피싱 공격에 설득력을 실어주는 IE 취약점 발견
Major Internet Explorer vulnerability could lead to convincing phishing attacks
한 보안연구원이 IE의 심각한 취약점을 발견하였습니다. 해커들이 이 취약점을 악용할 경우, 사용자들이 더욱 당하기 쉬운 피싱 공격을 실행할 수 있습니다. 또한, 이 피싱 공격으로 사용자의 브라우저에 악성코드를 주입할 수 있습니다.
David Leo는 Daily Mail 웹사이트에 이러한 취약점을 이용하여 직접 실험한 결과의 링크와 상세 정보를 공개하였습니다. 이 버그는 윈도우 7, 8.1에서 사용되는 IE 11버전에서만 동작하는 XSS 취약점이며, 동일 오리진 정책(Same-Origin Policy)을 우회합니다.
Leo의 취약점 악용 예시 페이지에는 Daily Mail의 웹사이트로 연결되는 링크를 클릭할 수 있는 페이지가 표시되어 있습니다. IE 사용자가 이를 클릭하면 정상 페이지를 볼 수 있지만, 7초 후에는 “Hacked by Deusen”라고 표시된 페이지로 변경됩니다.
이번 취약점을 이용한 피싱 공격으로 Daily Mail의 웹사이트 자체는 해킹되지 않았으나, 사용자의 동의 없이 브라우저에 다른 콘텐츠가 표시됩니다. 공격자가 이를 악용하여 주소창의 URL이 바뀌지 않은 상태에서 가짜 로그인 페이지 등의 피싱 페이지를 출력하면, 사용자들은 의심스러운 점을 찾지 못하고 피싱 공격에 당할 수 있습니다.
Vulture South에서는 이 결함에 대해 MS에 지난 금요일 전달하였으며, MS는 패치를 개발 중이라고 밝혔으나 정확한 일정을 받지 못했다고 전했습니다.
[해외보안동향] 악성코드 해킹공격으로 100여개 은행서 최소 3억~10억달러 도난당해 (0) | 2015.02.16 |
---|---|
[해외보안동향] 다른 사용자의 포토 앨범을 삭제할 수 있는 페이스북 취약점 (0) | 2015.02.13 |
[해외보안동향] 안드로이드 타겟 뱅킹 트로이목마, SMS 스틸러 성행 중 (0) | 2015.02.05 |
[해외보안동향] 페이스북 악성코드(malware), 여전히 증가 중 (0) | 2015.02.03 |
CVE-2015-0235 Ghost 취약점 발견 (2) | 2015.01.28 |
댓글 영역