[보안뉴스] 2020년 8월 2주 동향

 

 

The Hacker News 발췌분

 

New Attack Lets Hackers Decrypt VoLTE Encryption to Spy on Phone Calls (2020-08-13)

 

l 4G LTE와 5G 네트워크에서 심각한 보안 문제를 밝혀내 화제가 됐던 academic researchers 팀이 오늘 'ReVoLTE'라는 새로운 공격을 발표했습니다. 이 취약점으로 원격 공격자들이 VoLTE 음성통화에서 사용하는 암호화를 깨뜨리고 표적 전화 통화를 도청할 수 있습니다.

l 이 취약점은 대부분의 이동 통신사가 하나의 무선 연결 내에서 후속 통화 두 건에 대해 동일한 키스트림을 사용하여 전화와 동일한 기지국 사이의 음성 데이터를 암호화하는 경우가 많다는 데에서 비롯됩니다. 피해자가 '타겟팅 된 통화'를 끊으면 공격자는 피해자에게 10초 이내에 전화를 걸어야 하는데, 이는 취약한 네트워크가 이전의 타겟팅 된 통화와 동일한 무선 연결로 피해자와 공격자 사이의 새로운 통화를 시작하도록 강제할 수 있습니다. 1단계에서 캡쳐 된 표적 통화의 해당 암호화된 프레임으로 키스트림을 XOR링하면 내용이 해독되어 공격자는 이전 전화 통화에서 피해자가 어떤 대화를 나눴는지 들을 수 있습니다.

l연구진은 2019년 12월 초 GSMA 조정 취약성 공개 프로그램 프로세스를 통해 피해 독일 기지국 운영자들에게 ReVoLTE 공격에 대해 통보했고, 운영자들은 발간 시점에 맞추어 패치를 완료했습니다. 이 문제가 전 세계 수많은 제공업체에도 영향을 미치기 때문에 연구진은 자사의 4G 네트워크와 기지국이 ReVoLTE 공격에 취약한지를 탐지하는 데 사용할 수 있는 'Mobile Sentinel'이라는 오픈소스 안드로이드 앱을 출시했습니다. David Rupprecht, Katharina Kohls, Thorsten Holz와 Christina Pöpper도 "Call Me Maybe: Eavesdropping Encrypted LTE Calls With REVOLTE"이라는 제목의 전용 웹사이트와 연구논문 PDF를 공개했습니다.

l 뉴스보기

 

Microsoft Reveals New Innocent Ways Windows Users Can Get Hacked (2020-08-12)

 

l Microsoft는 오늘 오전 자사의 모든 Windows 운영 체제 및 기타 제품에 대해 2020년 8월 소프트웨어 보안 업데이트를 발표했습니다. 이번 달 패치 화요일 업데이트는 새로 발견된 총 120개의 소프트웨어 취약점을 해결하는데, 이 중 17개는 중요도가 높으며 나머지는 중요도가 매우 높습니다.

l Microsoft에 따르면 활성 공격 시 제로데이 취약성 중 하나는 스크립팅 엔진의 라이브러리 jscript9.dll에 상주하는 원격 코드 실행 버그로 IE9 이후 모든 버전의 Internet Explorer에서 기본적으로 사용되고 있습니다. CVE-2020-1380으로 추적된 이 취약성은 Kaspersky Labs에 의해 발견되었으며, 공격자가 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있는 방식으로 Internet Explorer의 동적 메모리를 손상시키는 JScript취약성입니다. 따라서 현재 사용자가 관리 권한으로 로그인한 경우 공격자가 영향을 받는 시스템을 제어할 수 있습니다.

l두 번째 제로데이 취약성 CVE-2020-1464은 Windows에서 파일 서명의 유효성을 잘못 검사할 때 존재하는 Windows 스푸핑 버그입니다. 제로데이 버그는 지원되는 모든 버전의 Windows에 영향을 미치며 공격자가 잘못 서명된 파일이 로드되지 않도록 의도된 보안 기능을 우회하여 잘못 서명된 파일을 로드할 수 있도록 합니다.

l이 외에도, NetLogon for Windows Server 에디션에 영향을 미치는 권한 상승 결함에 대한 중요한 패치가 포함되어 있습니다. CVE-2020-1472로 추적된 이 취약성은 인증되지 않은 공격자가Netlogon Remote Protocol(MS-NRPC)을 사용하여 도메인 컨트롤러(DC)에 연결하고 관리 액세스 권한을 얻어 네트워크의 장치에서 악의적인 애플리케이션을 실행하는 데 악용될 수 있습니다.

l 뉴스보기

 

TeamViewer Flaw Could Let Hackers Steal System Password Remotely (2020-08-10)

 

l TeamViewer는 원격 액세스 소프트웨어로 Windows, MacOS, Linux, Chrome OS, iOS, Android, Windows RT Windows Phone 8, BlackBerry 등 데스크톱 및 모바일 운영 체제에서 사용되어 왔습니다. Praetorian의 Jeffrey Hofmann에 의해 발견된, 고위험 취약성 CVE 2020-13699은 TeamViewer가 사용자 지정 URI 핸들러를 인용하는 방식에 있으며, 이를 통해 공격자는 소프트웨어가 NTLM 인증 요청을 공격자의 시스템에 전달하도록 할 수 있습니다.

l 공격자가 이 취약성을 성공적으로 이용하려면 공격자가 웹 사이트에 악의적인 iframe을 내장한 다음 피해자를 속여 악의적으로 조작된 URL을 방문하도록 해야 합니다. 공격자가 클릭하면 TeamViewer는 자동으로 Windows 데스크톱 클라이언트를 시작하고 원격 SMB 공유를 열 것입니다. 피해자의 Windows OS는 SMB 공유를 열 때 NTLM 인증을 수행하게 되고, 그 요청은 코드 실행을 위해 응답기와 같은 도구를 사용하여 중계되거나 또는 해시 크래킹용으로 캡쳐 될 수 있습니다.

l TeamViewer 프로젝트는 영향을 받는 URI 핸들러에서 전달된 매개 변수를 인용하여 취약성을 패치했습니다. 사용자들은 자신의 TeamViewer 소프트웨어를 15.8.3 이상으로 업그레이드하고 불확실한 웹사이트에 접속해 링크를 누르지 않도록 하십시오.

l 뉴스보기

 

 

 

KISA보안공지

Adobe 제품군 보안 업데이트 권고 (2020-08-12)

MS 8월 보안 위협에 따른 정기 보안 업데이트 권고(2020-08-12)

TeamViewer 취약점 보안 업데이트 권고 (2020-08-11)

 

 

기타 동향

 

사물인터넷 장비들 사이에 잠복해 있을 사이버 고질병, 크룩 (2020-08-13)

l 칩셋의 암호화 및 복호화 처리 기능에서 발견된 ‘크룩’ 취약점.

l 암호화 키가 0000인 채로 데이터가 교환돼 도청과 감시 매우 쉬워짐.

l 패치가 나오긴 했으나, 엔드포인트 적용이 힘들 것으로 예상됨.

l 뉴스보기

 

틱톡, 안드로이드 앱 통해 사용자의 맥주소 정보 수집해왔다 (2020-08-13)

l 틱톡, 안드로이드 앱 통해 사용자 장비 맥주소 몰래 수집하고 있었음.

l 수집된 장비 고유 정보는 중국에 있는 틱톡의 모회사로 전송되고 있었음.

l 애플 생태계에서는 사용자들의 클립보드 정보를 수집하고 있음.

l 뉴스보기

 

모든 윈도에 적용되는 ‘윈도 DNS 취약점’ 발견... 심각도 10.0 (2020-08-10)

l 단일 공격으로 다른 컴퓨터로 확산을 허용하는 연쇄 반응을 유발하는 ‘워머블’.

l MS, 이슈 인정하고 이에 대해 가장 높은 보안 위험성 점수 부여(CVSS 10.0).

l 체크포인트, 윈도 사용자들에게 MS의 두번째 화요일 정기 패치를 모두 적용하도록 강력히 권고.

l 뉴스보기