최근 MS의 취약점으로 인해 부산함을 떨었던 적이 있습니다. 11월 11일 자로 새로운 보안 취약점이 발표되어 간단히 정리합니다.

윈도우에서 취약점이 발견되었는데 크래커가 윈도우의 특정한 보안 기능을 우회하여 공격할 수 있다고 합니다. 이 취약점은 거의 모든 윈도우 버전에서 발견되었습니다.

취약점은 NTLM 자격 증명을 처리할 때에 SMB(Server Message Block) 내에서 인증 오류를 일어나게 하는 방식으로 유발됩니다. 공격자는 자격 증명을 제공한 사용자의 권한을 그대로 사용하는 리플레이 공격(replay attack)을 할 수 있습니다.

해결 방안은 패치를 적용하는 것으로 아래 링크를 참고하십시오.

Windows 2000 SP4:
http://www.microsoft.com/downloads/de...=44c971e6-96fc-4bba-8f4a-f9d46bda2b6c

Windows XP SP2:
http://www.microsoft.com/downloads/de...=6f8ae0aa-fd68-4156-9016-bba00149793c

Windows XP SP3:
http://www.microsoft.com/downloads/de...=6f8ae0aa-fd68-4156-9016-bba00149793c

Windows XP Professional x64 Edition (optionally with SP2):
http://www.microsoft.com/downloads/de...=9501b33b-d639-43e7-ad5a-9e76ed66effd

Windows Server 2003 SP1/SP2:
http://www.microsoft.com/downloads/de...=57a0606d-ea7a-4e5b-8b8b-7b77a444ef75

Windows Server 2003 x64 Edition (optionally with SP2):
http://www.microsoft.com/downloads/de...=915e001f-9aa0-4fb0-9c2a-0f0c72b4f056

Windows Server 2003 with SP1/SP2 for Itanium-based Systems:
http://www.microsoft.com/downloads/de...=6abf7ba9-825f-4ee2-a2fe-6b1cd9fab622

Windows Vista (optionally with SP1):
http://www.microsoft.com/downloads/de...=5612815f-8685-45d2-af4a-164c298a0869

Windows Vista x64 Edition (optionally with SP1):
http://www.microsoft.com/downloads/de...=727ce9b6-827f-4350-b4ff-c08e8ac541a6

Windows Server 2008 for 32-bit Systems:
http://www.microsoft.com/downloads/de...=b305e894-61ec-46b4-91ee-4c9ac59bc47e

Windows Server 2008 for x64-based Systems:
http://www.microsoft.com/downloads/de...=e8d26dfd-b347-4f10-b5b6-27dfff5e4f47

Windows Server 2008 for Itanium-based Systems:
http://www.microsoft.com/downloads/de...=d565467d-e10f-4ddc-a278-3f81a3798686


원문 : MS08-068 (KB957097):
http://www.microsoft.com/technet/security/Bulletin/MS08-068.mspx

어제 오바마가 미국 44대 대통령에 당선되었습니다. 스패머들은 이러한 이슈를 그냥 넘기지 않습니다. 바로 금전적인 이익을 거둘 수 있는 스팸 메시지의 제목으로 선량한 시민의 눈길을 잡아 끕니다.

지난 수요일, 보안 업체인 소포스랩스(SophosLabs)에서 오바마의 대선 승리에 대한 뉴스 및 비디오를 보여준다는 대규모의 스팸 공격을 발견했습니다.

소포스랩스는 영국에 위치한 안티스팸 및 안티 바이러스 전문 업체입니다.

이메일은 보낸 사람이 "news@president.com"이고 제목은 "Obama win preferred in world poll"로 되어 있습니다.

이메일 본문에는 "amazing speech"라는 링크를 클릭하도록 요구하고 있으며 만약 사용자가 이를 클릭하는 경우(특히 아도브 플래시 9를 사용하는 경우)에는 시스템을 원격에서 조종할 수 있는 악성 코드에 감염됩니다. 악성 코드의 이름은 Mal/Behav-027로 이름지었습니다.

소포스랩스의 기술 컨설턴트인 그래함 클루레이(Graham Cluley)는 블로그에서 "사이버 범죄는 위험한 사이트에서 시작된다며 내 추측으로는 오바마의 사례를 볼 때 크래커는 인터넷 사용자를 감염되키기 위해 탐욕을 드러 낸다고' 언급했습니다

구글이 야심차게 준비하고 있는 '구글 안드로이드' 운영 체제에 대한 다양한 서드파티의 지원이 가속화되고 있습니다. 우리나라에서도 휴대폰의 플랫폼이 위피가 이정도의 파워를 보여줬다면 현재의 위피 존폐 여부가 왈가왈부되는 현실이 서글프기도 합니다. 하여튼,

SMobile Systems는 구글 안드로이드 OS에서 동작하는 최초의 안티 바이러스 소프트웨어를 출시한다고 발표했습니다. 이 제품의 이름은 SMobile VirusGuard입니다.

VirusGuard는 모바일 폰에서 동작하는 안드로이드 운영체제를 보호하기 위해 개발된 보안 제품입니다.

SMobile 엔지니어는 애플의 iPhone, Symbian, Palm, 윈도우 모바일, 블랙베리와 같은 휴대용 기기 제품의 안티 바이러스 및 보안 제품을 개발하는 지식을 사용하였다고 합니다. VirusGuard는 약 1년 이상 개발에 투자되었으며 2009년 1사분기에 소비자에게 선보일 예정입니다.

출처 - android community

안티 바이러스, 시큐리티 슈트와 같은 보안 제품은 우리가 컴퓨터를 보다 안전하게 사용할 수 있도록 도와주는 프로그램입니다. 하지만, 등잔 밑이 어둡고, 가까운 곳에 적이 숨어 있는 법.

또한, 보안 제품을 타겟으로 하는 전문 악성 프로그램(익스플로잇)이 있다고 합니다. 이에 대해 간략히 정리해 봅니다.

시큐니아(Secunia)는 윈도우 뿐만 아니라 다양한 애플리케이션에서 발생할 수 있는 취약점을 상세하게 알려 주는 스캐너 프로그램으로 유명합니다. 시큐니아는 컴퓨터를 보호하기 위해 사용하는 여러 보안 제품들이 익스플로잇으로부터 위협이 되고 있다는 보고서를 밝혔습니다. 이 보고서에서는 보안 제품을 공격하는 실제 익스플로잇이 얼마나 되는지도 밝혔습니다.

시큐니아는 맥아피, 시만텍, F-Secure, 빗디펜더, 판다, 카스퍼스키 등 회사가 제공하는 보안 프로그램과 마이크로소프트가 제공하는 원케어 그리고 존알람 시큐리티 슈트 8, AVG 인터넷 시큐리티 8, CA 인터넷 시큐리티 2008, 트렌드 마이크로 인터넷 시큐리티 2008, 노만 7.10 등 제품을 테스트하였다.

약 300 가지의 익스플로잇에 대한 테스트가 진행되었으며 이 중 126개는 시큐니아에서 매우 중요하게 여기는 익스플로잇이었습니다. 가장 중요한 테스트는 바로 제로데이 위협, 널리 알려져 있는 익스플로잇, 그리고 시큐니아에서 개발한 익스플로잇으로 구성되어 있습니다.

테스트 결과 노턴 인터넷 시큐리티 2009가 다른 제품이 비해 대부분의 익스플로잇을 진단하고 차단하는데 효과적인 것으로 밝혀졌습니다. 하지만, 즐거워하기에는 너무 이릅니다. 노턴에서 진단해 낸 익스플로잇은 300 개 중에서 고작 64개로 21.33%에 불과합니다.

빗디펜더와 트렌드 마이크로는 두번째로 높은 진단율을 보였으며 각각 2.33%와 3.97%에 불과했습니다. 맥아피는 겨우 2%를 차지했지만 세번째로 등급이 매겨졌습니다.

그리고 원케어, 카스퍼스키, AVG, F-Secure, 판다, 존알람, CA, 노만의 순서로 진단율을 보이고 있으며 존알람은 0.67%, CA는 0.33%에 불과했습니다.


출처: http://www.thetechherald.com/article.php/200842/2243/Security-suites-fail-exploit-testing-as-Secunia-proves-layers-work

최근 웹 공격이 많아지면서 대형 포탈 뿐만 아니라 유명한 웹 사이트들이 종종 해킹당하는 사태가 벌어지고 있습니다. 지난 주에 발생한 어도비(Adobe) 웹사이트의 해킹 소식을 전합니다.

보안 기업으로 유명한 소포스(Sophos) 사는 어도비 웹사이트에 방문한 사람들이 악성 코드에 감염될 수 있었다고 밝혔다.

소포스는 이러한 문제를 확인하고 지속적으로 어도비에 연락을 취하였으며 지난 주 목요일까지 악성 코드가 웹사이트에 그대로 방치되었다고 한다.

웹 사이트에서 비디오 블러거를 위한 팁을 제공하는 'Vlog IT support centre section' 부분에 'Mal/Badsrc-C'라는 악성 코드가 존재했다고 합니다. Mac/Badsrc-C 악성 코드는 SQL 인젝션 공격을 이용하여 여러 컴퓨터에 널리 감염시키는 위험한 코드이며, 인터넷에서 악성 스크립트를 다운로드하여 실행되면 사용자 PC에 스파이웨어가 설치됩니다.

하지만, 아직까지 어도비 사에서는 명확한 답변을 하지 않고 있습니다.

안티 바이러스와 같은 보안 제품이 아니지만 정확히는 보안 제품인 척하면서 컴퓨터를 망가뜨리거나 돈을 내야만 정상적으로 동작하게 하는 프로그램을 보통 허위 보안 프로그램(Rogue Security Program)이라고 합니다.

가장 대표적인 예로는 Antivirus 2009가 있으며, 최근에는 맥 운영체제에서 동작하는 가짜 보안 제품이 인터넷 상에서 유포되고 있다고 합니다.

외국 보안 회사로 알려져 있는 선벨트(Sunbelt) 사의 알렉스 에켈베리에 따르면 '맥가드(MacGuard)'라고 하는 제품을 광고하는 웹사이트를 발견했다고 합니다.

http://www.macguard.net

이 제품은 OS X 운영체제에서 사용할 수 있으며 안티바이러스 뿐만 아니라 스파이웨어 기능도 제공하며 애드웨어와 피싱 공격도 차단할 수 있다고 되어 있습니다.

아직까지 이 사이트에서 다운로드받을 수 있는 링크는 나타나지만 실제로는 다운로드할 수 없습니다.


이 사이트들의 배경에는 'Antivirus XP 2008'과 'XP Antivirus'를 배포하는 집단이 있을 것으로 믿어지고 있습니다. 이 두 프로그램은 허위 윈도우 보안 프로그램으로 사용자에게는 최악의 피해를 입히고 있으며, 최근에는 V3를 비롯한 다양한 안티바이러스에서 이를 진단하는 추세를 보이고 있습니다.

만약 MacGuard 프로그램이 정말 가짜 보안 프로그램으로 밝혀진다면 이는 맥 운영체제에서 출현하는 악성 프로그램으로 또다른 전기를 맞게 될 수도 있습니다.

최근 넷북이라고 하여 작은 노트북 스타일이 인기를 얻고 있습니다. 주로 대만에서 생산하는 제품이 많습니만, 이번 달에는 삼성과 LG에서도 이러한 제품을 출시하고 있습니다.

넷북 메이커로 유명한 아서스(ASUS)가 일본에 판매한 EEE PC에서 바이러스가 발견되어 리콜 조치되고 있다는 소식이 있어 간략히 정리해 봅니다.

지난 화요일에 차이나테크뉴스(ChinaTechNews.com)에 따르면 일본에서 판매한 아서스 EEE 피시 제품을 리콜한다고 발표하였는데 그 이유가 제품에 바이러스 포함된 것으로 알려졌습니다.

EEE PC에는 recycled.exe 파일이 D 드라이브에 저장되어 있는데 이 파일을 일단 실행하게 되면 다른 드라이브로 사본을 스스로 복사합니다. 하드 드라이브 뿐만 아니라 USB 드라이브에도 복사되며 이 후에는 인터넷에서 악성 코드를 내려 받아 설치합니다. 이로 인해 컴퓨터가 느려질 뿐만 아니라 보안 위협에 노출됩니다.

아서스의 리 유셍(Li Yusheing)에 따르면 이 사건은 일본에 판매된 EEE PC 제품에서만 발생했다고 합니다. 하지만, 일본에서는 이미 300 여대 이상 팔린 것으로 알려져 있어 빠른 리콜이 필요한 시점으로 보입니다.

출처: http://www.chinatechnews.com/2008/10/14/7729-virus-alert-asus-recalls-eee-box-pcs-in-japan/

최근 마이크로소프트는 비주얼 스튜디오 6에 관련된 제로데이 취약점에 대해 조사하기 시작하였습니다. 비주얼 스튜디오는 프로그래밍 언어를 개발하는 통합 도구로 6은 오래된 버전입니다.

취약점의 원인은 "Masked Edit"라고 하는 액티브 액스 컨트롤 때문에 발생하는 것으로 알려져 있습니다. 이 취약점을 발표한 Secunia(http://www.secunia.com)에서는 이 취약점을 "아주 치명적"인 것으로 간주하였으며, 스택 기반의 버퍼 오버플로를 발생시킨다고 합니다.

사용자가 특별하게 조작된 웹사이트를 방문하는 경우에 악성 코드에 감염될 수 있습니다.

취약점이 발생하는 제품은 비주얼 스튜디오 6 엔터프라이즈, 프로페셔널, 스탠다드 에디션이지만, 다른 버전에서도 동일한 취약점이 있을 것으로 예상됩니다.

비쥬얼 스튜디오 6은 지난 2000년 7월경에 마지막으로 업데이트되었으며, 현재로는 더이상 기술지원이 제공되지 않습니다.

참고로, 최신 버전은 비주얼 스튜디오 2008입니다.

출처: http://www.scmagazineus.com/Microsoft-looks-into-Visual-Studio-bug/article/115459/

발간일: 2008년 6월 30일, 개정일: 2008년 7월 16일

마이크로소프트는 WSUS(Windows Server Update Services 3.0 또는 SP1)을 통해 마이크로소프트 오피스 2003이 설치된 클라이언트에 보안 업데이트를 배포할 때 발생하는 문제점에 대해 조사를 완료하고 발표하였습니다. 마이크로소프트는 KB954960 문서를 통해 이 문제점을 수정하는 업데이트를 출시하였습니다.

보안 권고문은 다음의 프로그램에 해당합니다

이 업데이트는 보안상 취약점을 해결하지 않습니다.

원본 위치 <http://www.microsoft.com/technet/security/advisory/954960.mspx>

독립적인 보안 연구가가 인텔 CPU를 사용하는 시스템을 원격에서 접속하여 침투할 수 있다는 주장을 합니다.

크리스 카스퍼스키(Kris Kaspersky) - 우리가 잘 알고 있는 카스퍼스키 안티바이러스를 개발한 유진 카스퍼스키가 아님 - 는 인텔 코어2와 이태니엄(IA64) CPU를 사용하는 컴퓨터를 공격할 수 있는 코드를 개발 중이라고 주장하였습니다.

2008년 10월, 말레이지아에서 개최될 해킹 관련 컨퍼런스에서 인텔 코어 2 제품군에서는 128 가지나 되는 버그가 알려져 있으며 이태니엄 CPU에서는 230 여가지 이상 존재한다고 주장했다. 카스퍼스키에 따르면, 인텔에서는 BIOS 제조사에게 이러한 버그를 막을 수 있는 대안을 제시하기도 하지만 일부 버그는 그대로 남아 있다고 합니다.

그는 공격 코드를 개발하기 위해 이러한 버그를 이용한다고 말하지는 않았습니다. "일부 버그는 그냥 시스템을 다운시킬 수도 있지만, 공격자가 시스템을 완벽하게 장악할 수 있는 버그도 있다"고 보고서에서 전합니다.

CPU에 버그가 있다는 소식은 그리 새로운 뉴스는 아니지만 아직까지 CPU에 관련된 버그를 이용하여 공격하는 악성 프로그램이 알려져 있지 않지만 앞으로 인터넷 상에 그러한 공격이 출현할 것으로 믿고 있다고 한다. 카스퍼스키는 자바스크립트나 TCP/IP 패킷을 사용하여 이러한 공격을 가능케하는 익스플로잇 코드를 밝힐 계획입니다.

한편 보안 관계자들은 카스퍼스키의 주장에 대해 유보적인 입장을 표명하고 있습니다.

"카스퍼스키가 말한 대로 공격이 이루어지더라도 안티바이러스(소프트웨어)가 이를 감지할 수 없을 것이다. 만약 자바스크립트로 공격을 한다면 안티 바이러스의 웹 방어에 관련된 모듈에 따라 감지할 수도 못할 수 있습니다" 하지만, TCP/IP 패킷으로 공격을 한다면 여러분은 운이 없는 셈입니다. CPU 버그를 이용하는 코드를 어떻게 실행시키느냐에 따라 달라질 수 있을 것이라고 Pure Hacking 보안 컨설턴트인 크리스 갯포드(Chris Gatford)가 언급했습니다.

익스플로잇의 영향력에 대해서는 아직 알려져 있지 않지만 인텔 CPU를 사용하는 맥 시스템에도 유사한 영향을 미칠 수 있지만, 윈도우에 비해서는 상대적으로 안전할 수도 있을 것입니다.

관련 자료: http://conference.hackinthebox.org/hitbsecconf2008kl/?page_id=214