AMD PSP TPM 모듈에서 스택오버플로우 취약점이 발견되었습니다. Intel ME와 마찬가지로, AMD PSP (Platform Security Processor)역시 chip-on-chip 보안 프로세서 입니다. AMD Secure Processor는 AMD64 x86 CPU코어 옆에서 다양한 보안관련 작업을 처리하는 독자적인 운영체제입니다. TPM(Trusted Platform Module)은 모듈로, 안전한 환경에서 AMD커널 이외의 곳에 쉽게 접근하여 중요한 시스템 관련 정보 예를들어 비밀번호, 인증서, 암호화 키 등에 접근할 수 있도록 해줍니다. Cohen은 "정적 분석결과, EkCheckCurrentCert함수 중 스택오버플로우를 발견하였습니다. 공격자는 특별히 제작된 EK인증서를 이용하여..

국내외 보안동향 2018. 1. 10. 14:14

1월 5일, 구글은 Spectre 취약점을 악용하는 공격을 CPU성능 저하 없이 차단할 수 있는 "Retpoline"을 공개하였습니다. 이 패치 방법은 구글의 고급기술자인 Paul Turner이 공개하였습니다. 또한 구글 내부에서는, 이미 이 기술을 데이터센터의 Linux 서버에 적용하여 보안패치를 진행했다고 밝혔습니다. 구체적인 내용은 여기에서 확인하실 수 있습니다. 개요 예측실행은 최신 CPU들이 사용하고 있는 최적화 기술이며, Meltdown과 Spectre 취약점의 원인이기도 합니다. "Retpoline"은 소프트웨어의 구조로, 이는 간접적인 분기를 예측실행중으로부터 격리하여 분기 타겟 인젝션 공격이 간접분기에 영향을 주는것을 막을 수 있습니다. 레트폴린(Retpoline)이라는 보안 기술의 명칭..

국내외 보안동향 2018. 1. 10. 10:55

마이크로소프트가 내려주는 Meltdown과 Spectre 패치가 AMD의 프로세서를 탑재칸 컴퓨터를 손상시킬수도 있습니다. 윈도우 보안 업데이트를 통해 Meltdown과 Spectre 패치를 적용하면 스레드에 다수의 인스턴스가 기록됩니다. 이 때, AMD의 프로세서를 탑재한 일부 컴퓨터에 윈도우 7 또는 10 스타트업 로고만 나타납니다. 패치를 적용하기 전에는 완벽하게 동작했던 Athlon(AMD가 개발한 개인용 CPU)이 탑재된 컴퓨터가 패치를 적용한 후 동작하지 않는 것입니다. 해당 패치는 시스템 복원 지점을 생성하지 않기 때문에, 만약 패치 후 롤백을 하려해도 할 수 없는 경우도 발생합니다. 일부 사용자는 윈도우 재설치를 통해 문제를 해결했다고 하지만, 일부 사용자는 윈도우 재설치 이후에도 문제를 ..

국내외 보안동향 2018. 1. 9. 17:32

Western Digital 그룹의 WDMyCloud는 전 세계에서 가장 유명한 NAS중 하나로, 개인과 기업에서 자동백업, 여러 클라우드 및 웹서비스와 동기화 등에 사용됩니다. 사용자들은 가정 네트워크 내에서 공유폴더로 사용할 뿐만 아니라, 언제 어디서나 데이터에 접근도 가능합니다. 하지만 최근 GulfTech 보안그룹은, WDMyCloud디바이스에서 하드코딩 되어있는 백도어와 여러개의 취약점을 발견했다고 밝혔습니다. 이 취약점들은 원격에서 권한이 없는 상황에서 민감한 파일들의 업/다운로드를 허용할 수 있습니다. 여기서 주의해야할 점은, 해당 보안연구원이 이미 작년 6월에 해당 문제에 대하여 Western Digital그룹에 제보하였지만, 현재(1월 3일)까지 취약점을 패치하지 않고 있다는 점입니다. ..

국내외 보안동향 2018. 1. 9. 14:44

최근 인도의 보안연구원 Ashutosh Barot이 phpMyAdmin에 존재하는 CSRF 취약점을 발견하였습니다. 해당 취약점을 악용하면 phpMyAdmin의 MySQL DB를 원격에서 제어할 수 있을뿐만 아니라, 데이터들을 삭제할 수도 있습니다. 영향받는 버전 phpMyAdmin 4.7.x 계열 중 4.7.7 이전 버전 취약점 분석 CSRF공격은 OWASP Top 10에 포함되어 있는 심각한 취약점 중 하나로, phpMyAdmin에서는 DROP Table과 같은 요청은 Get Request를 사용한 후 POST Request를 통해 요청됩니다. Get Request는 CSRF 공격에서 보호되어야 합니다. 이러한 상황에서, 브라우저 즐겨찾기 등 URL 링크를 통하여 POST Request를 발송하면 공..

국내외 보안동향 2018. 1. 8. 17:23

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2018년 01월 08일 새벽 시간대 금융관련 내용으로 스피어피싱(Spear Phishing) 표적공격이 진행되었습니다. ▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협 ▶ 사망한 아이돌 가수 마지막 영상과 유서로 위장한 악성 프로그램 등장 ▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석 ▶ 연말 채용 구인 공고 내용으로 위장한 가상화폐 채굴 감염 공격 주의 ▶ [주의] 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자 공격자는 한메일 서비스를 이용했으며, '바젤3 관련자료' 등으로 위장한 이메일 제목을 사용했습니다. ※ (참고사항) 바젤3 란? 바젤3(Basel 3)이란 스위스 ..

악성코드 분석 리포트 2018. 1. 8. 15:41

마이크로소프트는 비트코인 거래 서비스를 중단한다고 밝혔습니다. 이러한 정책은 비트코인이 화폐로서 안정될 때까지 일시적으로 진행하는 것이라고 밝혔습니다. 마이크로소프트는 2014년에도 비트코인 거래 서비스를 실시했다가 일시적으로 중단한 적이 있습니다. 이러한 움직임은 지난달 스팀(Steam)에서 비트코인 거래 서비스를 중단을 공표한 이후에 더욱 두드러지게 나타났습니다 스팀은 서비스 중단 이유를 “높은 비용과 위험성” 때문이라고 밝혔습니다. 비트코인의 거래 수수료는 몇 센트에서 수십 달러로 급증하여 거래 총액의 상당 부분을 수수료로 지불하게 됩니다. 이에 여러 기업들은 비트코인의 위험 비용과 더불어, 비트코인의 가격 급 폭락으로 인해 발생할 금전적 손실에 대해 우려하고 있습니다. 마이크로소프트는 사용자가 비..

국내외 보안동향 2018. 1. 8. 15:06

안녕하세요? 이스트시큐리티입니다. 어느덧 한 주가 지나간 2018년, 모두 즐겁게 새해를 맞이하고 계신가요? 어느새 8탄으로 접어든 알약 10주년 이벤트도 새해를 맞아 너무나 특별한 선물을 가지고 왔는데요, 정답을 맞히면 귀요미 알약 쿠션을 겟! 할 수 있는 이번 이벤트는 바로 '알약 초성퀴즈 이벤트' 입니다. 자세한 내용을 아래에서 확인하시고, 이스트시큐리티 페이스북을 통해 지금 바로 정답을 맞혀보세요! 참여 방법아래 링크를 클릭하여 이벤트 포스팅을 확인하고, 퀴즈의 정답을 해당 포스팅에 댓글로 달아주세요!▶ 확인하기(클릭) * 자세한 응모 방법은 위 링크로 연결되는 포스팅 내용을 참고해 주세요. 응모 기간 및 당첨자 발표일2018년 1월 8일(월) ~ 2018년 1월 15일(월) 23시 59분당첨자 ..

이벤트 2018. 1. 8. 08:52