[보안뉴스] 2018년 10월 5주 동향

 

The Hackers News 발췌 분

 

New Privilege Escalation Flaw Affects Most Linux Distributions (2018-10-26)

l  인도의 보안 연구원은 OpenBSD 및 데비안, 우분투, CentOS, 레드햇, 페도라 등 대부분의 리눅스 배포판에 영향을 미치는 X.Org 서버 패키지에서 매우 치명적인 결함을 발견했습니다.

l  CVE-2018-14665로 추적된 이 결함은 X.Org 서버 1.19.0 패키지에 도입되었으며 거의 2년동안 탐지되지 않고 터미널이나 ssh를 통해 공격자가 대상 시스템에서 권한이 낮은 사용자 계정으로 악의적인 코드를 실행시키거나 소유자가 root인 파일을 덮어쓰기 할 수 있었습니다.

l  X.Org Server 버전 1.20.3을 출시하여 보안문제를 해결했으며 OpenBSD, Debian, Ubuntu 등의 리눅스 배포판에서도 해당 이슈를 게시하고 패치 진행 중임을 공지했습니다.

l  뉴스보기

Hacker Discloses New Windows Zero-Day Exploit On Twitter (2018-10-23)

l  2달 전 Microsoft Windows 작업관리자의 제로데이 취약성을 공개했던 트위터리안 SandboxEscaper가 Microsoft 데이터 공유(dssvc.dll)에 상주하여 권한 상승 문제를 일으키는 새로운 Windows 제로데이 취약성을 발표했습니다.

l  연구원이 발표한 PoC 익스플로잇 코드를 사용하면 낮은 권한의 공격자가 대상 시스템에서 계정 권한을 상승시켜 관리자 레벨 권한에 부여된 것 처럼 시스템 파일들을 삭제할 수 있습니다.

l  Windows 사용자는 2018년 11월 13일 예정된 다음 달 보안패치 까지 해커에게 취약한 상태이므로 그 동안 PoC를 실행하지 않는 것이 좋습니다.

l  뉴스보기

Critical Code Execution Flaw Found in LIVE555 Streaming Library (2018-10-19)

l  보안연구원은 LIVE555 스트리밍 미디어 라이브러리와 미디어를 스트리밍 할 수 있는 많은 임베디드 장치에서 심각한 코드 실행 취약점을 발견했습니다.

l LIVE555 RTSP 서버 라이브러리 0.92버전의 HTTP 패킷 파싱 기능에서 코드실행 취약성 "CVE-2018-4013"이 발견되었고, 공격자가 취약한 응용 프로그램에 여러 개의 ‘Accept:’ 또는 ‘x-sessioncookie’문자열이 포함된 패킷을 만들어 보내면 ‘lookForHeader’함수에서 스택 버퍼 overflow가 trigger되며 임의 코드가 실행됩니다.

l  Cisco Talos 팀은 Live Networks LIVE555 Media Server 버전 0.92의 취약점을 발견하고 10월 17일에 보안패치를 공개하였습니다.

l  뉴스보기

Critical Flaws Found in Amazon FreeRTOS IoT Operating System (2018-10-18)

l  보안연구원은 보편적인 임베디드 실시간 운영체제 중 하나인 FreeRTOS 에서 다양한 IoT 장치 및 주요 인프라 시스템을 해커들에게 노출하는 취약점을 발견했습니다.

l  FreeRTOS의 TCP/IP 스택과 관련된 CVE-2018-16522, CVE2018-16523 등 13개의 취약점으로 인해 공격자가 대상 장치의 메모리에서 정보를 볼 수 있고 원격으로 악성코드를 실행 시켜 장치를 제어할 수 있습니다.

l  Zimperium은 Amazon에 취약점을 보고했으며 AWS FreeRTOS 1.4.2 최신버전에서 보안패치를 배포했습니다.

l  뉴스보기

---

Proofpoint 발췌분

 

sLoad and Ramnit pairing in sustained campaigns against UK and Italy (2018-10-23)

l  Proofpoint 연구원이 2018년 5월 이메일 캠페인에서 발견한 새로운 다운로더인 sLoad는 Ramnit banker 및 정찰 기능을 포함한 PowerShell 다운로더로 최초 발견 이후 여러 버전이 확인되었으며, 2018년 10월 22일에 발견된 버전에서는 PowerShell 없이도 특정 .LNK 을 통해 sLoad 다운로드가 가능했습니다.

l  sLoad는 실행중인 프로세스 목록, Outlook, Citrix 관련 파일 존재 여부 등 감염된 시스템에 대한 정보를 수집하며, 스크린샷을 찍고 특정 도메인에 대한 DNS 캐쉬를 확인하고 외부 바이너리를 로드 할 수 있습니다.

l  sLoad, Marap 등 다운로더는 중요한 시스템에 ransomware를 제공하거나 수익률이 높은 시스템에 뱅킹 트로이를 제공하는 등 유연성을 가진 위협요소입니다.

l  뉴스보기

---

KISA 보안공지

 

액티브소프트 MyBuilder 보안 업데이트 권고 (2018.10.29)

---

 

기타 동향

 

갠드크랩 랜섬웨어 무력화시키는 복호화 툴 두 가지 공개

l  보안 업체 비트디펜터(Bitdefender)와 이셋(ESET)이 각각 갠드크랩(Gandcrab) 랜섬웨어 복구 툴을 발표했습니다.

l  “환영합니다! 안 됐지만 당신의 파일 전부가 암호화 됐습니다”라는 협박 편지를 화면에 띄우는 것으로 알려져 있습니다.

l  비트디펜더는 갠드크랩 복호화 툴 버전 1, 4, 5를 개발해 배포 중이며 시리아에서 나타난 모든 버전에 대한 대응책이고 이셋도 이전에 갠드크랩 개발자가 공개한 키 사용해 복호화 툴 개발했습니다.

l  뉴스보기

안드로이드 장비를 프록시 서버로 변환시키는 멀웨어 등장

l  안드로이드 기기를 프록시 서버로 변환시키는 멀웨어를 보안 업체 맥아피(McAfee)가 발견했습니다.

l  이 멀웨어의 이름은 팀프도어(TimpDoor)로, 가짜 보이스 앱을 설치하라는 내용의 피싱 문자 메시지를 통해 확산되고 있습니다.

l  공격자로서는 기기를 백도어로 사용할 수 있는 것만이 아니라, 해당 기기가 연결되어 있는 네트워크를 남용해 스팸과 피싱 이메일을 전송하거나, 광고 클릭 사기를 유발하고, 디도스 공격을 실시할 수도 있다고 맥아피는 설명합니다.

l  뉴스보기