최근 CyberArk Labs에서는 윈도우 10 및 8.1 운영체제에서 보안을 담당하는 윈도우 디펜더(Windows Defender)에서 악성코드가 우회할 수 있는 취약점이 있다고 주장했습니다.

 

하지만, MS는 실험실에서 구현가능할 정도로 낮은 가능성이 있어 낮은 등급의 취약성(low-risk threat)으로 간주했습니다.

 

 

윈도우 디펜더를 속이기 위해 공격자는 SMB 프로토콜을 이용하여 가상 서버를 생성하는 방식을 이용하는데, 이는 윈도우 디펜더가 정상적인 요청을 하는 형태와는 다른 형태라는 주장입니다.

 

즉, 파일을 검사하는 과정에서 실제 파일이 아닌 다른 파일로 대체하여 검사하게끔 속일 수 잇있다는 뜻으로, SMB 서버에 저장된 정상적인 파일인척 가장하여 악성코드를 실행할 수 있다는 말입니다.

 

 

공격자가 피싱을 목적으로 하는 APT 공격을 수행할 때 취약점이 결합되어 이용할 수 있다고 경고합니다.

 

CyberArk는 이 취약점을 "Illusion Gap"이라고 이름지어 MS에 제보하였으나, MS는 특정 환경에서 발생할 수 있는 문제이지, 자체적인 보안 이슈는 아니라는 답변을 했다고 합니다.

 

https://www.theregister.co.uk/2017/09/28/windows_defender_flaw/

 

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    윈도우 7과 윈도우 2008 R2 서버 제품의 서비스팩이 출시되어 OEM 파트너에게 RTM 패키지로 전달되었습니다. 그리고 2월 16일 경에는 MSDN 및 테크넷에 이미지가 업로드될 예정이라고 합니다. 그리고 실제로 마이크로소프트 다운로드 센터나 윈도우 업데이트 사이트에서는 2월 22일 경부터 다운로드받을 수 있을 것이라고 합니다.

    서비스팩 1에 대한 보다 자세한 사항은 아래 링크를 참고하십시오.

    감사합니다.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      최근에 윈도우 7 운영 체제 환경에서 Avira 백신을 사용하는 경우에 문제점이 발견된 것으로 알려지고 있습니다. 윈도우를 재부팅하게 되면 자동으로 디스크를 검사(chkdsk)하게 되는데 이 부분에서 문제점이 발생한다고 하며, 아비라 사의 개발자들이 이러한 문제점을 재현했다고 합니다.

      아비라는 마이크로소프트에 문제점을 알렸으며, 아비라 백신 제품 뿐만 아니라 다른 백신 제품에서도 이러한 문제점이 나타날 수 있는 것으로 조사 결과 나타났습니다.

      아비라는 이 문제점을 우회할 수 있는 방법을 발견했으며, v9.0.3.17 빌드에서 패치될 예정이라고 합니다.

      보다 자세한 사항은 아래 링크를 참고하십시오.

      http://techblog.avira.com/2009/11/26/chkdsk-in-windows-7/en/
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus


        윈도우 서버 시리즈에는 기능적인 분류에 따라 서너가지 이상의 에디션이 제공됩니다.

        최근에 출시한 윈도우 2008 서버에서는 유닉스(리눅스) 환경과 유사한 서버 코어 에디션 제품이 제공됩니다. 서버 코어 에디션은 윈도우 운영체제의 핵심적인 파일만을 로드하고 서버 관리자에게 제공한 그래픽 유저 인터페이스(GUI)를 제외함으로써 잠재적으로 발생가능한 위험을 줄이기 위한 최소화된 에디션입니다.

        따라서, GUI가 아닌 콘솔(키보드, 마우스, 화면)로만 서버를 관리하며 무인 설치를 위한 환경 설정 파일을 미리 작성한 후에 이를 사용하여 서버의 기능을 추가하거나 변경할 수 있습니다.



        특히 서버 코어는 웹 서버와 같이 단일화된 기능을 제공하는 수십 수백대의 서버를 관리하는데 가장 효과적인 방법을 제공합니다.

        하지만, 서버 코어에서는 기존에 사용하던 일반적인 프로그램들을 적용할 수 없다는 단점이 존재합니다. 물론, 현재에서는 제공되지 않지만 개발을 통해 차후에는 서버 코어에서 동작할 수 있는 제품이 나올 수는 있다고 보여집니다.

        따라서, 현재 서버 코어 에디션을 설치한 서버 컴퓨터에서 사용가능한 서비스는 다음과 같습니다.

        • DHCP 서비스
        • DNS 서비스
        • 파일 공유 서비스 - FRS(File Replication Service), DFS(Distributed File System), DFSR(Distributed File System Replication), 네트워크 파일시스템, SIS(Single Instance Storage)
        • 프린트 서비스
        • 디렉터리 서비스(읽기 전용 DC 포함)
        • AD LDS(Active Directory Lightweight Directory Service)
        • 윈도우 가상화 서비스(Windows Server Vitualization)
        • IIS - 정적인 HTML 만 가능, 동적인 웹 프로그램을 지원하지 않음.
        • WMS(Windows Media Services)

        그 외 서버 코어는 MS 클러스터의 내부 노드로 참여할 수 있으며 네트워크 로드 밸런싱을 사용하고 유닉스 프로그램을 호스트하고 비트로커(Bitlock)를 통해 드라이브를 암호화할 수 있습니다. 또한, 스크립트 언어인 윈도우 파워셀(Windows PowerShell)을 통해 원격에서 관리가 가능합니다. 서버의 모니터링을 위해 SNMP 프토콜을 지원합니다.

        서버 코어에 대한 자세한 사항은 MS가 발간한 "Windows Server 2008 Server Core" 도서를 참고하십시오.

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          최근 MS의 취약점으로 인해 부산함을 떨었던 적이 있습니다. 11월 11일 자로 새로운 보안 취약점이 발표되어 간단히 정리합니다.

          윈도우에서 취약점이 발견되었는데 크래커가 윈도우의 특정한 보안 기능을 우회하여 공격할 수 있다고 합니다. 이 취약점은 거의 모든 윈도우 버전에서 발견되었습니다.

          취약점은 NTLM 자격 증명을 처리할 때에 SMB(Server Message Block) 내에서 인증 오류를 일어나게 하는 방식으로 유발됩니다. 공격자는 자격 증명을 제공한 사용자의 권한을 그대로 사용하는 리플레이 공격(replay attack)을 할 수 있습니다.

          해결 방안은 패치를 적용하는 것으로 아래 링크를 참고하십시오.

          Windows 2000 SP4:
          http://www.microsoft.com/downloads/de...=44c971e6-96fc-4bba-8f4a-f9d46bda2b6c

          Windows XP SP2:
          http://www.microsoft.com/downloads/de...=6f8ae0aa-fd68-4156-9016-bba00149793c

          Windows XP SP3:
          http://www.microsoft.com/downloads/de...=6f8ae0aa-fd68-4156-9016-bba00149793c

          Windows XP Professional x64 Edition (optionally with SP2):
          http://www.microsoft.com/downloads/de...=9501b33b-d639-43e7-ad5a-9e76ed66effd

          Windows Server 2003 SP1/SP2:
          http://www.microsoft.com/downloads/de...=57a0606d-ea7a-4e5b-8b8b-7b77a444ef75

          Windows Server 2003 x64 Edition (optionally with SP2):
          http://www.microsoft.com/downloads/de...=915e001f-9aa0-4fb0-9c2a-0f0c72b4f056

          Windows Server 2003 with SP1/SP2 for Itanium-based Systems:
          http://www.microsoft.com/downloads/de...=6abf7ba9-825f-4ee2-a2fe-6b1cd9fab622

          Windows Vista (optionally with SP1):
          http://www.microsoft.com/downloads/de...=5612815f-8685-45d2-af4a-164c298a0869

          Windows Vista x64 Edition (optionally with SP1):
          http://www.microsoft.com/downloads/de...=727ce9b6-827f-4350-b4ff-c08e8ac541a6

          Windows Server 2008 for 32-bit Systems:
          http://www.microsoft.com/downloads/de...=b305e894-61ec-46b4-91ee-4c9ac59bc47e

          Windows Server 2008 for x64-based Systems:
          http://www.microsoft.com/downloads/de...=e8d26dfd-b347-4f10-b5b6-27dfff5e4f47

          Windows Server 2008 for Itanium-based Systems:
          http://www.microsoft.com/downloads/de...=d565467d-e10f-4ddc-a278-3f81a3798686


          원문 : MS08-068 (KB957097):
          http://www.microsoft.com/technet/security/Bulletin/MS08-068.mspx
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            시만텍에 근무하는 보안 전문가들은 마이크로소프트 윈도우 XP SP3 사용자들이 다양한 문제점을 토로하고 있다고 밝혔다.

            윈도우 XP SP3가 일반에 공개된지 약 2주가 지났지만 업그레이드를 진행한 후에 일부 사용자에게서 장치 관리자에 아무것도 안 보이는 현상, 네트워크 연결이 끊기는 현상, 윈도우 레지스트리에 쓸데 없는 항목이 수천 개 생기는 현상 등등 문제점이 보고되기 시작했다.

            처음에는 시만텍의 보안 프로그램에서 이러한 문제의 원인이 있다고 여겼지만 많은 사용자들이 윈도우 XP SP3 지원 포럼에 글을 올리게 되면서 시만텍 제품의 설정 부분에 필요 없는 레지스트리 항목(키)이 있다는 사실을 알게 되었다. (쓰레기(!) 항목은 "$%&"등으로 표시되는 것으로 실제 아무런 의미나 기능이 없음)

            하지만 시만텍의 대변인은 SCMagazineus.com과의 인터뷰에서 "충분한 연구 및 테스트를 진행한 결과 시만텍 제품에서 발생하는 오류의 원인은 MS 제품의 파일인 fixccs.exe에 기인한다"고 밝혔다. 이 파일은 레지스트리를 변경하는 기능을 가지고 있으며 이 파일이 특정한 경우에 레지스트리에 쓸데 없는 키를 가득 추가한다고 한다. 이 문제는 시만텍 제품을 가진 사용자에게서만 발생하는 것이 아니며 다른 제품ㅇ르 사용하는 사용자들도 이러한 사례가 있다고 한다.

            MS는 기술 문서인 KB893249KB914450를 통해 이와 유사한 문제점에 대해 설명하고 있으며 이 문서들은 수년 전에 발표된 윈도우 XP SP2에 관련되어 있다. " 윈도우 XP SP2를 설치한 이후에 장치 관리자가 보이지 않거나 일부 장치가 보이지 않는 현상이 나타날 수 있다"라는 KB893249 문서의 내용으로 볼 때 유사한 문제점이 재발한 것이 아닌가 생각된다.

            Fixccs.exe 파일은 초기에 출시한 XP SP3를 설치한 사용자에서도 문제점을 가지고 있다. 마이크로소프트 테스트 그룹 일원인 Shashank Bansal은 "이는 실로 중대한 문제점이며 추가적인 조사를 해야 한다고" 밝혔따. 테스트 그룹의 사용자들은 2007년 12월 22일 경에 포럼을 통해 XP SP3 설치에 관련된 문제를 제기하였다고 한다.

            또한 Bansal은 윈도우 XP SP2에서 SP3로 업그레드할 때에 CPU의 사용률이 높거나 다운되는 문제점을 겪을 수 있다고 하면서 "cscript.exe" 또는 "fixccs.exe" 파일이 동작하지 못하도록 잠궈야 한다고 한다.

            시만텍 대변인은 레지스트리에 대규모로 쓰여지는 문제점을 해결하기 위한 프로그램을 개발하는 중이며 이 문제의 해결을 위해 마이크로소프트와 접촉을 취하고 있다고 언급했다.

            마이크포소프트는 즉각적인 해결책을 제시하지 못하고 있지만, 업그레이드시에 문제가 발생하는 경우에는 무료로 고객지원 서비스를 제공한다고 밝혔다.

            원본 위치 <http://www.scmagazineus.com/Blame-XP-SP3-problems-on-Microsoft-Symantec-says/article/110556/>

               

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              마이크로소프트의 야심찬 운영체제인 윈도우 비스타는 새로운 기능, 그리고 강력한 보안 기능으로 중무장하고 있지만, 하드웨어 사양이라는 복병을 만나 고전하고 있다.

              물론, 정품 인증이 한 몫하긴 하지만, 실제로 따져 보자면 대기업 PC/노트북을 사면 윈도우 비스타가 깔려 있지만 오히려 이를 지우고 윈도우 XP로 회귀하는 형편이다.

              사용자 삽입 이미지
               윈도우 비스타를 제대로 사용하면 윈도우 XP 만큼이나 빠른 부팅 속도와 종료(Shutdown) 속도를 낼 수 있다는 자료가 있어 간단히 정리해서 알려 드린다.

              1. 보안 소프트웨어 다이어트하기 - PC에는 대부분 하나 정도의 안티 바이러스 제품과 안티 스파이웨어 제품을 설치한다. 일부 유저는 다다익선이라는 미명하에 여러 개의 안티 바이러스를 설치하고 어느게 잡나 '병적인' 행태를 보이기도 한다. 노턴 안티 바이러스, 시만텍과 같이 시스템 자원을 많이 차지하는 제품을 사용할 때에는 윈도우 비스타의 부팅 속도가 많이 느려진다. 그리고, 가장 가볍다고 정평이 나있는 NOD32를 사용한다면 부팅 속도를 적어도 몇 초 이상 빠르게 할 수 있다고 한다. 하지만, 좋은 점이 있으면 나쁜 점도 있는 법. 첫 째, 자신이 선호하는 안티 바이러스가 부팅 속도보다 나을 수 있다는 점. 그리고 둘 때, 모든 바이러스(웜 등)을 잡을 수 있는 만능 보안 제품은 없다는 것이다. 이 글에서는 NOD32와 마이크로소프트 라이브 원케어를 추천한다.

              2. 자질구레한 장치는 PC에 붙여 두지 말자 - 요즘은 다양한 멀티미디어 기기를 사용한다. MP3, USB 메모리 스틱, 디지털 카메라 등등등. 하지만, 비스타가 처음 부팅을 할 때에는 이러한 장비를 모두 찾아 여러분이 부팅 후에 아무런 불편 없이 사용할 수 있게 하드웨어 검사를 진행한다. 문제는 컴퓨터에 부착되어 있는(고정되어 있다고 하면 이해가 빠를 수도) 장치는 빠르게 찾을 수 있는 반면에 USB 포트 등에 연결된 장치들은 인식하고 사용할 수 있도록 활성화하는데 시간이 꽤 소요된다. 이러한 부분을 줄이면 비스타의 속도는 역시 향상~.

              3. 인터넷이나 네트워크에 불필요한 연결 방식은 없는지 확인한다 - 요즘에는 인터넷이 보편화되어 있어 PC에 랜 케이블이 직접 연결되거나, 케이블 모뎀으로 연결된다. 하지만 이러한 부분 이외에 네트워크 파일 및 프린터 공유나 VPN 클라이언트 설정이 되어 있지 않나 한번 검토해 보자. 특히, 네트워크 공유(NetBIOS)는 연결하는데 아주 극악~의 속도를 자랑한다. 집에 PC가 여러 대 있다 하더라도 네트워크 드라이브 연결보다는 UNC 경로를 사용하는 등 약간의 대안이 필요하다. 하지만, 약간 기술적인 부분이므로 자세한 설명은 패스~.

              4. 대기업 PC에 미리 설치되어 제공되는 쉐어웨어 프로그램 다이어트하기 - 대기업 PC나 노트북을 구매하면 기본적으로 다양한 보안 및 유틸리티가 제공된다. 하지만, 이러한 유틸리티 중 대부분은 사용자가 필요하지 않은 경우가 많다. 또한, 정품으로 제공되는 것이 아니라 번들(최소한의 핵심 기능만을 제공) 또는 쉐어웨어(일정한 기간동안 무료로 사용하고 그 기간 이후에는 돈을 내고 구매)로 제공된다. 이러한 프로그램들을 제대로 정리한다면 컴퓨터의 속도 뿐만 아니라 디스크 공간도 여유롭게 사용할 수 있다.

              5. 쓸데 없는 시작 프로그램 다이어트 하기 - 윈도우 비스타 뿐만 아니라 윈도우 아니 도스 시절 부터, 배치 프로그램을 통해 운영체제가 시작하면서 여러가지 프로그램을 자동으로 시작하게 되었다. 예를 들면, 메신저 프로그램, 오피스 관련 프로그램(ex. 원노트) 등 필요에 따라 다양하다. 노트북 사용자를 보면, 무선 인터넷 연결 관리 프로그램, 전원 관리 프로그램, 보안 프로그램등 PC보다 훨씬 많은 시작 프로그램이 설치된다. 이러한 프로그램은 가급적 설치한 상태를 유지하는 것이 좋다. 그렇다면 다이어트를 어디서 해야 하는 걸까?

              마지막으로, 혹시 툴바(Toolbar)나 날씨, 뉴스 등을 알려 주는 애드온 프로그램, 그리고 우리가 많이 사용하는 메신저 프로그램 등은 컴퓨터가 켜지는 시간을 잡아 먹는 주범이니만큼 적절히 다이어트하는 것이 좋다.

              Daum 블로거뉴스
              블로거뉴스에서 이 포스트를 추천해주세요.
              추천하기
              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                요즘 인터넷 전화 등 VoIP 프로토콜 및 클라이언트의 사용이 증가하고 있습니다. Skye도 이러한 제품 중의 하나입니다.

                블랙햇 컴퍼런스가 최근 미국 라스베가스에서 열린 적이 있습니다. 이 행사에서 인터넷 상에서 사용자끼리 음성 통신을 주고 받을 때 사용하는 VoIP(Voice over IP) 클라이언트의 취약점이 발표되었습니다.

                정확히는 VoIP 기능을 사용하는 소프트웨어를 통해 컴퓨터에 침입할 수 있는 방법을 발견한 것입니다. 문제는 어느 특정한 VoIP 제품에서만 나타난 것이 아니라 다양한 제품에서 이러한 취약점이 발견되었다는 점입니다.

                행사에서 이 문제점을 시현했는데 시현 당시에는 Windows XP SP2에서 윈도우 방화벽과 McAfee 안티바이러스 제품을 실행한 상태였다고 합니다.

                당시 관게자는 '아주 작은 특별한 코드를 SIP 메시지에 삽입함으로써 공격이 가능하다'고 밝혔다고 합니다. 전화기에 조작된 메시지를 전달하는 순간 랩탑에서는 쉡 코드가 실행되고 공격자가 공격할 수 있도록 연결을 수립하여 파일이나 데이터를 빼낼 수 있습니다.



                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus
                  최근 논쟁거리 중의 하나가 바로, '윈도우와 맥 OS 둘 중에서 어느 것이 더 안전하냐?' 입니다. 일부 사람들은 편향적인 시각으로 논쟁을 불러 일으키기도 합니다. 한편, 우리나라의 어떤 기사에서는 엔지니어와의 인터뷰를 통해 어느 OS가 더 안전한지 기사거리를 제공한 적도 있습니다.

                  아래 자료는 올블로그에서 검색해서 나온 윈도우 : 맥OS의 안정성 논란에 대한 글을 추렸습니다.

                  신현석의 블로그
                  Monaca


                  외국의 한 사이트에서는 맥 OS가 바이러스 제작자들의 시선을 사로잡고 있다는 기사를 발간했습니다. 간단히 정리해 올려 드립니다.

                  5월 24일 맥 OS에 관련된 업데이트에서 밝힌 취약점에 대한 세부적인 익스플로잇 코드가 곧바로 공개되었다. 이 코드를 발표한 회사는 보안 전문 기업인 Immunity로 OS X mDNSResponser에 구현된 홈 NAT의 포트 매핑을 생성하는 UPnP 인터넷 게이트웨이 표준 디바이스 컨트롤 코드의 버퍼 오버플로 취약점을 이용하는 익스플로잇 코드를 발표했다. 이 코드는 애플이 업데이트를 발표하고 채 하루도 지나지 않은 시점이었다.

                  이 취약점은 애플이 사용자가 IP 주소를 지정하거나 DNS 서버를 구성하지 않고서도 장비간에 서로 인식할 수 있도록 하기 위해 Bonjour 기술에 포함된 프로토콜을 사용하기 때문으로 알려졌다.

                  익스플로잇 코드의 빠른 출현은 맥 OS의 취약점에 대해 바이러스 제작자 등이 점차 관심을 보인다는 의미일 수 있다.

                  한편, 맥 사용자 수는 윈도우 사용자 수에 비해 비율로는 낮지만 실제 사용자 수를 생각해 보면, 바이러스 제작자가 탐을 낼만한 플랫폼에는 틀림없을 것이며, 오히려 안전할거라는 사용자의 인식 덕분에 더 큰 사고가 터질 가능성도 배제할 수 없다.

                  또한, 물론, 윈도우에 비해서 맥 OS에서는 바이러스를 제작하기가 좀 더 어려운 점이 있기는 하지만, 돈을 위해서 움직이는 바이러스 제작자들이 이를 포기하지는 않을 것이다.

                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus


                    Web Analytics Blogs Directory