Internet Explore Zero-Day 피해 주의

보안 소식/주간 이슈 2009. 12. 2. 20:53 Posted by 알 수 없는 사용자

얼마전 IE 6, 7을 대상으로 하는 Exploit이 공개되어, 사용자들의 주의가 요구됩니다.

해당 취약점은 document.getElementsByTagName() method에 의해서 발생되는 취약점입니다.
HTML viewer인 mshtml.dll 에 영향을 미쳐서 브라우저 핸들이 크래쉬(서비스 거부)가 되는 취약점 입니다.

다음은 해당 취약점을 간략히 정리한 내용입니다.

 ▒ 대상: Microsoft Internet Explore 6, 7 (IE 8 제외)
 ▒ 특징: style 관련 태그에서의 취약점 발견
 ▒ 영향: 브라우저 핸들이 크래쉬되어 브라우저 멈춤 등의 현상이 일어날 수 있고, 공격자의 악성코드가 실행될 수 있음.

다음은 해당 취약점의 대응방안을 정리한 내용입니다. (12월 2일 현재까지, MS 공식 패치가 발표되지 않음.)
 ▒ IE8 사용
 ▒ Anti-Virus 제품 설치
 ▒ 출처가 불분명하거나 신뢰할 수 없는 사이트에 대한 방문 자제
 ▒ 보안업데이트가 발표되기 전까지 JavaScript를 사용하지 않도록 설정
     ([Internet Explorer > 도구 > 보안 > 인터넷 > 사용자 지정 수준]에서 "Active 스크립팅"을 "사용 안 함"으로 설정)

다음은 참고자료 및 사이트를 정리한 내용입니다.
 (1) http://www.symantec.com/connect/blogs/zero-day-internet-explorer-exploit-published
 (2) http://www.microsoft.com/technet/security/advisory/977981.mspx
 (3) http://www.krcert.or.kr/secureNoticeView.do?num=371&seq=-1

최신 주간 동향 (2009년 7월 5주차)

보안 소식/주간 이슈 2009. 8. 3. 18:23 Posted by 알 수 없는 사용자

1. 이란 네티즌, 조직적으로 사이버 공격 참여
     이란 네티즌이 대선 결과와 이란 정부의 언론 통제에 대항하는 사이버 공격이 확대되고 있습니다. 이란 대통령 홈페이지를 비롯, 친-이란 정부 웹사이트들이 접속 불능 상태에 빠졌습니다. 이번 공격은 DoS 툴을 이용한 공격, iFrame 로딩 스크립트, 웹 페이지 새로고침용 툴 등을 사용했습니다. 다수의 사람들이 해당 웹 페이지를 대상으로 새로고침을 함으로써, DDoS 공격의 효과를 발휘할 수 있습니다. 얼마전 온나라를 시끄럽게 만들었던 DDoS 공격의 여파가 아직 남아있는 만큼, 보안 관련 종사자들의 지속적인 관심과 세심한 주의가 요구됩니다.

    가. 세부 내용
            다음은 실제 공격에 사용되었던 "Page Rebooter"를 이용한 DoS 공격 예시입니다.

다음은 www.pagereboot.com로 접속하여, 대상사이트와 공격주기를 입력하는 화면입니다.

[그림1] 대상 및 공격주기 설정

다음은 공격 시도 시 열리는 페이지 화면입니다.
[그림2] 공격 시작

다음은 생성된 페이지의 자동 새로고침 javascript 코드를 확인하는 화면입니다.
[그림3] 소스코드 확인


    나. 관련링크
            (1) http://www.pagereboot.com/ie/
            (2) http://blogs.zdnet.com/security/?p=3613



2. 동유럽 ATM에서 데이터 스니핑 트로이 발견
     길거리에서 흔히 발견할 수 있는 작은 은행, ATM기를 해킹할 수 있다면? 더 이상 영화에서만 보던 가상의 시나리오가 아닙니다. 실제로 지난 18개월동안 동유럽국가의 현금 자동지급기에 트로이목마를 심어놓고, 사용자들의 데이터 및 현금을 인출해 간 범인이 붙잡혔습니다. 이 멀웨어를 발견한 스파이더랩에 의하면, 윈도우즈 XP기반의 다양한 벤더들의 ATM이 대상이라고 합니다. 자세한 내용 및 관련 보고서는 관련링크를 참조하시기 바랍니다.

    가. 관련링크
(1) http://www.theregister.co.uk/2009/06/03/atm_trojans/
            (2) http://regmedia.co.uk/2009/06/03/trust_wave_atm_report.pdf


3. 블랙햇, SMS 관련 취약점 발표
     지난달 미국에서 개최된 블랙햇 컨퍼런스에서 다양한 이슈들이 거론되었고, 그 중에서 SMS 관련 취약점도 포함되어 있습니다. 컨퍼런스에서 발표된 툴은 아이폰 뿐만 아니라, 어떤 모바일폰도 SMS를 사용한 공격 취약점을 테스트할 수 있다고 합니다. SMS의 진화로 종전의 텍스트 메시지 전송 뿐만 아니라, 그래픽, 동영상, 사운드 등을 지원할 수 있어 공격자들의 관심이 되고 있습니다. 이런 현실을 비추어 볼때, 앞으로 모바일 폰 또한, 공격의 위험으로부터 안전하지 않다는 것을 알 수 있기때문에 관련 업계 종사자의 노력과 함께, 일반 사용자들의 모바일 폰 사용에도 주의가 요구됩니다.

    가. 관련링크
(1) http://www.blackhat.com/html/bh-usa-09/bh-usa-09-archives.html
            (2) http://www.theregister.co.uk/2009/06/03/atm_trojans/
            (3) http://regmedia.co.uk/2009/06/03/trust_wave_atm_report.pdf


4. 블랙햇, 스마트그리드 관련 취약점 발표
     차세대 친환경 전력시스템으로 추앙받으며, 미국 내에서는 이미 해당 시스템을 도입하고 있습니다. 스마트 그리드란, 기존 전력망에 IT 기술을 접목하여 전력공급자와 소비자간의 실시간 정보 교환을 통해 에너지 효율을 최적화하는 차세대 전력망입니다. 하지만 에너지 효율 등의 장점이 있는 반면, 중앙에서 모든 전력 시스템을 통제하게 됨으로써 단 하나의 시스템에 존재하는 버그로 모든 시스템을 장악할 수 있다는 문제가 발생할 수 있습니다. 그리고 이와 관련된 취약점에 대한 발표가 블랙햇 컨퍼런스에서 있었습니다. 자세한 내용은 관련링크를 참조하시기 바랍니다.

    가. 관련링크
(1) http://www.blackhat.com/html/bh-usa-09/bh-usa-09-archives.html
            (2) http://www.theregister.co.uk/2009/06/12/smart_grid_security_risks/


5. MPEG2 0DAY 취약점
     최근 중국에서는 MPEG2와 관련한 버그가 이슈가 되고 있습니다. 지난 7월 초, 베이징에서는 적색경보가 울릴만큼 이 취약점을 이용한 공격의 영향이 컸다고 합니다. 이 취약점은 일반적인 웹 브라우저를 대상으로 한 것과 유사한 형태를 지니지만, 기존과는 다르게 악성코드가 포함된 비디오 파일이 필요없어 사용하기가 훨씬 쉽다는 특징이 있습니다. 또한, 거의 모든 최신 윈도우즈 시스템에서 이 취약점이 발견되었다고 하니, 보안 관계자들의 조속한 조치가 이루어져야 할 것입니다. 자세한 내용은 아래 관련링크를 참조하시기 바랍니다.

    가. 관련링크
(1) http://car.wj8.net/2009/07/microsoft-mpeg-2-video-leaked-0day.html
            (2) http://it.rising.com.cn/new2008/Anti_Virus/NewsInfo/2009-07-08/1247020333d53636.shtml

최신 주간 동향 (2009년 7월 3주차)

보안 소식/주간 이슈 2009. 7. 20. 18:37 Posted by 알 수 없는 사용자


1. MS09-029 - addresses a vulnerability in Microsoft Windows
     최근 MS 관련 취약점들이 많이 발표되고 있습니다. 그 중에서 CVE-2009-0231 과 CVE-2009-0232 관련 취약점 내용은 다음과 같습니다. 

CVE-2009-0231 과 CVE-2009-0232는 임베디드 오픈타입 폰트엔진에서 원격 코드 실행이 가능한 취약점이 있습니다.
▶ 영향
    - 대상: Windows Server 2008 server core installation을 제외한 거의 모든 버젼에서 영향을 받습니다.
    - 내용: 성공적으로 이 취약점을 익스플로잇한 공격자는 원격으로 해당 시스템을 완벽하게 컨트롤할 수 있게 됩니다. 그런 후
              프로그램을 설치하고, 데이터를 보고, 변경하고, 지우고, 사용자 권한을 가지고 있는 새로운 계정을 만들 수도 있습니
              다. 시스템에서 더 적은 권한을 가지게 설정되어 있는 사용자는 관리자 사용자 권한으로 운영되는 사용자보다 효과 적
              을 수
가 있을 수 있습니다.

         (1) http://www.microsoft.com/technet/security/Bulletin/MS09-029.mspx




2. Critical JavaScript vulnerability in Firefox 3.5
     최근 모질라의 웹 브라우저인 파이어폭스에서 심각한 취약점들이 발견되고 있습니다. 그 중에서 지난 주에 발표된 JIT 자바스크립트 컴파일러 관련 취약점은 현재(7월 14일 기준)까지 패치가 발표되지 않았으니 사용자분들의 주의가 필요합니다. 자세한 내용은 다음과 같습니다.

▶ 영향
    - 대상: Mozilla Firefox 3.5
    - 내용: 이 취약점은 익스플로잇 코드를 포함한 웹페이지를 일반 사용자가 보았을 때, 공격자 공격이 성공 할 수 있습니다.
 
이 취약점을 막기위해선 임시방편으로 다음과 같은 조치를 취해야 합니다.


              1. 브라우저의 주소창에 about:config 로 들어간다.
              2. 설정 메뉴에 있는 Filter box에서 jit 항목을 찾는다.
              3. javascript.options.jit.content를 더블클릭 해서 False로 설정한다.

이러한 조치를 취하게 되면, 자바스크립트의 실행 속도가 느려질 수 있기 때문에 패치를 하기 전까지만 임시로 이 방법을 사용하기를 권합니다. 패치 이후에는 다시 위의 설정값을 true로 돌려놓습니다.
  
    가. 관련 링크
         (1)
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
         (2) http://secunia.com/advisories/35798



3. 오프라인으로 확장되는 악성 코드
     악성코드가 유포되는 경로가 변하고 있습니다. 그동안은 악성코드가 유포 및 실행이 이메일, 인터넷 게시판등의 온라인상에서 이루어졌지만 이제는 오프라인에서마저 악성코드의 위협으로부터 안전하지가 않다고 합니다. 우리가 일상생활에서 받기 쉬운 우편, 고지서 등의 오프라인 문서에 공격자의 악성코드 유포 사이트 주소를 기재하여, 일반 사용자의 접속을 유도한다고 합니다. 이제 부터는 온라인, 오프라인을 가리지 않고 접속 URL에 대한 주의가 필요할 것입니다.

다음은 오프라인 문서로 유도된 악성코드가 포함된 사이트에 접속한 화면입니다.

    
    가. 관련 링크
         (1) http://groups.google.com/group/bugtruck/browse_thread/thread/39c1e9e762d4f617?hl=ko




4. Linux 2.6.30+/SELinux/RHEL5 Test Kernel Local Root Exploit 0day

     리눅스 관련 최신 취약점에 대한 익스플로잇이 발표되었습니다. 자세한 내용은 아래 링크를 참조하시기 바랍니다.

    가. 관련 링크
         (1) http://www.milw0rm.com/exploits/9191



5. Mozilla Firefox 3.5 (Font tags) Remote Heap Spray Exploit
     모질라 파이어폭스 관련 최신 취약점에 대한 익스플로잇이 발표되었습니다. 자세한 내용은 아래 링크를 참조하시기 바랍니다.

    가. 관련 링크
         (1) http://www.milw0rm.com/exploits/9181