Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 1월 12일] 주요 보안 이슈
작성일 2017-01-12 조회 1917

1. Alipay에서 비밀번호를 변경할 수 있는 취약점 발견
[출처: http://blog.alyac.co.kr/924 ,알약 공식 블로그]
10일, Alipay 사용자의 친구가 본인의 계정으로 로그인하고, 은행카드와 암호 없이도 정상적으로 사용이 가능하다는 제보가 접수되었습니다. 이 후 Alipay 측이 1차 패치를 했지만 또다른 사용자가 자주 사용하지 않는 디바이스를 통해 로그인에 성공한 정황이 밝혀졌습니다. Alipay 측의 공식 입장은 이런 현상은 매우 특수한 조건에서만 재현되며 Aplipay 측의 위험관리시스템은 매우 복잡하며 또 안전하다고 밝혔습니다. 해당 취약점을 확인하는 방법은 링크에서 확인해 볼 수 있습니다.
*Apply
중국의 Alibaba Group에의해 2004년 시작된 온라인 결제 플래폼.

 

2. Kraken Group 몽고DB 하이재킹 스크립트 판매중(200$), 누구든 몽고DB 공격에 쉽게 접근할 수 있어
[https://www.bleepingcomputer.com/news/security/kraken-group-puts-mongodb-hijacking-script-up-for-sale/]
Kraken Group이 1월 6일 MongoDB서버에 대한 공격에 개입된 후 공격에 관한 그룹 수가 증가하였습니다. Kraken group이 비트코인에서 200$에 스캔 및 하이재킹 엔진의 소스코드를 판매하고 있는 광고가 공개되어, 앞으로 더 많은 데이터베이스가 공격받을 것이라는 예상입니다.

 

3. GitHub 비밀키를 찾아내는 툴 공개돼
[http://www.dailysecu.com/news/articleView.html?idxno=18022, 데일리시큐]
github에서 다양한 암호 강도를 가진 비밀키를 찾아내는 툴이 공개되었다. TruffleHog라고 불리는 이 도구는 커밋(commit) 이력 및 분기(branch)를 깊게 파고들어 높은 엔트로피의 문자열을 포함하는 키를 검색하고 찾아낼 수 있다고 밝혔다. 아마존은 이미 이 툴을 사용해 아마존 웹서비스(AWS)를 위한 GitHub에서 공개 저장소에 연결된 키들이 드러나는지 검색해 공격자들이 키를 탈취하거나 AWS인스턴스를 보내는 등의 악성 행위를 미리 차단한 것으로 보인다.

 

4. MS 2017년 패치 MS17-001(CVE-2017-0002),MS17-002(CVE-2017-0003),MS17-003(CVE-2017-2925外),MS17-004(CVE-2017-0004)
[https://www.bleepingcomputer.com/news/microsoft/microsofts-january-2017-patch-tuesday-comes-with-4-security-updates/]
[http://blog.trendmicro.com/trendlabs-security-intelligence/patch-tuesday-january-2017-microsoft-releases-four-bulletins-one-rated-critical/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trendlabs+Security+Intelligence+Blog%29]
이번 Microsoft의 4개의 보안 패치는 15가지의 취약점을 수정하며, 그중 12가지는 Adobe Flash 관련 취약점이다. 즉 실제로 Microsof 제품에 영향을 미치는것은 3가지 뿐으로 지금까지 출시된 보안 공지 중 가장 적은 편이다.
MS17-001: Microsoft Edge 취약점(CVE-2017-0002)를 해결. 해당 취약점은 Microsoft Edge의 권한 상승 취약점.
MS17-002: Microsof Office 취약점(CVE-2017-0003)을 해결. 해당 취약점은 특수하게 조작된 Office 파일을 열도록 유도해 원격 코드를 실행하는 취약점.
MS17-003: Adobe Flash Player 취약점 12건 해결.
MS17-004: LSASS의 인증 요청 처리 방식에서 서비스 거부 취약점(CVE-2017-0004) 해결.

 

5. 브라우저 자동 완성 기능 개인정보 누출 가능성
[http://thehackernews.com/2017/01/browser-autofill-phishing.html]
공격자는 사용자에게 자동와넝 기능을 사용하도록 유도하여 개인 정보를 유출시킬 수 있다. Kuosmanen의 PoC사이트(https://anttiviljami.github.io/browser-autofill-phishing/)에서 브라우저 및 확장 자동완성 기능을 테스트 할 수 있다. 비록 사이트에서 HTTPS를 제공하더라도 Kuomanen은 더 많은 개인 정보 필드(CVV, 신용카드 번호, 주소 등)을 추가하여 더욱 공격을 악화시킬 수 있다. 현재 이러하 피싱 공격으로부터 보호하는 방법은 브라우저, 암호 관리자 또는 확장 설정에서 양식 자동 채우기 기능을 비활성화 하는 것이다.

 

6. 공항 탑승구에 누출 된 예약 코드가 표시되어 승객 데이터 확인
[https://www.symantec.com/connect/blogs/airport-boarding-gate-display-leaks-booking-codes-puts-passenger-data-risk]
최근 유럽 공항 게이트 입구에서 하나의 웹 브라우저 창이 시간 초과 된 상태에서 IP address를 개인 스마트폰 화면에 표시하자 특정 게이트의 다음 비행기에 대한 정보가 보여졌다. 이를 악용하면 승객 계정을 해킹하여 중요 데이터가 포함된 디버그 정보를 볼 수 있다는 것이 우려되고 있다. 디버그 페이지에는 승객 명 기록(PNR) 위치 확인 자라고 알려진 전체 예약 참조 코드를 포함하여 승객 이름 등 예약에 필요한 모든 정보가 보여질 수 있어 신분 도용 및 피싱 공격에 사용될 수 있다.

첨부파일 첨부파일이 없습니다.
태그