이 공격에 대하여 조직을 방비하고 싶다면 mstsc.exe의 실행이 허용되지 않도록 만들고, 악성 행위가 mstsc.exe 프로세스와 관련하여 벌어지는지 모니터링 해야 한다. 또한 mstscax.dll이 제대로 된 것인지 수동으로 검사하는 것을 병행하면 보다 확실하게 안전을 보장할 수 있다.

Apple Patches Two iOS Zero-Days Abused for Years

수집 날짜

2020-04-23

원문 링크

https://threatpost.com/apple-patches-two-ios-zero-days-abused-for-years/155042/

내용 요약

iOS 기기에서 애플의 주식 메일 앱에 영향을 미치는 제로 데이 보안 취약점 두 가지가 발견됐다. 아이폰과 아이패드의 메일 앱에 영향을 받는 버전은 iOS 6과 iOS 13.4.1이다. 애플은 지난주 출시한 iOS 13.4.5 베타에서 두 가지 취약점을 모두 패치했다. iOS 13.4.5의 최종 출시가 곧 있을 것으로 예상된다.

첫번째 취약점은 OB(Out-of-Bounds) 쓰기 취약성이다. [the] MIME 라이브러리에서 MFMutableData 구현 시 시스템 호출 ftruncate()에 대한 오류 확인 부족이 발생하여 Out-Of-Bounds 쓰기가 발생한다고 한다.

두번째 취약점은 힙 오버플로도 원격으로 트리거이다. OOB 쓰기 버그와 힙 오버플로 버그 모두 시스템 호출의 반환 값을 올바르게 처리하지 못하는 동일한 문제로 인해 발생하며 다운로드된 전자 메일을 처리하는 동안 원격 버그가 트리거 될 수 있다. 두 취약점 모두 악용될 경우 공격자가 iPhone이나 iPad로 피해자들의 기본 iOS Mail 애플리케이션으로 이메일을 보내면 원격으로 데이터에 액세스하여 메일 응용프로그램 내에서 이메일을 유출, 수정 또는 삭제할 수 있다.