MS가 이번에 발표한 6월 정기보안패치에 현재 악용중인 2가지의 원격코드실행 취약점인 Windows Search 원격코드실행취약점(CVE-2017-8543)과 LNK 파일 원격코드실행취약점(CVE-2017-8464) 패치도 포함되었습니다. Windows Search 원격코드실행 취약점 윈도우 검색서비스(WSS)는 윈도우에서 기본적으로 활성화 되어있는 서비스입니다. 해당 서비스는 사용자들이 여러 Windows서비스와 클라이언트 사이에서 검색 기능을 제공해주는 서비스로, Windows검색이 메모리 중의 대상을 처리하는 과정에서 원격코드실행이 가능한 취약점입니다. 해당 취약점이 악용되려면, 공격자는 Windows Search서비스에 조작된 SMB 메세지를 전송하면 됩니다. CVE번호CVE-2017-8543 영..

국내외 보안동향 2017. 6. 19. 10:49

First Android-Rooting Trojan With Code Injection Ability Found On Google Play Store 백그라운드에서 악성 행위를 하기 위해 기기의 보안 기능을 비활성화 시킬 수 있는 새로운 안드로이드 루팅 악성코드가 구글 플레이스토어에서 발견되었습니다. 이 앱은 구글의 보안매커니즘을 속이기 위하여, 정상앱으로 위장하여 등록되지만, 등록된 후에 임시로 악성코드가 포함된 버전으로 주기적으로 변경합니다. 이 악성코드는 퍼즐 게임인 “colourblock”에 숨어 있었으며, 구글플레이에서 삭제되기 전 최소한 50,000회 이상 다운로드 되었습니다. Dvmap이라 명명 된 이 안드로이드 루팅 악성코드는 써드파티로부터 다른 악성 앱들을 다운로드 하기 위해서 기기의 보..

국내외 보안동향 2017. 6. 14. 15:51

A wormable code-execution bug has lurked in Samba for 7 years. Patch now! Samba 네트워킹 유틸리티의 관리자들이 심각한 패치가 널리 설치 될 때까지 사용자들에게 심각한 위협을 초래할 수 있는 코드 실행 취약점을 패치 했습니다. 7년동안 존재해온 결점인 CVE-2017-7494는 몇 가지 조건만 충족 된다면 단 코드 한줄로도 악성 코드를 실행시키는데 악용될 수 있습니다. 공격이 발생하려면 다음과 같은 조건이 충족되어야 합니다. 1) 외부 인터넷에서 접근 가능한 445번 포트를 통해 파일 및 프린터 공유 2) 공유파일에 쓰기권한 허용 3) 이러한 파일들의 경로가 추측 가능한 서버를 사용하는 취약한 컴퓨터 위 조건들이 충족될 경우, 공격자들은 원격에..

국내외 보안동향 2017. 6. 14. 13:29

최근 포스캠(Foscam) IP 카메라에서 대량의 보안 취약점이 발견되었습니다. 포스캠 그룹은 IP 카메라 등을 전문적으로 설계, 연구, 제조하는 중국 기업입니다. 포스캠 그룹은 글로벌전략을 통하여 세계 각지에서 마케팅을 펼치고 있으며, 29개국 및 지역에 상표를 등록했습니다. 포스캠의 IP 카메라는 북미, 남미, 유럽, 인도, 동남아 등 80여개국 및 지역에서 판매되고 있습니다. 그런데 최근, 포스캠 그룹에서 제조된 Foscam 및 Opticom 브랜드의 IP카메라에서 총 18개의 보안취약점이 발견되었습니다. 취약점은 Foscam IP카메라에서만 발견되었지만, 현재까지 해당 취약점에 영향을 받는 브랜드 수량은 14개 제품 이상인 것으로 확인되었습니다. 해당 취약점은 몇개월 전에 발견되어 이미 포스캠 제..

국내외 보안동향 2017. 6. 9. 11:40

国产流氓软件“火球”分析与溯源 6월 1일, CheckPoint는 중국 기업에서 개발된 "Fireball" 악성코드를 발견하였다고 발표하였습니다. Fireball 악성코드 사건은, huorong 보안연구원들이 Mustang, DealWifi등을 위장한 8개의 악성코드를 발견하면서 시작되었습니다. 이 악성코드들은 사용자 PC를 감염시킨 후 Chrome 브라우저 시작 페이지, TAB 페이지를 임의의 검색페이지로 변경시킨 후 사용자들이 다시 변경할 수 없도록 합니다. 변경하는 페이지들은 각각 다르지만, 검색페이지에서 모두 야후와 구글의 데이터를 크롤링 하는 것으로 보아 악성코드 제작자들이 야후와 구글의 광고를 통해 수익을 얻는 것이 아닐까 추측하고 있습니다. 악성코드는 사용자 PC에 설치될 때 사용자 PC에 크롬..

국내외 보안동향 2017. 6. 8. 15:00

범죄자들, 파워포인트 프레젠테이션을 통해 악성코드를 배포하는 새로운 기술 사용해Crooks leverages a new technique to deliver Malware via PowerPoint presentations 최근 공격자들이 파워포인트를 통한 악성코드 배포 기술을 사용하고 있는 것으로 밝혀졌습니다. 해당 공격은 현재 성행 중인 것으로 확인되어, 사용자들의 주의가 필요합니다. 연구원들은 최근 PowerShell 코드를 실행하기 위해 마우스오버 이벤트를 악용한 여러 개의 파워포인트 파일들을 발견했습니다. 공격자들은 “Purchase Order #130527”, “Confirmation”이라는 제목으로 “order.ppsx” 또는 “invoice.ppsx”라는 이름으로 스팸 메시지에 포함되어 있..

국내외 보안동향 2017. 6. 7. 16:10

WannaCry, 코딩 실수로 인해 감염 후에도 파일 복구 가능성 생겨WannaCry Coding Mistakes Can Help Files Recovery Even After Infection 보안연구원들은 최근 WannaCrypt 랜섬웨어에 의해 암호회된 파일들을 복구할 수 있을 가능성을 발견하였습니다. WannaCry 코드를 자세히 분석해 본 결과, 피해자들이 무료로 공개 된 복구 툴이나 단순한 명령어 만으로도 암호화 된 파일들을 복구할 수 있는 가능성이 보이는 코드상의 많은 실수를 발견했습니다. 암호화 된 파일들을 다시 복구할 수 있을 수도 있는 3가지 오류를 자세히 공개하였습니다. 이 이슈는 WannaCry 랜섬웨어가 파일을 암호화한 후 원본 파일을 삭제하는 방식에 존재합니다. 일반적으로, 이 ..

국내외 보안동향 2017. 6. 7. 13:39

문자 4개만을 이용하여 윈도우 7과 8.1의 충돌을 일으킬 수 있는 방법 발견 돼Windows 7 and 8.1 ridiculously simple to crash using 4-character string 윈도우 OS가 파일명을 처리하는 과정에서 버그가 발견되었습니다. 이번에 발견된 버그를 악용하면 중요한 시스템파일을 fetch 하기 위해 수정된 디렉토리 명에 접근할 때 악의적으로 제작된 웹사이트가 컴퓨터에 BSOD를 발생시킬 수 있습니다. 새로 발견된 $MFT 버그는 윈도우 기기들이 재부팅 될 때까지 시스템이 잠긴 채로 남아있게 되며, 때때로 블루스크린을 발생시킵니다. 이는 90년대 윈도우 98에서 “C: /con/con” 명령어실행 만으로, 기기를 충돌시킬 수 있었던 버그를 연상시키게 합니다. 이..

국내외 보안동향 2017. 6. 1. 15:39