취약점 내용 MS SMB 프로토콜의 메모리 파괴 취약점으로, 인증을 거치치 않은 공격자가 원격에서 해당 취약점을 악용하여 웜(worm)과 같은 공격 효과를 가져올 수 있는 취약점입니다. 해당 취약점은 OS가 SMB 3.1.1 프로토콜의 압축패킷을 처리하는 과정에서 오류가 발생하여 야기되는 취약점으로, 공격자는 조작된 패킷을 악용하여 원격에서 인증을 거치치 않은 상태로 원격코드실행이 가능합니다. 또한 직접 SMB 서버를 직접 공격하여 RCE 취약점을 악용할 수 있을 뿐만 아니라, SMB 클라이언트를 공격하여 공격자가 특정한 웹페이지, 압축파일, 공유파일, office 문서등을 조작하는 방식으로 취약점을 트리거 할 수 있습니다. 해당 취약점은 그 위험성이 EternalBlue, NotPetya, WannaC..

국내외 보안동향 2020. 3. 11. 09:37

PDF Files Can Be Abused to Steal Windows Credentials 악성 공격자들이 윈도우 크리덴셜(NTLM 해시)를 훔치는데 무기화 된 PDF파일들이 악용될 수 있는 것으로 나타났습니다. 이 방식은 파일을 오픈하기만 하면 되고, 어떠한 사용자와의 상호작용도 필요하지 않습니다. 연구원들은 악성 공격자가 PDF 표준에서 발견 된 이 기능을 윈도우가 사용자 크리덴셜을 저장하는 NTLM 해시를 훔치는 방법을 보여주는 연구를 발표했습니다. 연구원들은 “이로 인해 GoToE & GoToR 엔트리를 위한 원격 컨텐츠 로딩도 허용하게 됩니다.”라고 밝혔습니다. PDF와 SMB를 통해 윈도우 크리덴셜 훔쳐 이 취약점을 발견한 Baharav는 연구를 위해 두 가지 PDF 기능을 활용하는 PDF..

국내외 보안동향 2018. 5. 2. 11:29

Samba는 Linux와 Unix환경에서 SMB 프로토콜을 사용할 수 있도록 하는 SW로, *nix영역에서 매우 광범위하게 사용되고 있습니다. 그리고 2017년 9월, Samba SMB1 프로토콜에서 UAF 취약점이 발견되었으며, 해당 취약점은 Samba 4.0.0 이전 버전들이 영향을 받습니다. 취약점 번호는 CVE-2017-14746입니다. * UAF 취약점 : UAF 취약점이란 Use-After-Free 공격의 약자로, 메모리 해제 후 재사용에 관한 취약점 입니다. 그리고 2017년 11월 21일, RedHat은 메모리 유출 취약점을 발견하였습니다. 해당 취약점은 공격자가 악의적으로 만든 request를 영향받는 버전의 Samba를 사용하는 서버에 전송하여 메모리에 있는 정보들을 유출시킬 수 있습니..

국내외 보안동향 2017. 12. 5. 14:29

ランサムウェア「Oni」、日本企業に標的型攻撃を展開 최근 사이버리즌(Cybereason)은 일본 기업을 표적으로 하는 랜섬웨어 'Oni'의 공격활동에 대한 정보를 발표하였습니다. Oni는 7월에 사일런스(Cylance)가 보고한 랜섬웨어로, 일본어로 쓰여진 협박문 등을 표시하는 특징으로 보아 일본기업을 표적으로 하는 사이버공격으로 간주되었습니다. 사이버리즌(Cybereason)은 10월31일, 일본기업을 표적으로 하는 랜섬웨어 ‘Oni’의 공격활동에 대한 상세한 정보를 발표했다. ‘MBR-ONI’도 새롭게 발견되는 등 감염된 기업에서 금전탈취를 노린 교묘한 수법이 판명되었다. 이메일 내용은 다음과 같습니다. ■입니다. 안녕하십니까?영수증을 첨부하겠습니다.확인 부탁 드리겠습니다. Oni공격은 적어도 2016년..

국내외 보안동향 2017. 11. 2. 17:19

해당 취약점은 Samba SMB1에 존재하는 것으로, 쓰기 권한이 있는 Samba 계정을 갖고 있는 공격자가 원격에서 Samba 서버의 메모리 정보를 탈취할 수 있도록 허용합니다. 취약점 내용 SMBv1 프로토콜이 사용자 request 범위에 대해 엄격히 검사하지 않아 사용자가 이미 전송한 데이터의 크기를 초과하여 서버의 메모리 정보가 파일에 작성되도록 허용합니다. 하지만 서버 메모리 내 어떠한 정보가 유출될 지는 알 수 없습니다. 취약점 번호 CVE-2017-12163 영향받는 버전 모든 Samba 버전 패치방법 1) Samba 4.6.8, 4.5.14 및 4.4.16로 업데이트 (▶ 참고)2) SMBv2 사용smb.conf의 [global]에서 설정을 "server min protocol = SMB2..

국내외 보안동향 2017. 9. 25. 15:01

Cyberspies Are Using Leaked NSA Hacking Tools to Spy On Hotels Guests 러시아와 관련이 있는 악명높은 사이버 스파잉 그룹이 WannaCry와 NotPetya에 사용 된 유출 된 NSA 해킹툴을 사용하고 있는 것으로 나타났습니다. 이들은 유럽 국가들에서 호텔의 고객들을 스파잉하기 위해 Wi-Fi 네트워크를 노리고 있었습니다. 보안 연구원들은 이 캠페인이 유럽 호텔들에서 Wi-Fi 네트워크를 사용하는 가치 높은 고객들을 대상으로 원격으로 크리덴셜을 훔치며, FancyBear 해킹 그룹과 관련이 있다고 밝혔습니다. 새로이 발견 된 이 캠페인은 EternalBlue라고도 불리우는 윈도우의 SMB 익스플로잇 (CVE-2017-0143)을 악용하고 있는 것으로 ..

국내외 보안동향 2017. 8. 16. 10:15

WannaCry 랜섬웨어보다 더 강력한 UIWIX 랜섬웨어 최근 이슈가 되었던 WannaCry 랜섬웨어의 충격이 채 가시기도 전에 두번째 랜섬웨어의 공격이 발생했습니다. UIWIX랜섬웨어는 이번에 새로 등장한 랜섬웨어로, WannaCry와 동일한 취약점을 악용합니다. 하지만 WannaCry와 같은 kill switch가 존재하지 않기 때문에, UIWIX 랜섬웨어가 전파되는 것을 막을 방법이 없습니다. 일부 보안전문가들은 UIWIX 랜섬웨어는 SMB웜이 아니며, 배후에서 해커조직이 수동으로 해당 취약점을 악용하여 유포하는 방식으로 WannaCry와 같은 강력한 전파능력은 없을 것이라고 추측하고 있습니다. UIWIX 랜섬웨어는 하드디스크에 존재하는 모든 문서를 스캔합니다. 문서, 이미지파일 등과 같은 90여..

국내외 보안동향 2017. 5. 22. 15:52

워너크라이(WannaCry)/워너크립터(WannaCryptor), 알약에서 이틀동안 2천건 이상 공격 탐지! 안녕하세요. 이스트시큐리티입니다. 지난 5월 12일부터 전세계적으로 확산되고 있는 워너크라이(Wanna Cry)/워너크립터(WannaCryptor) 랜섬웨어가 국내에서도 급속히 유포되고 있습니다. 현재 전 세계를 강타하고 있는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어는 윈도 운영체제(OS)의 SMB 취약점을 활용한 공격 방식을 사용합니다. 기존의 랜섬웨어와는 다르게 첨부 파일을 열지 않더라도 인터넷에 연결만 되어 있다면 사용자 PC나 서버를 감염시킬 수 있어 매우 치명적입니다. 특히 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어는 악성코드..

이스트시큐리티 소식 2017. 5. 15. 10:16