Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 12월 12일] 주요 보안 이슈
작성일 2019-12-12 조회 427

1. [기사] 인텔 프로세서 문제, 어떻게 접근해야 하는가?
[https://www.boannews.com/media/view.asp?idx=85122&page=1&kind=1]
인텔 프로세서와 관련된 익스플로잇이 지난달 또다시 발견됐다. 2년 전 멜트다운(Meltdown)과 스펙터(Spectre)가 발견된 이후 인텔 관련 익스플로잇들은 꾸준히 나오고 있으며, 이 취약점들은 민감한 정보를 노출시키는 것이기 때문에 대응이 필요하다. 멜트다운과 스펙터 이후, 비슷한 익스플로잇 포셰도우(Foreshadow), 좀비로드(Zombieload), RIDL, 폴아웃(Fallout), SWAPGS, TAA 여섯 개가 추가로 발견됐다. 전부 비슷한 계열의 취약점들을 공략하는 방법들이며, 인텔이 사실상 전 세계 컴퓨터 하드웨어 시장을 장악하고 있어서, 이 익스플로잇은 어디에서나 작동 가능하다고 봐도 무방하다. 이 위험의 근간에는 ‘추측 실행(speculative execution)’이라는 기능이 있으며, 이 부분에서 공격자는 각종 민감 정보를 캐갈 수 있게 된다는 것이 위 익스플로잇의 발견이 전달하는 메시지다. 인텔은 이 문제를 해결하기 위해 소프트웨어 패치를 발표했고, 그 외에 하이퍼 스레딩(hyper threading)과 같은 기술을 비활성화시키는 것처럼 다양한 위험 완화 방법이 고안되기도 했다. 하지만 시스템의 속도를 현저하게 떨어트렸기 때문에 이 모든 문제 해결법은 인기가 그리 높지 않았다. 한 유명 리눅스 개발자는 인텔에서 발견된 이 부채널 관련 보안 문제는 당분간 사라지지 않을 것이라고 말했다. 해결하기 어려운 문제임이 분명하지만, 인텔 칩셋들이 다 차세대 제품으로 교체되기를 마냥 기다릴 수만은 없다는 뜻이며, 문제가 계속 남아있게 된다면, 공격자들이 언젠가 익스플로잇을 하게 될 것이다.


2. [기사] 홍보 업체 iPR, AWS 계정 잘못 설정해 고객 정보 다량 노출
[https://www.boannews.com/media/view.asp?idx=85127&page=1&kind=1]
보안 업체 업가드(UpGuard)가 AWS S3 스토리지 버킷이 인터넷에 고스란히 노출된 것을 발견했다. 이 안에는 477,000개의 이메일 주소와 35,000개의 해시 처리된 비밀번호 그리고 사업체 관련 계정 정보, 문건, 관리자 시스템 크리덴셜 등이 저장되어 있다. 파일 중 일부는 ‘전체 공개’로 설정되어 있었으며, iPR 소프트웨어에 소속된 개발자와 마케터들이 내부적으로 활용하던 것이었다. 또한, 구글, 트위터, 몽고DB의 계정 정보와 암호가 이런 식으로 저장되어 있기도 했다. 업가드는 해당 데이터의 속성을 보건대, 이 DB는 iPR 측이 고객들에게 라이선스를 제공하고 있는 콘텐츠의 관리 시스템용 백엔드로서 활용되고 있지 않았을까 추측이 된다고 말했다. 그리고 몽고DB 데이터베이스로부터 생성된 백업 정보가 저장된 폴더도 있었다. 여기에 가장 최근(2017년) 복사된 파일은 17GB의 용량을 가지고 있는 것으로 나타났으며, 477,000개 이메일 주소가 해당 폴더에 저장되어 있었다. 업가든 iPR과 같이 여러 클라이언트를 위해 중앙화된 데이터 관리, 분석 및 접속 서비스를 제공하는 대형 PR 및 마케팅 전문 업체들은 이들로부터 노출되는 정보가 고객사의 사업 진행에 있어 치명적인 작용을 할 수 있기 때문에 클라우드 관리를 더욱 철저히 해야 한다고 설명한다. 


3. [기사] Unsecured AWS bucket exposes over 750,000 birth certificate applications
[https://securityaffairs.co/wordpress/94955/data-breach/aws-bucket-birth-certificate.html]
보안되지 않은 AWS 버킷으로 인해 752,000개 이상의 출생증명서 애플리케이션이 온라인으로 노출되어 큰 화제가 되었다. 이 엄청난 양의 개인 데이터가 익명의 회사에 의해 온라인에 노출되었는데, 이 회사는 고객들이 미국 주 정부로부터 그들의 출생과 사망 기록의 사본을 받을 수 있게 했다. TechCrunch는 AWS(Amazon Web Services) 스토리지 버킷에서 출생증명서 사본을 위한 752,000개 이상의 애플리케이션이 발견되었으며(버킷에는 90,400개의 사망신고서 애플리케이션도 있었지만 액세스하거나 다운로드할 수 없었다.), 버킷은 암호로 보호되지 않았기 때문에 추측하기 쉬운 웹 주소를 아는 사람은 누구나 데이터에 액세스 할 수 있다고 말했다. 노출된 기록에는 이름, 생년월일, 현재 집 주소, 이메일 및 전화번호, 가족 이름, 과거 정보 (예 : 주소) 또는 문서 신청의 이유가 포함됩니다.


4. [기사] New Zeppelin Ransomware Targeting Tech and Health Companies
[https://thehackernews.com/2019/12/zeppelin-ransomware-attacks.html]
Zeppelin이라는 새로운 Vega 랜섬웨어 제품군은 최근 유럽, 미국 및 캐나다의 야생 타깃팅 기술 및 의료 회사에서 발견되었다. 그러나 러시아 또는 우크라이나, 벨로루시, 카자흐스탄과 같은 다른 전 소련 국가에 거주하는 경우 랜섬웨어가 해당 지역에 있는 기계에서 발견되면 작동이 종료된다. VegaLocker라고도 하는 이전의 모든 Vega 제품군 변종은 주로 러시아어 사용자를 대상으로 했기 때문에 Zeppelin이 이전 공격의 동일한 해킹 그룹의 작업이 아님을 나타낸다. Vega 랜섬웨어와 이전 변종은 지하 포럼에서 서비스로 제공되었기 때문에 BlackBerry Cylance의 연구원들은 Zeppelin이 다른 위협 행위자의 손에 넘어갔거나 구매/도난/누설된 소스에서 재개발되었다고 추측한다. Zeppelin은 델파이 기반의 랜섬웨어로, 공격자의 피해자나 요구 사항에 따라 다양한 기능을 쉽게 활성화하거나 비활성화할 수 있다. 그리고 EXE, DLL로 배포하거나 PowerShell 로더로 포장할 수 있으며 IP 로거, Startup, 백업 삭제, 테스크 킬러, 자동 잠금 해제, Melt, UAC 프롬프트 기능을 포함한다. 

 

5. [기사] Microsoft fixes CVE-2019-1458 Windows Zero-Day exploited in NK-Linked attacks
[https://securityaffairs.co/wordpress/94936/hacking/microsoft-fixes-cve-2019-1458.html]
Microsoft의 2019년 12월 패치 화요일 업데이트는 북한과 관련된 공격에서 CVE-2019-1458이 악용된 것으로 추적된 Windows 제로 데이를 포함하여 총 36개의 결함을 해결했다. CVE-2019-1458 취약점은 Win32k 구성 요소가 메모리의 개체를 처리하는 방법과 관련된 권한 상승 취약점으로 해당 취약점이 악용될 경우 공격자는 커널 모드에서 임의의 코드를 실행할 수 있다. Microsoft는 Win32k가 메모리의 개체를 처리하는 방식을 수정하여이 취약점을 해결합니다. 이 취약점은 카스퍼스키(Kaspersky)에 의해보고되었으며, 보안 회사의 전문가들은 CVE-2019-1458 결함이 Operation WizardOpium이라는 캠페인에서 악용되었음을 확인했다. 카스퍼스키 전문가들은 크롬 공격이 또한 CVE-2019-1458 취약점에 대한 공격도 포함하고 있다는 것을 발견했으며, CVE-2019-1458 취약점은 공격자가 손상된 시스템에 대한 권한을 강화하고 크롬 프로세스 샌드박스를 탈출하는 데 사용되었다. 전문가에 따르면 권한 상승 에스컬레이션 익스플로잇은 Windows 7 및 일부 Windows 10 빌드에 대해 작동하며 최신 Windows 10 빌드에는 영향을 미치지 않는다. 카스퍼스키는 취약성 자체가 윈도우 스위칭 기능(예를 들어 Alt-Tab 키 조합을 사용하여 트리거 된 기능)과 관련이 있고, 이 때문에 공격 코드는 몇 번의 WinAPI 호출(GetKeyState/SetKeyState)을 사용해 키 프레스 작업을 모방한다고 설명했다. 

첨부파일 첨부파일이 없습니다.
태그 Intel  Zeppelin  Vega  CVE-2019-1458  WizardOpium