MacOS 10.13.2에서 앱스토어 시스템 설정의 잠금을 해제하는 취약점이 발견되었습니다. 해당 취약점을 이용하면 로컬 관리자 계정을 사용하는 컴퓨터에서 공격자는 사용자 모르게 앱스토어 설정을 변경할 수 있습니다. 작년 11월 경에 발견된 반복적으로 암호를 입력하지 않고 루트 접근 권한을 획득할 수 있는 버그만큼 심각하지는 않지만, 암호 사용 방법에 관한 MacOS의 코드 감사(code audit, 버그, 보안 위반 등을 찾기 위해 소스 코드를 종합적으로 분석하는 것)에 심각한 문제가 있는 것으로 보입니다. 공격자가 암호 필드를 이용해 추가 권한을 획득한 시도가 3개월 만에 두 번이나 발견된 것입니다. 해당 취약점을 이용하는 방법은 매우 간단합니다. 앱스토어 시스템 설정을 열어 작은 패드락 아이콘이 잠..

국내외 보안동향 2018. 1. 11. 11:47

이스트시큐리티에서는 인텔 취약점 (Meltdown&Spectre)에 대해 1차분석을 진행한 적이 있었습니다. (▶ 인텔 CPU 취약점(Meltdown&Spectre) 분석 및 이스트시큐리티 대응상황) 하지만, 취약점에 대한 난이도나 그 위험도가 높은만큼, 인텔 취약점 (Meltdown&Spectre)에 대해 상세분석을 진행하였습니다. 개요 이번에 공개 된 Meltdown & Spectre 관련 취약점은 아래 3개입니다. Variant 1: bounds check bypass (CVE-2017-5753)Variant 2: branch target injection (CVE-2017-5715)Variant 3: rogue data cache load (CVE-2017-5754) Variant 1, 2는 Sp..

악성코드 분석 리포트 2018. 1. 10. 16:34

AMD PSP TPM 모듈에서 스택오버플로우 취약점이 발견되었습니다. Intel ME와 마찬가지로, AMD PSP (Platform Security Processor)역시 chip-on-chip 보안 프로세서 입니다. AMD Secure Processor는 AMD64 x86 CPU코어 옆에서 다양한 보안관련 작업을 처리하는 독자적인 운영체제입니다. TPM(Trusted Platform Module)은 모듈로, 안전한 환경에서 AMD커널 이외의 곳에 쉽게 접근하여 중요한 시스템 관련 정보 예를들어 비밀번호, 인증서, 암호화 키 등에 접근할 수 있도록 해줍니다. Cohen은 "정적 분석결과, EkCheckCurrentCert함수 중 스택오버플로우를 발견하였습니다. 공격자는 특별히 제작된 EK인증서를 이용하여..

국내외 보안동향 2018. 1. 10. 14:14

1월 5일, 구글은 Spectre 취약점을 악용하는 공격을 CPU성능 저하 없이 차단할 수 있는 "Retpoline"을 공개하였습니다. 이 패치 방법은 구글의 고급기술자인 Paul Turner이 공개하였습니다. 또한 구글 내부에서는, 이미 이 기술을 데이터센터의 Linux 서버에 적용하여 보안패치를 진행했다고 밝혔습니다. 구체적인 내용은 여기에서 확인하실 수 있습니다. 개요 예측실행은 최신 CPU들이 사용하고 있는 최적화 기술이며, Meltdown과 Spectre 취약점의 원인이기도 합니다. "Retpoline"은 소프트웨어의 구조로, 이는 간접적인 분기를 예측실행중으로부터 격리하여 분기 타겟 인젝션 공격이 간접분기에 영향을 주는것을 막을 수 있습니다. 레트폴린(Retpoline)이라는 보안 기술의 명칭..

국내외 보안동향 2018. 1. 10. 10:55

마이크로소프트가 내려주는 Meltdown과 Spectre 패치가 AMD의 프로세서를 탑재칸 컴퓨터를 손상시킬수도 있습니다. 윈도우 보안 업데이트를 통해 Meltdown과 Spectre 패치를 적용하면 스레드에 다수의 인스턴스가 기록됩니다. 이 때, AMD의 프로세서를 탑재한 일부 컴퓨터에 윈도우 7 또는 10 스타트업 로고만 나타납니다. 패치를 적용하기 전에는 완벽하게 동작했던 Athlon(AMD가 개발한 개인용 CPU)이 탑재된 컴퓨터가 패치를 적용한 후 동작하지 않는 것입니다. 해당 패치는 시스템 복원 지점을 생성하지 않기 때문에, 만약 패치 후 롤백을 하려해도 할 수 없는 경우도 발생합니다. 일부 사용자는 윈도우 재설치를 통해 문제를 해결했다고 하지만, 일부 사용자는 윈도우 재설치 이후에도 문제를 ..

국내외 보안동향 2018. 1. 9. 17:32

Western Digital 그룹의 WDMyCloud는 전 세계에서 가장 유명한 NAS중 하나로, 개인과 기업에서 자동백업, 여러 클라우드 및 웹서비스와 동기화 등에 사용됩니다. 사용자들은 가정 네트워크 내에서 공유폴더로 사용할 뿐만 아니라, 언제 어디서나 데이터에 접근도 가능합니다. 하지만 최근 GulfTech 보안그룹은, WDMyCloud디바이스에서 하드코딩 되어있는 백도어와 여러개의 취약점을 발견했다고 밝혔습니다. 이 취약점들은 원격에서 권한이 없는 상황에서 민감한 파일들의 업/다운로드를 허용할 수 있습니다. 여기서 주의해야할 점은, 해당 보안연구원이 이미 작년 6월에 해당 문제에 대하여 Western Digital그룹에 제보하였지만, 현재(1월 3일)까지 취약점을 패치하지 않고 있다는 점입니다. ..

국내외 보안동향 2018. 1. 9. 14:44

최근 인도의 보안연구원 Ashutosh Barot이 phpMyAdmin에 존재하는 CSRF 취약점을 발견하였습니다. 해당 취약점을 악용하면 phpMyAdmin의 MySQL DB를 원격에서 제어할 수 있을뿐만 아니라, 데이터들을 삭제할 수도 있습니다. 영향받는 버전 phpMyAdmin 4.7.x 계열 중 4.7.7 이전 버전 취약점 분석 CSRF공격은 OWASP Top 10에 포함되어 있는 심각한 취약점 중 하나로, phpMyAdmin에서는 DROP Table과 같은 요청은 Get Request를 사용한 후 POST Request를 통해 요청됩니다. Get Request는 CSRF 공격에서 보호되어야 합니다. 이러한 상황에서, 브라우저 즐겨찾기 등 URL 링크를 통하여 POST Request를 발송하면 공..

국내외 보안동향 2018. 1. 8. 17:23

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2018년 01월 08일 새벽 시간대 금융관련 내용으로 스피어피싱(Spear Phishing) 표적공격이 진행되었습니다. ▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협 ▶ 사망한 아이돌 가수 마지막 영상과 유서로 위장한 악성 프로그램 등장 ▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석 ▶ 연말 채용 구인 공고 내용으로 위장한 가상화폐 채굴 감염 공격 주의 ▶ [주의] 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자 공격자는 한메일 서비스를 이용했으며, '바젤3 관련자료' 등으로 위장한 이메일 제목을 사용했습니다. ※ (참고사항) 바젤3 란? 바젤3(Basel 3)이란 스위스 ..

악성코드 분석 리포트 2018. 1. 8. 15:41