두루안 블로그

[보안뉴스] 2018년 11월 1주 동향 본문

IT소식

[보안뉴스] 2018년 11월 1주 동향

두루안 2018. 11. 15. 16:41

 

The Hackers News 발췌 분

 

Two New Bluetooth Chip Flaws Expose Millions of Devices to Remote Attacks (2018-11-01)

l  보안 연구원들은 전세계 기업들이 많이 사용하는 액세스 포인트 및 네트워크 장치에 내장된 BLE(Bluetooth Low Energy) 칩에서 2가지 치명적인 취약점 CVE-2018-16986, CVE-2018-7080 이 있음을 밝혔습니다.

l  취약점 CVE-2018-16986은 블루투스 칩에 들어오는 데이터를 분석하는 방식의 허점을 이용한 방법으로, Cisco Meraki의 많은 Wi-Fi 액세스 포인트에 영향을 미칩니다. 취약점 CVE-2018-7080 Over the Air 펌웨어 다운로드라는 BLE칩의 Texas Instruments 펌웨어 업데이트 기능에서 발생되는 문제로 Aruba Wi-Fi 액세스 포인트 300 시리즈에 영향을 미칩니다.

l  Cisco CVE-2018-16986 취약점에 관해서 3개의 Aironet 시리즈 무선 액세스 포인트용 BLE-STACK 버전 2.2.2를 발표했고 Aruba CVE-2018-7080 취약점에 관해서 Aruba 3xx IAP-3xx 시리즈 액세스 포인트에 대한 보안패치를 발표했습니다.

l  뉴스보기

New iPhone Passcode Bypass Found Hours After Apple Releases iOS 12.1 (2018-10-30)

l  스페인 보안연구원은 애플이 2018 10 30일에 출시한 iOS 12.1에서 Passcode bypass 우회 버그를 발견했으며, 이것은 iOS 12.1에 새로 추가된 “Group FaceTime”’ 기능과 관련 있습니다.

l  Passcode bypass 우회 버그는 이전과 달리 Siri VoiceOver 스크린 리더 기능을 사용하지 않아도 작동하며, 다른 iphone으로 Facetime으로 전화를 걸어서 연락처를 볼 수 있습니다.

l  같은 iphone일 경우만 작동한다는 점에 유의해야 하며, 아직 이 Passcode bypass 우회를 막을 수 있는 방법이 없으므로 주의해야 합니다.

l  뉴스보기

Windows 10 Bug Let UWP Apps Access All Files Without Users' Consent (2018-10-30)

l  마이크로소프트는 Windows 10에서 Microsoft Store App 사용 시 사용자 동의없이 컴퓨터 내 모든 파일에 접근할 수 있는 버그를 발견하여, 2018 10월에 출시된 1809 버전에서 비공식적으로 패치 하였습니다.

l  이 버그는 데스크톱 PC, Xbox, IoT, Surface Hub Mixed-reality 헤드셋 등 Windows 10이 실행되는 기기에서 앱을 실행할 수 있게 허용해주는 UWP(Universal Windows Platform)과 관련된 문제입니다

l  마이크로소프트는 Window 10 10월 업데이트 롤업을 중단했기 때문에 업데이트가 없는 사용자는 “설정 -> 개인정보 -> 파일시스템”을 통해 컴퓨터에서 파일 시스템에 대한 UWP 응용 프로그램 액세스를 제한 할 수 있습니다.

l  뉴스보기

Unpatched MS Word Flaw Could Allow Hackers to Infect Your Computer (2018-10-29)

l  사이버 보안연구원은 아직 최신으로 패치 하지 않은 MS Word 2016와 그 이전버전에서 취약점을 발견했습니다. 이 취약점을 통해 공격자가 문서파일에 악의적인 코드를 탑재하여 사용자 시스템에서 악성코드를 실행할 수 있습니다

l  이 취약점은 사용자가 워드 문서에 온라인 비디오 링크를 추가할 때 HTML 소스 스크립트가 자동적으로 생성되고, 워드 문서 내 썸네일이 뷰어에 의해 클릭될 때 생성된 HTML 소스 스크립트가 실행되는 특성을 이용합니다.

l  연구원은 비디오 태그가 포함된 Word 문서(Document.xml 파일 안에 “embeddedHtml”이란 태그)를 차단하도록 권장하며 출처를 알지 못하는 메일의 첨부파일을 열지 말 것을 권장했습니다.

l  뉴스보기


Proofpoint 발췌분

 

sLoad and Ramnit pairing in sustained campaigns against UK and Italy (2018-11-01)

l  2018 3/4분기에 발생된 사이버공격을 유형별로 분석해보면 ransomware는 크게 사라진 것으로 보였지만, 뱅킹트로이얀, 다운로더, 정보도용이 그 공백을 채웠습니다.

l  뱅킹트로이얀, 다운로더, 정보도용만으로도 사이버 공격의 94%를 차지합니다. 공격 방법은 대부분 사기 이메일이나 과거에 비해 사기 메일 형식이 매우 다양해지면서 자동화된 플랫폼 보호기능을 지속적으로 개발하여도 소셜 미디어 지원 사기는 해결되지 않고 있습니다.

l  이런 피해를 줄이기 위해서 proofpoint는 고객대상 업무를 하는 직원들에게 인바운드 되는 전자메일 위협을 식별하고 격리하는 솔루션을 활용하고, 이메일 사기 방어 시스템을 구축하여 페이로드가 없는 소량의 전자메일 사기 공격에 대처하도록 권장했습니다.

l  뉴스보기


KISA 보안공지

 

Cisco 제품군 보안 업데이트 권고 (2018.11.02)

Apple(Safari, iCloud, iTunes, watchOS, iOS, tvOS, macOS) 보안 업데이트 권고 (2018.11.02)

Veritas NetBackup 장비 보안 업데이트 권고 (2018.10.29)


 

기타 동향

 

반려동물용 IP 카메라 해킹해 주인 사생활 털었다

l  집에서 키우는 반려동물을 위해 주인이 설치한 IP카메라를 해킹해 반대로 주인의 사생활을 엿본 피의자들이 검거됐습니다.

l  2014 6 5일부터 2018 10월 사이에 반려동물 사이트를 해킹하거나 중국산 해킹 프로그램을 입수하는 방법 등으로 가정집 등에 설치된 IP카메라 총 47 5,164(국내 5 9,062, 해외 416,102)의 접속정보를 알아낸 뒤, 그 중 4,912대의 IP카메라에 무단 접속해 피해 여성들의 민감한 사생활 장면을 녹화한 동영상 파일을 컴퓨터 등에 보관했습니다.

l  경찰은 IP카메라 사용자들은 제품 구입당시 설정된 기본 계정(admin, user, root)이나 초기 비밀번호를 그대로 사용하는 것을 피하고 안전한 비밀번호로 재설정한 후 수시로 변경하는 습관을 들여야 하고, IP카메라를 사용하지 않는 때에는 전원을 끄거나 렌즈를 가려 놓는 등의 주의를 기울여야 한다고 강조했습니다.

l  뉴스보기

불법 소프트웨어 설치된 PC 84%에서 멀웨어 발견

l  마이크로소프트는 아시아 지역 9개 국가에서 시중 가격보다 훨씬 낮은 가격에 판매되거나, 무상으로 소프트웨어 번들을 제공하는 새 PC 166대를 구입해 자체 조사를 진행으며, 구매한 PC 가운데 83%는 불법 소프트웨어가 설치되어있었고, 불법 소프트웨어가 설치된 PC 가운데 84%에서 트로이목마나 바이러스와 같은 멀웨어가 발견되었습니다.

l  PC에 불법 소프트웨어를 설치하는 과정에 이뤄지는 관행 가운데 하나는 컴퓨터 백신과 윈도우 디펜더(Windows Defender)와 같은 보안 기능을 해제하는 것입니다.

l  마이크로소프트는 PC를 구매하기 전에 판매처가 검증된 곳인지, 그리고 정품 소프트웨어가 설치된 지를 확인하길 권고했습니다.

l  뉴스보기

윈도우 RID 하이재킹 해 권한 상승시키는 공격 기법 발견

l  보안전문가 카스트로는 RID라는 윈도우 시스템 요소를 하이재킹 하도록 해주는 새로운 침투 후 공격 기법(post-intrusion attack technique)이 발견됐습니다.

l  이 공격 기법을 사용하면 게스트 및 다른 낮은 권한의 계정들에 관리자급 권한을 줄 수 있게 해주며, 이번에 발견된 공격에 연루된 RID는 크게 두 가지 종류로 500 501입니다.

l  500은 관리자 계정의 SAM 끝 부분에 사용되고, 501은 게스트 계정과 관련되어 있으며, 하이재킹 기술은 결론부터 말해 이 정보가 저장된 레지스트리 키를 조작함으로써 계정의 RID를 변경시키는 것이므로 게스트 계정에 해당하는 501 500으로 바꾸는 것을 말합니다.

l  마이크로소프트는 카스트로가 블로그를 통해 이 취약점을 공개하고, 해외 보안 언론들이 이에 대해 다루기 시작하자, 그때서야 보고서를 검토 중에 있다고 말했습니다.

l  뉴스보기

 

 

0 Comments
댓글쓰기 폼