올해 6월, 'PrintNightmare'(CVE-2021-34527)라는 새로운 Windows 인쇄 스풀러 취약점이 공개되었습니다. 해당 취약점을 악용하여 시스템 내에서 권한상승 혹은 원격코드실행이 가능합니다. ▶ 새로운 윈도우 프린트 스풀러 내 제로데이 취약점 발견 MS는 원격코드실행 부분에 대한 보안 업데이트를 공개했지만, 특정 조건에서 우회가 가능했습니다. PrintNightmare 취약점은 이미 'PackagePointAndPrintServerList' 그룹 정책을 통해 제공되며, 이를 통해 인쇄 드라이버를 설치하는 데 사용할 수 있는 승인된 인쇄 서버의 화이트리스트를 지정하는 방법으로 차단이 가능하나, 그룹 정책을 다루지 않는 사용자들을 위해 무료 마이크로 패치를 출시했습니다. 해당 패치는 0..

국내외 보안동향 2021. 8. 6. 13:17

Unpatched Security Flaws Expose Mitsubishi Safety PLCs to Remote Attacks Mitsubishi Safety PLC(Programmable Logic Controllers)에서 패치되지 않은 여러 취약점이 공개되었습니다. 취약점을 악용할 경우, 공격자가 무차별 대입 공격을 통해 모듈에 등록된 합법적인 사용자 이름을 획득하고, CPU 모듈에 무단으로 로그인하고, 서비스 거부(DoS) 조건을 야기할 수 있습니다. Nozomi Networks가 공개한 보안 취약점은 CPU 모듈에 데이터를 읽고 쓰는 방식으로 대상 장치와 통신하는 데 사용되는 대상 장치와 데이터를 교환하는 데 사용되는 MELSEC 통신 프로토콜의 인증 메커니즘 구현과 관련이 있습니다. CVS..

국내외 보안동향 2021. 8. 6. 11:50

New DNS vulnerability allows 'nation-state level spying' on companies 보안 연구원들이 주요 서비스형 DNS 제공 업체에 영향을 미치는 DNS 취약점의 새로운 클래스를 발견했습니다. 이 취약점은 공격자가 기업 네트워크로부터 민감 정보를 훔치도록 허용할 수 있는 것으로 나타났습니다. 서비스형 DNS 제공 업체(관리형 DNS 제공 업체)는 다른 네트워크 자산을 자체적으로 관리 및 보호하지 않는 다른 조직에게 DNS 임대 서비스를 제공합니다. 클라우드 보안 회사인 Wiz의 연구원들이 Black Hat 보안 컨퍼런스에서 밝힌 바로는, 이러한 DNS 취약점 악용할 경우 공격자가 간단한 도메인 등록 만으로도 국가 수준의 정보 수집이 가능할 수 있습니다. 도메인명..

국내외 보안동향 2021. 8. 6. 09:01

Forescout와 JFrog Security 연구원은 OT장치에 사용되는 NicheStack에 영향을 미치는 14개의 취약점을 발견하였으며, 이 취약점들을 통틀어 "INFRA:HALT"라고 명명하였습니다. 해당 취약점을 악용하면 원격제어, 서비스 거부, 정보유출, TCP 스푸핑 및 DNS 캐시 포이즈닝 공격이 가능합니다. NicheStack TCP/IP 스택은 1996년 InterNiche Technologies에 의해 개발되었습니다. 이후 여러 OEM들에 의해 여러 형태로 배포되었으며, 다른 TCP/IP 스택의 기초역할을 했습니다. Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation, and Schneider Electric 등이 모두 Nich..

국내외 보안동향 2021. 8. 5. 16:02

SentinelLabs는 최신 버전의 Cobalt Strike 서버에서 집합적으로 Hotcobalt로 불리는 CVE-2021-36798 취약점을 발견했습니다. CVE-2021-36798는 비콘 C2 통신 채널 및 새로운 배포를 차단할 수 있는 Cobalt Strike DoS(서비스 거부) 취약점입니다. Cobalt Strike는 레드팀(취약점을 발견하기 위해 조직의 인프라에서 공격자 역할을 하는 보안 전문가 그룹)이 공격 프레임워크로 사용하도록 설계된 합법적인 침투 테스트 도구입니다. 취약점은 이미 설치된 비콘을 C2 서버와 통신할 수 없도록 하고, 침투된 시스템에 새 비콘이 설치되는 것을 차단하고, 배포된 비콘을 사용하는 레드팀의 작업을 방해할 수 있습니다. 이를 통해 공격자가 Cobalt Strike..

국내외 보안동향 2021. 8. 5. 16:00

New Chinese Spyware Being Used in Widespread Cyber Espionage Attacks 새로운 연구에 따르면, 감염된 시스템에 RAT을 배포하는 것으로 알려졌으며, 2021년 1월부터 7월까지 몽골, 러시아, 벨로루시, 캐나다, 미국을 노린 공격 10건이 중국 출신으로 추정되는 공격자의 작업일 가능성이 높은 것으로 나타났습니다. 이 사건은 FireEye는 APT31, Microsoft는 Zirconium, CrowdStrike는 Judgement Panda, Secureworks는 Bronze Vinewood로 명명한 APT 그룹의 작업인 것으로 추정됩니다. FireEye는 해당 그룹에 대해 아래와 같이 밝혔습니다. “이 그룹은 주로 중국의 정부 및 국유 기업에 정치적..

국내외 보안동향 2021. 8. 5. 14:00

Cisco fixes critical, high severity pre-auth flaws in VPN routers Cisco가 원격 공격자가 서비스 거부 조건을 유발하거나 취약한 기기에서 명령 및 임의 코드를 실행하도록 허용하는 중소기업용 VPN 라우터 내 사전 인증 취약점을 수정했습니다. 해당 웹 기반 관리 인터페이스에서 CVE-2021-1609(9.8/10), CVE-2021-1602(8.2/10)로 등록된 보안 취약점 2개가 발견되었으며, 각각 HTTP 요청의 검증 부족 및 충분하지 못한 사용자 입력 검증으로 인해 발생합니다. CVE-2021-1609는 RV340, RV340W, RV345, RV345P 듀얼 WAN Gigabit VPN 라우터에 영향을 미치며 CVE-2021-1602는 RV16..

국내외 보안동향 2021. 8. 5. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내 금융사를 위장하여 악성 메일이 지속적으로 유포되고 있어 사용자들의 주의가 필요합니다. 이번에 유포된 악성 메일은 "외화송금도착 통지"라는 제목으로 유포되었으며, 발신자 계정을 @etri.re.kr(전자통신연구원) 계정으로 위장하여 사용자들의 의심을 피하려고 합니다. 또한 첨부파일을 확인해야만 하는 보안 메일을 위장하여 사용자들의 첨부파일 실행을 유도합니다. 첨부파일은 .r03 확장자로 압축파일입니다. 해당 확장자는 WinRAR로 생성된 압축파일의 세 번째 파일을 뜻하며, WinRAR이 아닌 다른 압축 프로그램을 사용중이라면 해당 파일이 압축파일이라는 것을 인지하지 못할수도 있습니다. 압축파일 내에는 악성 .exe 파일이 포함되어 있습..

악성코드 분석 리포트 2021. 8. 4. 16:51