윈도우 PC에는 개나소나 다 깔리는 프로그램 중 하나인 .NET Framework에서 원격 코드 실행이 가능한 취약점이 2017년 9월 13일 발표되었습니다.

 

취약한 닷넷프레임웍 버전은 Microsoft .NE Framework 2.0, 3.5, 3.51, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7입니다.

 

이에 따라, Windows XP버전부터 Windows 10까지, Windows Server 2003부터 Windows Server 2016까지 위험할 가능성이 있습니다.

 

exploit-db 사이트에 이미 공격에 대한 개념 코드 즉 PoC가 공개된 상황입니다. 개념코드에서는 워드 문서의 매크로가 이용되었으며, 최종적으로 그림판 파일을 실행하는 예로 설명되어 있습니다.

 

 

 https://www.exploit-db.com/exploits/42711/

 

 

이 취약점은 웹상으로 직접적인 다운로드로 발생할 가능성은 다소 낮지만, 스팸으로 발송될 경우에는 거의 모두 힛! 할 수 있는 상황이므로 앞으로의 패치 등에 관심을 기울여야 할 것으로 보입니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    무료 웹방화벽 모듈인 ModSecurity가 2.7.6 버전을 출시하였습니다. 이 버전은 기존 버전에서 발견된 버그를 해결하였을 뿐만 아니라 새로운 IIS 설치 프로그램(윈도 서버용)을 채용하고, LibInjection 모듈도 업데이트되었습니다.


    그러는 가운데, v2.7.7 버전도 출시되었습니다. 2.7.6은 2일전에, 2.7.7은 8시간 전에...




    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      국내 특히 P2P, 언론, SNS 사이트를 통해 악성코드 유포의 사례가 몇년 째 꾸준히 지속되고 있지만 제대로 대응 및 조치가 이뤄지지 못하는 실정입니다.

      이러한 문제가 국내뿐만 그런가 했더니, 해외에도 매한가지로 발생하는 것을 보면, 참으로 답답하기도 하고 씁쓸한 마음뿐입니다.


      해외 사이트 중에서 축구에 관련된 유명한 사이트 중의 하나인 Goal.com에서 악성코드를 유포하는 사고가 지난달 27-28일 발생했습니다. 참고로, Goal.com 사이트는 Alexa(인터넷 방문자 측정 및 랭킹 사이트) 기준 379위를 차지할 정도로 트래픽이 많으며 하루에 약 21만-23만 페이지의 방문 기록을 가지고 있습니다.

      문제는 공격자가 Goal.com 웹사이트의 컨텐트를 자기 입맛대로 바꿀 수 있었다는 것으로 이를 토대로 보면, 공격자가 서버를 어느정도 장악한 것으로 예상되고 있습니다.

      또한, 사용자가 감염될 수 있도록 3개의 도메인으로 된 경유지 링크(pxcz.cz.cc, opofy7puti.cz.cc, justatest.cz.cc)를 삽입하고, 이를 통해 결론적으로 CVE-2010-1423(자바), CVE-2010-1885(MS 도움말 센터 HCP), CVE-2009-0927(PDF), CVE-2006-0003(MS MDAC) 취약점을 이용하는 코드가 포함되어 있습니다.

      이러한 취약점은 대부분 사용자가 직접 업데이트를 해야 하는 수고가 따라야 하기 때문에 컴퓨터에 익숙하지 않은 사용자들이 많이 감염될 가능성이 높다고 볼 수 있습니다.


      그렇다면 이러한 문제의 원인은 무엇일까 고민해 봐야 할 것입니다.

      원인은 바로 웹 소스의 취약점 중의 하나인 SQL Injection으로 짐작되고 있습니다. 자료에 따르면 Mass SQL Injection의 형태를 띠고 있지 않는 것으로 언급되고 있어 공격자가 타겟화된 공격을 벌인 것으로 생각됩니다.

      이러한 SQL Injection 취약점은 나온지 약 15년 정도 되는 꽤 오래된 구식의 취약점에도 불구하고 여전히 명성을 떨치고 있습니다.

      현대 캐피탈, 소니 PSN 해킹 등등.

      언제쯤 이러한 문제의 해결이 이뤄질련지... ...

      감사합니다.

      자료 출처: http://threatpost.com/en_us/blogs/popular-sports-site-goalcom-serves-malware-050311


      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        Alexa는 전세계적으로 공인받은 웹사이트 방문 및 트래픽 순위 사이트입니다. 

        최근 알렉사의 상위 사이트 중에서 일방문 100K(10만) 이상 사이트를 중심으로 구글의 검색 엔진과 비교한 보고서가 발표되어 간단히 정리합니다.

        정상적이지 못한 웹사이트는 다음과 같은 문제점을 가지고 있습니다.
        • 스팸을 발송하는 경우
        • 악성 코드를 배포 또는 감염되는 경우
        지난 6개월간의 모니터링 결과 상위 100만개 사이트 중에서 약 1%인 10,494 개 사이트가 구글에 의해 블랙리스트로 차단되었습니다. 

        일방문 100k 이상인 사이트에서는 다음과 같은 결과가 나왔습니다.

        • 구글이 블랙리스트로 간주하여 차단한 경우: 1,238 (1.2%)
        • 의약품, 영화와 같은 스팸을 보내는 경우: 2,744 (2.7%)
        • 악성코드(or 가짜 백신) 감염 및 배포: 2,323 (2.3%)
        중복된 경우를 제외하고 전체적으로 살펴 보면, 약 3.6%인 3,641 개의 사이트에서 문제가 있는 것으로 파악되었습니다.

        물론, 구글이 악성코드를 완벽하게 진단할 수 있는 기술을 보유했다고 보기는 어렵기 때문에 실제로 감염 사례는 더욱 많을 것으로 예상됩니다.

        이와 같은 결과를 볼 때 다음과 같은 추측이 가능해집니다.

        1. 안전한 웹사이트는 더이상 없다. 
        2. 공격자는 공격이 가능한 경우 어떠한 사이트라도 시도한다.
        3. 사이트 관리자는 보안에 신경써야 한다.

        마지막으로 웹사이트에 방문하는 사용자도 안티바이러스와 같은 보안 제품을 사용해야만 보다 안전하다고 볼 수 있습니다.

        감사합니다.

        출처: http://blog.sucuri.net/2011/03/alexa-top-100k-sites-the-malware-blues.html?utm_medium=twitter&utm_campaign=winsec&utm_source=%40winsec
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          국내외에서 가장 많이 사용되는 데이터베이스 엔진을 골라보면 범용적인 목적에는 MySQL, MS-SQL 그리고 상용 및 대규모, 공공쪽에서는 Oracle이 많이 사용됩니다.

          SQL Injection 공격에 대한 내성으로 따져 보면, MySQL, MS-SQL은 100% 취약하며 Oracle은 상대적으로 약간 더 안전한 편입니다.

          하지만, 해커들의 꾸준한 노력으로 인해 Oracle에 대한 공격이 타 데이터베이스와 마찬가지로 발생할 날이 가까워 오고 있습니다.

          오라클은 SQL Injection과 같은 공격과 기타 데이터베이스 공격을 차단하여 데이터베이스의 컨텐츠에 대한 보안을 강화하기 위해 Oracle Database Firewall(ODF)를 출시합니다.

          먼저 Oracle Enterprise Linux 제품에 적용되게 되며 IBM DB2, Sybase ASE, MS-SQL에서도 지원할 예정이라고 합니다.

          오라클은 2010년 5월에 합병한 데이터베이스 방화벽 전문 기업인 Secerno의 기술을 이용하여 개발한 것으로 알려지고 있습니다.

          오라클에서 구현할 수 있는 데이터베이스 보안은 당연히 데이터베이스 방화벽이라고 말할 수 있을 것입니다. 하지만, 원인을 해결하지 않고 공격 코드만을 보고 판별하는 방법은 이미 타 벤더들이 제공하는 WAF와 동일하기 때문에 큰 효과를 거둘 수 있을 지는 미지수입니다.

          감사합니다.

          출처: http://www.databasejournal.com/news/article.php/3924691/Oracle-Debuts-Database-Firewall.htm
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            예전에 BBC 웹사이트의 해킹소식과 함께 여전히 SQL Injection 취약점이 존재한다는 글을 쓴 적이 있습니다.


            지난 화요일에 BBC 웹사이트 해킹에 대한 추가적인 뉴스가 올라와서 간단히 정리합니다.

            보안 기업인 WebSense에 따르면 BBC에서 운영하는 동영상 사이트에서 방문자들에게 은밀하게 악성코드를 유포하도록 해킹된 사실을 발견했다고 전했습니다.

            BBC의 6 Music과 1Xtra 웹사이트에서는 악성코드를 유포하는 도메인(맨 끝이 .cc)로 끝나는 익스플로잇이 <iframe> 태그형태로 삽입되었습니다. 유포되는 악성코드는 Phoenix exploit으로 이미 2007년도에 최초 출현한 이후에 꾸준히 배포되고 있는 실정입니다. 또한, 감염 상태를 손쉽게 파악할 수 있는 통계 정보도 수집하는 코드도 포함되어 있습니다.

            <그림 #1. WebSense의 블로그에 올라온 문제의 삽입 코드>

            웹사이트가 이렇게 감염된 경우에는 충분한 성능을 가진 안티바이러스(백신)을 설치하여 사용하지 않거나 최신 보안 패치가 적용되어 있지 않은 경우에는 사용자도 모르게 악성코드에 감염되게 되며, 보통 계정과 같은 개인 정보의 누출과 DDoS 공격에 사용되는 봇(bot)으로 이용될 가능성이 높습니다.

            특히 웹사이트가 유명하면서도 합법적으로 서비스가 되고 있는 상황, 게다가 엄청난 방문자수를 자랑하는 사이트에서 악성코드를 유포하기 때문에 더욱 심각하다고 볼 수 있습니다.

            또한 웹사이트에서는 SQL Injection 취약점으로 인한 코드 삽입이라기 보다는 비밀번호 누출과 같은 다른 방식의 공격이 사용되었을 수도 있다고 추측되고 있습니다. 즉, SQL Injection 취약점으로 이용하여 추가적인 공격을 진행한 것으로 추측됩니다.

            한 편, 국내의 상황을 보면 더욱더 심각한 편입니다. 법적인 문제 등으로 인해 정확히 밝힐 수는 없지만, 꽤 많은 웹사이트가 BBC와 마찬가지로 공격을 당하고 있습니다. 물론, 공격에 사용되는 도메인의 형태는 약간 다릅니다.

            다운로드되는 악성코드에 대응하는 안티바이러스의 결과는 다음과 같습니다.

            http://www.virustotal.com/file-scan/report.html?id=4a0ab371e6c6dd54deeab41ab1b77fa373d2face149523dfd183d669b31da6bc-1297784293


            감사합니다.

            출처: http://www.theregister.co.uk/2011/02/15/bbc_driveby_download/

             

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              지난 2월 초에 온라인 데이트 사이트인 PlentofFish(POF)가 해킹을 당해 약 2800만 건의 데이터가 누출되었다고 알려드린 적이 있습니다.
              인터넷 불륜 사이트, 해킹으로 2,800만 이용자들 화들짝! 놀라
              http://moonslab.com/1250

              그런데, POF를 해킹한 아르헨티나 해커인 Chris Rosso는 이번에는 eHarmony 사이트를 해킹하여 서버 정보 뿐만 아니라 수천명의 개인 정보까지 보유하고 있으며, 이 사이트를 판매한다는 광고까지 내건것으로 확인되고 있습니다.


              위의 하면은 carder.biz 포럼에 올려진 글이며, 이와 별개로 diversitybusiness.com의 150만개의 개인정보를 1,500 달러에 판매한다는 글, pixmania.com, eidos.com 등에 대한 것들도 올라와 있습니다.

              eHarmony의 기술 담당자인 Joseph Essas에 따르면 Russo는 advice.eharmony.com에서 사용하는 서드파티 라이브러리 중 하나에서 SQL Injection 취약점을 발견하였으며 이를 이용하여 공격한 것이라고 밝혔습니다.

              또한 Russo는 보안 서비스를 받도록 요구한 바가 있으며 이는 POF와 동일한 사례로 보입니다.

              이와 같이 최근에는 데이터베이스가 알차다고(!) 여겨지는 사이트의 해킹이 줄을 잇고 있으며 이러한 해킹의 주요한 원인은 SQL 인젝션 취약점으로, 앞으로도 개선할 부분이 많으며, 꾸준히 이러한 문제가 나타날 것으로 예상됩니다.

              감사합니다.

              출처: http://krebsonsecurity.com/2011/02/eharmony-hacked/?utm_medium=twitter&utm_campaign=winsec&utm_source=%40winsec
              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                애플이 개발하여 판매하는 아이폰뿐만 아니라 아이패드, 아이팟터치 등은 3살짜리 어린이도 사용할 수 있을 만큼 사용자 인터페이스가 뛰어납니다.

                특히, 이러한 제품에서 가장 많이 사용하는 앱스(apps)가 바로 웹브라우저인데, 기본적으로 아무런 제한이 없으며, 어린이가 웹서핑을 하다가 음란 사이트에 방문할 수도 있고, 악성코드를 유포하는 사이트에 방문할 가능성도 있습니다.

                이러한 문제점을 해결해 주는 K9 Web Protection Browser 제품이 K9이라는 외국 보안 업체에서 개발하여 무료로 제공하는 정보가 있어 간단히 정리합니다.


                먼저 K9 Web Protection Browser for iPhone, iPod Touch, iPad 앱을 다운로드하여 설치합니다.


                이제 기존에 사용하는 브라우저의 사용을 제한하고, 나이도 제한하는 방법을 소개합니다.

                1. 아이폰/아이팟터치/아이패드 에서 설정 -> 차단 -> Safari를 꺼 줍니다.

                2. 아래쪽에 허용된 컨텐츠에서 응용 프로그램을 선택하고 적절하게 나이를 선택합니다.

                이제 사파리 브라우저가 화면에서 보이지 않게 됩니다. 아까 설치한 K9 Browser를 편리한 위치로 옮겨 줍니다.

                시험삼아 와레즈 사이트에 방문해 보니 아래와 같이 차단되는 메시지가 나타납니다.

                감사합니다.

                PS: 아이패드에서 사용해보니, 약간 느린 감이 느껴집니다.


                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus
                  <사진. 개인정보가 누출된 개인에게 보낸 안내문>

                  뉴욕에 위치한 버스 관광 회사인 CitySights NY는 이달 초 SQL Injection 취약점으로 인해 약 11만 개의 데빗카드의 정보가 유출되었다고 발표했습니다.

                  사고는 9월 26일에 발생했으며 10월 25일이 되어서야 사고가 발생한 사실을 알아차리게 되었다고 합니다.

                  이 보안 사고는 현재 처리 중에 있으며, 버스 회사는 누출된 정보에 대한 추가적인 피해를 막기 위해 1년간 카드 정보 모니터링 서비스와 할인 쿠폰(코드는 012345)을 제공하면서 어느정도 마무리가 되어 가고 있습니다.

                  이와 같이 아무리 시스템으로 잘 되어 있더라도 SQL Injection과 같은 웹 취약점으로 인해 귀중한 개인정보가 손쉽게 유출될 수 있다는 점은 몇년전부터 제기되어 왔지만, 국내외적으로 아직도 이러한 문제점을 많이 가지고 있다는데에 더 심각성이 있다고 생각됩니다.

                  감사합니다.

                  출처: http://www.thewhir.com/web-hosting-news/122110_110000_Credit_Card_Numbers_Stolen_in_Tour_Company_Web_Server_Hack
                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus

                    ARP Spoofing 공격으로 감염되는 웜의 유포지 중의 하나인 xufu9.com(www.yiqicall.com/xxx/pic.js)의 문제점을 찾아 해결하는 방법을 소개합니다.


                    감사합니다.
                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory