Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

제로데이

MS, ‘도그워크’ 제로데이 취약점 패치 권고

마이크로소프트가 ‘도그워크(DogWalk)’ 취약점을 수정한 패치를 릴리즈했다. 이 취약점은 2년 전 처음 발견됐지만 당시 회사 측은 이를 보안 문제로 분류하지 않았다.  이후 마이크로소프트는 위협 행위자가 이 제로데이 보안 취약점을 활발하게 악용하고 있다는 사실을 확인했으며, 이에 모든 윈도우 및 윈도우 서버 사용자에게 가능한 한 빨리 최신 월간 패치 화요일(Patch Tuesday) 업데이트를 받으라고 권고했다.    ‘CVE-2022-34713’ 또는 ‘도그워크(DogWalk)’라고 알려진 해당 취약점을 통해 위협 행위자는 윈도우 MSDT(Microsoft Support Diagnostic Tool)의 취약점을 악용할 수 있다. 공격자는 소셜 엔지니어링 및 피싱을 활용해 사용자를 속여 가짜 웹사이트를 방문하거나 악성 문서/파일을 열게 하고, 최종적으로 손상된 시스템에서 원격 코드를 실행할 수 있다.  도그워크는 최신 클라이언트 및 서버 릴리즈(윈도우 11 및 윈도우 서버 2022)를 포함하여 지원되는 모든 윈도우 버전에 영향을 미친다고 회사 측은 언급했다.  이 취약점은 지난 2020년 1월 처음 보고됐지만 당시 마이크로소프트는 이를 보안 문제로 간주하지 않았다. 최근 몇 달 동안 이 회사에서 이미 발견된 취약점에 관한 기존 입장을 번복한 것은 이번이 두 번째인데, 앞서 폴리나(Follina)로 알려진 또 다른 윈도우 MSDT 제로데이가 보안 위협을 제기한다는 보고도 처음에는 보안 문제로 간주하지 않았다. 해당 취약점 패치는 지난 6월 패치 화요일 업데이트에서 릴리즈됐다.  오렌지 사이버디펜스(Orange Cyberdefense)의 보안 연구 책임자 샤를 반 데어 월트는 “겉보기엔 무해한 확장자를 가진 파일이 악성 페이로드를 전달하는 데 얼마나 자주 그리고 쉽게 사용되는지 감안하지 못한 점은 마이크로소프트가 비난받아 마땅하지만 한편으론 매년 수천 개의 취약점이 보고되고 있기 때문에 취약점을 ...

마이크로소프트 도그워크 제로데이 2022.08.12

"1년 사이 2배 이상" 제로데이 취약점이 점점 더 많이 발견되는 이유

지난 1년 반 동안 다양한 유형의 위협 행위자가 수많은 제로데이(zero-day) 취약점을 악용했다. 제로데이 취약점은 소프트웨어 개발자에게 알려지지 않은 것으로, 주로 국가가 후원하는 단체와 랜섬웨어 공격 단체가 악용하고 있다.   구글 프로젝트 제로(Google Project Zero)는 올 상반기에 20여 가지의 제로데이 취약점을 발견했다. 대부분은 마이크로소프트, 애플, 구글이 개발한 제품에서 발견된 것이고 브라우저와 운영체제의 제로데이가 큰 비중을 차지한다. 6월 7일 아틀라시안의 컨플루언스 서버(Confluence Server)에서 발견된 치명적인 REC(Remote Code Execution) 취약점도 계속 악용되고 있는 상황이다.  2021년 발견된 제로데이 취약점의 수는 훨씬 많았다. 구글 프로젝트 제로는 2021년에만 58가지의 취약점을 발견했다. 맨디언트가 발견한 제로데이 취약점은 80가지였는데, 2020년보다 2배 이상 많았다. 맨디언트 수석 애널리스트 제임스 새도스키는 “발견되는 모든 제로데이는 발생할 수 있는 공격에 대한 이해를 넓히고 같거나 다른 기술에서 유사한 취약점을 찾아내는 데 도움이 된다. 더 많이 볼수록 더 많이 검출할 수 있다”라고 말했다. 제로데이 취약점 공격은 국가 후원을 받는 공격 단체가 주도하고 있지만, 일반적인 사이버 범죄자들도 만만치 않게 악용한다. 맨디언트에 따르면, 2021년 제로데이 취약점을 악용한 위협 행위자 3명 중 1명은 금전적인 동기를 지니고 있었다. 제로데이 취약점 공격 증가와 다양한 유형의 위협 행위자는 규모에 관계없이 기업에는 우려의 대상이다. 다른 관점에서는 보안 업계에 귀중한 학습 기회를 제공한다.  오래된 패턴을 따르는 제로데이 취약점 2021년 발견된 제로데이 취약점의 수는 기록적이지만, 실제로는 더 많을 수 있다. 구글 프로젝트 제로의 보안 연구원 매디 스톤은 “공격자가 자신이 악용한 제로데이 취약점을 일일이 공유하는 것은 ...

제로데이공격 제로데이 취약점 2022.07.04

구글 “이탈리아 스파이웨어, iOS 및 안드로이드 기기 해킹”

구글 보고서에 따르면 ‘RCS 랩(RCS Lab)’ 스파이웨어는 알려진 익스플로잇을 사용하여 유해한 페이로드를 설치하고, 개인 사용자 데이터를 훔친다.   구글의 ‘위협 분석 그룹(Threat Analysis Group; TAG)’이 최근 이탈리아와 카자흐스탄의 iOS 및 안드로이드 모바일 사용자를 공격하기 위해 제로-데이 취약점을 악용하는 문제의 스파이웨어를 개발한 곳은 ‘RCS 랩(RCS Lab)’이라고 밝혔다.    지난 목요일 구글 블로그 게시물에 의하면 RCS 랩은 드라이브-바이(drive-by) 다운로드를 포함한 여러 전술 조합을 초기 감염 벡터로 사용했다. 이어 이 회사는 표적 기기의 개인 데이터를 감시하는 도구도 개발했다고 구글은 덧붙였다.  이탈리아 밀라노를 기반으로 하는 RCS 랩은 (웹사이트에 따르면) 프랑스와 스페인에 계열사를 두고 있으며, 유럽 정부 기관이 고객으로 있다고 밝히고 있다. 또 합법적인 감청 분야에서 ‘첨단 기술 솔루션’을 제공한다고 주장한다.  (이와 관련해) RCS 랩의 별도의 입장을 표명하지 않았으며, ComputerWorld의 이메일 요청에도 답하지 않았다. 대신 RCS 랩은 로이터에 보낸 성명에서 “RCS 랩 직원은 관련 고객이 수행하는 어떤 활동에도 참여하지 않는다”라고 말했다. 아울러 이 회사는 웹사이트에서 “완전히 합법적인 감청 서비스”를 제공한다면서, “유럽에서만 매일 1만 개 이상의 감청 대상이 처리된다”라고 광고한다.  TAG는 RCS 랩의 기능을 사용한 스파이웨어 캠페인을 관찰했다고 전했다. 해당 캠페인은 표적으로 전송되는 고유 링크에서 시작되며, 이 링크를 클릭하면 사용자가 안드로이드 또는 iOS 기기에 악성 애플리케이션을 다운로드하여 설치하도록 한다.  이는 때에 따라 표적 기기의 ISP와 협력하여 모바일 데이터 연결을 해제해 수행된다고 구글은 설명했다. 이후 사용자는 표면상 데이터 연결을 복구해야 한다는 명목으로 SMS를 통...

스파이웨어 iOS 안드로이드 2022.06.28

애플, 웹킷 제로데이 취약점 해결 위해 긴급 패치 출시

애플이 출시한 iOS 15.3.1과 아이패드OS 15.3.1, 맥OS 12.2.1은 이미 악용됐을 가능성이 있는 웹킷(Webkit) 제로데이 취약점을 해결한다. 애플 릴리즈 노트에 명시된 보안 내용은 다음과 같다.   이 취약점은 아이폰 6s 이상, 아이패드 프로(모든 모델), 아이패드 에어 2 이상, 아이패드 5세대 이상, 아이패드 미니 4 이상, 아이팟 터치 7세대에 영향을 미친다. 악의적으로 조작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있다. 애플은 이 취약점이 공격에 악용됐을지도 모른다는 제보를 받았다. 유즈 애프터 프리(Use after Free, UaF) 취약점은 향상된 메모리 관리로 해결됐다. CVE-2022-22620 취약점은 익명의 연구원이 제보한 것이다.   애플은 iOS와 아이패드OS, 맥OS의 모든 브라우저에서 자사 웹 렌더링 엔진인 웹킷 만을 사용하도록 강제한다. 즉, 사용자는 아이폰이나 아이패드, 맥에서 사용 중인 브라우저에 관계없이 기기에서 모든 것을 실행할 수 있는 방식으로 웹 콘텐츠를 만들 수 있다. 더 안 좋게는 이런 취약점이 보안 연구원에 의해 발견되지 않은 채 이미 현실에서 악용됐을 수도 있다. 또한, 애플은 맥OS 빅서(Big Sur)(빌드 번호 16612.4.9.1.8)와 카탈리나(빌드 번호 15612.4.9.1.8)에 사파리 15.3 업데이트를 출시했다. iOS 15.3.1 업데이트는 점자 디스플레이의 응답 중단할 수 있는 작은 문제도 수정한다. 많은 사용자가 이 패치를 최대한 빨리 받으려고 할 것이다. 이를 위해 아이폰이나 아이패드에서 설정>일반>소프트웨어 업데이트를 누른다. 맥의 경우 시스템 환경설정 창을 열어 소프트웨어 업데이트로 이동하면 된다. editor@itworld.co.kr

애플 iOS 웹킷 2022.02.14

중국 APT 그룹 아이언허스키, 윈도우 서버 권한상승 제로데이 악용

아이언허스키(IronHusky) 공격 집단은 윈도우 서버 권한상승 취약점을 악용해 미스테리스네일(MysterySnail)이라는 새로운 원격 셸 트로이목마를 배포했다.    10월 12일 마이크로소프트가 패치한 취약점 가운데 하나는 적어도 8월부터 중국 사이버 첩보 그룹에 의해 악용됐다. 이번 공격은 IT 기업, 방산업체, 외교 기관을 공격 대상으로 삼았다. 카스퍼스키 랩 연구진에 따르면, 익스플로잇과 해당 C&C 인프라와 함께 배포된 이 악성코드는 2017년부터 활동 중인 아이언허스키로 알려진 중국 APT 그룹과 연관이 있으며, 2012년 중국 기반의 다른 APT 활동과도 관련이 있다.  윈도우 GDI 드라이버의 권한 상승 취약점  아이언허스키 그룹은 과거 취약점이었던 윈도우 GDI(Graphics Device Interface)의 일부인 시스템 드라이버 Win32k.sys에서 이전에 알려지지 않은 취약점을 악용하는 것으로 관찰됐다. CVE-2021-40449로 추적되는 이 결함은 모든 윈도우 버전에 영향을 미치며, 시스템 권한으로 코드를 실행할 수 있다.  이 취약점은 권한 상승 취약점이기 때문에 대상 시스템을 제어하는 용도로 사용되며, 원래의 진입 방법이 아니다. 공격에 사용된 익스플로잇은 2016년에 패치된 다른 Wink32k 취약점(CVE-2016-3309)에 대한 공개 익스플로잇 코드를 차용한다. 윈도우 비스타 이후 모든 버전의 윈도우를 지원하도록 작성된 익스플로잇에도 불구하고 윈도우 서버에서만 사용되는 것으로 나타났다.  카스퍼스키 연구진은 이 보고서에서 “발견된 익스플로잇에서 공격자는 GDI 팔레트 개체를 사용해 원하는 메모리 상태를 달성할 수 있고, 커널 함수에 대한 단일 호출을 사용해 커널 메모리를 읽고 쓰기 위한 프리미티브(Primitive)를 구축할 수 있다”라고 설명했다.  이 단계는 공격 프로세스가 미디엄 IL로 실행되므로 공개적으로 알려진 기술을 사용해 현...

APT 중국 아이언허스키 2021.10.19

복수의 첩보 그룹, 펄스 시큐어 VPN의 제로데이 결함을 사용해 기업 해킹…파이어아이

지난 몇 달 동안 중국 정부와 관련된 것으로 여겨지는 여러 사이버 첩보 그룹이 제로 트러스트 접근(zero-trust access) 제공업체인 펄스 시큐어(Pulse Secure)의 VPN 어플라이언스 취약점을 악용해 미국과 유럽의 기업 네트워크를 침입했다. 일부 결함은 2019~2020년에 발견된 것이지만, 하나의 취약점은 이번 달까지 알려지지 않은 것이었다.   보안 공급업체 파이어아이의 MDR 및 사고대응부서인 맨디언트(Mandiant) 연구진은 최근 발행한 보고서에서 현재 펄스 시큐어 VPN 장치의 악용과 관련된 12개 악성코드를 추적하고 있다고 밝혔다. 이 보고서는 “이 악성코드들은 펄스 시큐어 장치에 대해 인증 우회, 백도어 접근과 관련이 있지만, 반드시 서로 관련이 있는 것은 아니며, 별도의 조사 과정에서 발견됐다. 여러 공격자가 동일한 장치에 다양한 악성코드를 생성, 배포했을 가능성이 높다”라고 설명했다.   펄스 시큐어 VPN 제로데이 취약점  올해 전 세계의 다양한 국방, 정부, 금융 업체에서의 침해를 조사하는 동안, 맨디언트 팀은 공격자가 관리자 접속 권한을 획득한 펄스 시큐어 VPN 어플라이언스를 추적해 해킹된 환경에서 악의적인 활동을 펼치고 있는 것을 발견했다.  전문가들은 공격자가 어떻게 관리 자격 증명을 얻었는지 확인할 수 없었기 때문에 펄스 시큐어와 모기업인 아반티(Ivanti)와 연락을 취했다. 조사 결과, 공격자는 지난 2년 동안 패치된 취약점을 사용했을 가능성이 있지만, 이전에는 알려지지 않은 취약점도 사용하고 있었다.   CVE-2021-22893으로 추적되는 이 결함은 공격자가 PCS(Pulse Connect Secure) VPN 솔루션의 인증을 우회하고 임의 코드를 실행할 수 있도록 한다. 이 취약점은 CVSS 척도에서 심각도 점수가 10으로 평가된다. 이 결함에 대한 패치는 PCS 서버 버전 9.1R.11.4에 적용될 것으로, 아직 출시되지 않았다.  출시 ...

펄스시큐어 VPN 제로데이 2021.04.21

중국 사이버 첩보 그룹, 익스체인지 제로데이 결함 통해 미국 기관과 기업 해킹

마이크로소프트는 중국 APT 그룹인 하프늄(Hafnium)이 이전에 알려지지 않은 익스체인지 서버(Exchange Server) 취약점을 사용해 메일박스에 접근하고 원격 코드 실행(Remote Code Execution)을 수행하고 있다고 주장했다.    마이크로소프트는 사이버 첩보 그룹이 기관과 기업에 침입하기 위해 악용한 익스체인지 서버에 알려지지 않은 4가지 취약점에 대해 긴급 패치를 릴리스했다. 이 결함을 통해 메일박스의 내용을 추출하고 취약한 서버에 백도어를 설치할 수 있다.   마이크로소프트는 이번 공격을 인터넷 연결 서버의 취약점을 악용하고 오피스 365 사용자를 표적으로 한 중국 APT 그룹 하프늄의 소행으로 보고 있다. 이 그룹은 전염병 연구원, 법률 업체, 고등교육기관, 방위 계약업체, 정책 연구소, 그리고 NGO를 포함한 미국 내 단체들을 표적으로 삼았다.  인증 우회 가능한 SSRF 취약점 악용  이 공격은 지난 1월, 보안업체 볼렉시티(Volexity)의 연구원이 일부 고객의 익스체인지 서버에서 의심스러운 IP 주소로의 비정상적인 연결과 데이터 전송을 관찰하면서 처음 발견했다. 이후 조사 결과, 익스체인지 서버의 합법적인 리소스에 대한 의심스러운 POST 요청이 발견됐으며, 연구진은 해당 리소스가 백도어임을 의심했다.   하지만 특정 서버가 백도어된 것은 아니며, 공격자는 서버측 요청 위조(Server-Side Request Forgery, SSRF) 제로데이 취약점을 활용해 인증을 우회하고 서버에서 사용할 수 있는 사용자 메일박스의 내용을 추출한 것으로 밝혀졌다(현재 이 취약점은 CVE-2021-26855으로 추적된다).  볼렉시티 연구원은 보고서에서 “공격자는 이 취약점을 이용해 여러 사용자 메일박스의 전체 내용을 훔쳤다”라며, “이 취약점은 원격으로 공격할 수 있으며, 어떤 종류의 인증도 필요하지 않으며, 대상 환경에 대한 특별한 지식이나 접근권한도 필요하지 않...

익스체인지 제로데이 하프늄 2021.03.04

해킹당한 소닉월, 기업 고객에게 제로데이 취약점 경고

이번 공격은 소닉월(SonicWall)의 SMA 시리즈 접근 관리 게이트웨이를 대상으로 하며, 보안 공급업체에 대한 또 다른 공격이다.          방화벽 및 네트워크 보안 어플라이언스 업체인 소닉월은 일부 제품에서 알려지지 않은 취약점을 통해 자체 시스템이 공격을 받은 후, 고객에게 예방 조치를 취할 것을 촉구했다. 소닉월 측은 1월 22일 웹사이트를 통해 “최근 특정 소닉월 보안 원격 접근 제품에서 제로데이 취약점을 악용한 고도의 보안 위협 행위자에 의한 공격이 확인됐다”라고 밝혔다.   소닉월은 SMA(Secure Mobile Access) 물리적 및 가상 어플라이언스와 넷익스텐더(NetExtender) VPN 클라이언트 및 소닉월 방화벽 가운데 일부가 취약한 것으로 의심했다. 그러나 추가 조사 끝에 취약한 제품의 목록을 수정했다.   소닉월 측은 어떤 소닉월 방화벽도 영향을 받지 않으며, 넷익스텐더 VPN 클라이언트, 소닉월 소닉웨이브(SonicWave) AP, 또는 SMA 1000 시리즈도 영향을 받지 않았다고 밝혔다. 유일하게 취약한 제품은 SMA 200, SMA 210, SMA 400, SMA 500v(가상)를 포함하는 SMA 100 시리즈 어플라이언스다.   SMA 100 시리즈 어플라이언스는 중소기업용 접근 관리 게이트웨이로, 원격 직원에게 사내 리소스 또는 클라우드에서 호스팅되는 하이브리드 리소스에 대한 브라우저 기반 및 VPN 기반의 접근을 제공할 수 있다. 이는 넷익스텐더 VPN 클라이언트와 결합할 수 있다.  소닉월은 “현재 SMA 100 시리즈 고객은 해당 제품을 통해 원격 접속에 넷익스텐더를 계속 사용할 수 있다. 우리는 이 사용례가 악용에 취약하지 않다는 것을 확인했다”라고 말했다.  SMA 100 시리즈 고객에게 초치 촉구  그러나 소프트웨어 버전 10.x를 실행하는 SMA 100 시리즈 어플라이언스 사용자는 취약점을 조사하...

소닉월 제로데이 SonicWall 2021.01.27

“클라우드 시대의 운영체제” 기업 IT 관리자를 위한 웹 브라우저 보안 가이드

브라우저. 이들 없이는 인터넷을 사용할 수 없지만, 컴퓨팅 환경에 위험하고 안정적이지 못한 것을 들이게 되는 통로이기도 하다. 브라우저는 클라우드 컴퓨팅의 운영체제라고도 할 수 있어 브라우저를 보호하는 것이 점점 더 중요해지고 있다.   바로 지난주 구글은 크롬의 제로데이 취약점을 수정한 패치를 배포했다. 카스퍼스키는 블로그를 통해 “이 공격은 한국어 기반의 뉴스 포털을 통해 워터홀(waterhole) 스타일의 침투 공격을 한다. 악성 자바스크립트 코드가 메인 페이지에 삽입하는데, 해당 코드는 방문자의 프로파일링 스크립트를 원격 사이트에서 로딩한다”고 설명했다. 해당 공격은 특정 브라우저 버전과 운영체제를 대상으로 하고 있다. 다른 많은 공격들과 마찬가지로 목적은 해당 컴퓨터에 잔존하는 것인데, 이번 경우는 이 악성코드가 윈도우 작업 스케쥴러에 설치된다. 새로운 엣지 기반의 새로운 마이크로소프트 브라우저나 지금의 크롬 브라우저 모두 계속해서 제로데이 취약점을 악용한 공격의 대상이 되고 있다. 기업에서는 사용자들의 브라우저 환경을 검토하고 점점 증가하는 위협을 감소하기 위한 조처가 필요한지 확인할 필요가 있다. 아주 민감한 장비에 대해서는 브라우저 사용을 금하는 극단적인 조처가 필요할 수도 있다. 브라우저의 자바스크립트 실행을 비활성화하거나 플러그인과 브라우저 스캐닝 툴을 이용하는 것도 도움이 될 수 있다.   브라우저의 자바스크립트 실행 비활성화하기 크롬에서 자바스크립트를 비활성화하려면 메뉴(오른쪽의 점 3개 아이콘) > 설정 > 고급 > 개인정보 및 보안 > 사이트 설정으로 이동한다. 권한 항목 중 ‘자바스크립트’를 찾아 클릭하고 ‘허용’ 토글을 비활성화한다.  상당히 많은 웹사이트에서 자바스크립트를 사용하기 때문에 이 조처가 너무 극단적이라고 생각할 수도 있다. 반드시 자바스크립트를 사용해야 하는 웹사이트에서만 자바스크립트를 실행하도록 허용하는 것이 더 현명할 수도 있다. 같은 페이지에서 ‘허용’ 항...

브라우저 제로데이 기업 2019.11.13

윈도우 10용 안티바이러스 소프트웨어 TOP 12

AV-TEST 인스티튜트가 최근 가장 인기 있는 윈도우 10 클라이언트 안티바이러스 제품을 방어, 성능, 유용성이라는 세가지 기준으로 테스트했다. 그 결과 18개 제품 중 4개가 각 기준에 대해 6점 만점을 받았다. - 카스퍼스키랩 엔드포인트 시큐리티 - 카스퍼스키랩 스몰 오피스 시큐리티 - 시만텍 엔드포인트 프로텍션 - 시만텍 엔드포인트 프로텍션 클라우드 이번 기사에서 알파벳순으로 소개하는 12개 안티바이러스 제품은 18점 만점에서 최소 17.5점을 받았다. 전체 테스트 결과는 AV-TEST 인스티튜트 웹사이트에서 확인할 수 있다.   안티바이러스 테스트 결과 활용법 이 테스트는 랩 환경에서 수행되었다. 위협 모델 다른 각각의 다른 엔터프라이즈 시스템은 각 제품에 관해 다른 결과를 나타낸다. 다시 말해, 실험실에서 100% 탐지율을 보였다고 해서 해당 제품이 네트워크의 모든 안티바이러스 위협을 탐지한다는 의미는 아니다. 이런 차이를 보이는 이유 중 하나는 새로 제출된 악성코드 표본이 지정된 안티바이러스 제품의 데이터베이스로 만들어지는 데 며칠이 걸릴 수 있기 때문이다. AV-TEST 결과에 따르면, 악성코드 탐지의 기본 요소에 가장 적합한 윈도우 안티바이러스 제품이 시스템 성능에 미치는 영향은 가장 적었다. 이는 기업 환경에 가장 적합한 제품을 평가할 때 좋은 출발점이 된다. ‘우수 평가받은’ 윈도우 10 안티바이러스 툴  1. 어베스트 비즈니스 안티바이러스 프로 플러스 19.5와 19.6 어베스트 비즈니스 안티바이러스 프로 플러스는 지난 4주 동안 발견된 제로데이 악성코드 공격 및 악성코드를 중지시키는 데 완벽한 점수를 받았다. 표준 PC에서 평균보다 11%포인트가 느린 인기 웹사이트를 제외하고 모든 테스트에서 평균보다 성능이 높았다. 합법적인 소프트웨어를 설치하고 사용하는 동안 하나의 잘못된 행동 차단을 등록했다. 2. 비트디펜더 엔드포인트 시큐리티 6.6 비트디펜더 엔드포인트 시큐리티는 테스트에 쓰인 모든 제로데이 악성코드...

맥아피 윈도우10 AV-TEST 2019.10.08

픽셀, 갤럭시 폰 노리는 신규 제로데이 익스플로잇 주의

구글의 프로젝트 제로(Project Zero) 팀이 픽셀, 픽셀 2, 갤럭시 S9, 화웨이 P20, 그리고 기타 다른 안드로이드폰 사용자들에게 해커들이 휴대폰을 전체 통제할 수 있도록 하는 새로운 제로데이 취약점을 경고했다. 그리고 이미 해커들이 이 취약점을 악용하고 있다는 증거도 있어 더욱 주의가 요구된다. 아스 테크니카(Ars Technica)의 지적처럼 이 문제는 2017년 12월 보안 업데이트로 패치됐지만, 소스 코드 검토에 따르면, 여전히 많은 휴대폰이 취약한 상태다. 구글에 따르면, 위험한 휴대폰 모델은 다음과 같다. 픽셀, 픽셀 2 삼성 갤럭시 S7, S8, S0 화웨이 P20 샤오미 레드미 5A 샤오미 레드미 노트 5 샤오미 A1 오포 A3 모토 Z3 안드로이드 8 오레오를 구동하는 LG 폰 등 구글에 따르면, 이 익스플로잇은 사전에 다비이스를 맞춤 구성할 필요는 없으나 크롬 샌드박스나 신뢰할 수 없는 앱 스토어를 통해 악성 앱을 설치해야 공격할 수 있다고 한다. 즉, 원격으로 실행되지는 않기 때문에 주의를 기울이는 것만으로도 피해는 예방할 수 있다. 연구원 메디 스톤은 “이 버그는 취약한 장치를 완전히 손상시킬 수 있는 로컬 특권 확대 취약점(local privilege escalation vulnerability)이다. 이 취약점에 샌드박스로 액세스할 수 있기 때문에 익스플로잇이 웹을 통해 전달되면 렌더러 익스플로잇과의 연결만 필요하다”고 설명했다. 구글은 이스라엘 기반의 ‘익스플로잇 개발자’로 알려진 NSO 그룹에 의해 이 익스플로잇이 적극적으로 악용되고 있음을 발견한 후, 30일 공개 버그에서 7일 공개 버그로 변경했다. 아스 테크니카의 설명대로 NSO 그룹은 2016년에 발견된 페가수스 스파이웨어와도 연결되어 있는 것으로 알려져 있다. 발표문에서 구글은 곧 조치를 할 것이라고 전했다. “픽셀 1과 2는 10월 보안 릴리즈로 보호될 예정이다. 안드로이드 생태계 전체가 이 문제에서 자유로울 수 있도록 파트너들에게도 패치를 제공할 것...

취약점 제로데이 픽셀 2019.10.07

보호∙성능∙유용성 뛰어난 안티 바이러스 소프트웨어 10선

최근 AV-테스트 인스티튜트(AT-TEST Institute)가 보호, 성능, 유용성이라는 세 가지 기본 기준으로 가장 인기 있는 윈도우 10 클라이언트 안티 바이러스 제품을 테스트했다. 테스트한 18개 제품 가운데 각 기준에서 6점 만점을 받은 제품은 다음의 5가지다.  • F-시큐어 PSB 컴퓨터 프로텍션 • 카스퍼스키랩 엔드포인트 시큐리티 • 카스퍼스키랩 스몰 비즈니스 시큐리티 • 시만텍 엔드포인트 프로텍션 클라우드 • 트렌드마이크로 오피스스캔 <표>는 18개 제품을 알파벳 순으로 나열한 것으로, 여기서 상위 10개 바이러스 백신 제품은 총점 18점 만점에서 중 17.5점을 받았다. AV-TEST 인스티튜트 웹 사이트에서 전체 결과를 내려받을 수 있다.   바이러스 백신 테스트 결과를 사용하는 방법 이 테스트는 연구소 환경에서 수행됐다. 위협 모델은 다른 엔터프라이즈 시스템마다 다음에 나열된 각 제품에 대해 다른 결과가 나타난다. 다시 말해, 테스트 결과 100% 탐지율을 나타냈다고 해서 해당 제품이 네트워크의 모든 안티바이러스 위협을 탐지한다는 의미는 아니다. 여기에는 여러 가지 이유가 있는데 그 하나는 새로 제출된 악성코드 샘플이 지정된 안티 바이러스 제품의 데이터베이스로 만들어지는 데 며칠이 걸릴 수 있기 때문이다. AV-테스트 결과에 따르면, 악성코드 탐지의 기본 요소에 가장 적합한 윈도우 안티바이러스 제품이 시스템 성능에 미치는 영향이 가장 적다. 이 때문에 환경에 가장 적합한 제품을 평가할 때 좋은 출발점이 된다. 최고의 윈도우 10 안티 바이러스 툴 1. 어베스트 비즈니스 안티바이러스 프로 19.3 어베스트 비즈니스 안티바이러스 프로 플러스는 보호 기능이 약간 향상되어 완벽한 점수를 받았다. 모든 제로데이 악성코드 공격의 97%를 막아냈다. 모든 테스트에서 업계 평균에 가까운 제품으로 마지막 테스트 라운드 동안 성능이 향상되었다. 이밖에 잘못된 경고, 차단 또는 합법적인 소프트웨어를 악성코드로 잘못 탐지...

시만텍 AV-테스트 비트디펜더 2019.08.19

인터넷 익스플로러 '제로데이' 취약점 발견, MS 긴급 보안 업데이트 배포

마이크로소프트가 인터넷 익스플로러(IE)를 언급하는 일은 거의 없다. 만일 그렇다면, 보통 좋은 소식은 아니다. 수요일, 마이크로소프트는 현재 지원 중인 인터넷 익스플로러 9, 10, 11에 대해 치명적인 보안 취약점 업데이트를 위한 긴급 보안 업데이트를 발표했다. 매우 드문 일이다. 이 취약점은 구글 보안 엔지니어 클레망 르시뉴가 보고한 것으로 알려졌다. 마이크로소프트는 공격자가 이미 이 취약점을 악용해 일반적인 제로데이 버그를 만들었다고 발표했다. 1월 파일로 예정돼 있던 다음 차 보안 업데이트에 앞서 보안 픽스를 배포한 것도 이 때문이다. 이번 업데이트는 윈도우 7, 윈도우 8.1, 윈도우 10(윈도우 10 1607버전 이후용 패치), 그리고 윈도우 서버 2008, 2012, 2016, 2019용으로 배포됐다. 윈도우 10 버전 일부(버전 1607, 버전 1703)용 업데이트는 윈도우 10 엔터프라이즈, 윈도우 10 에듀케이션에만 적용된다. 인터넷 익스플로러 보안 픽스는 대다수 관리되지 않는 윈도우 PC를 대상으로 자동으로 제공, 다운로드, 설치된다.  마이크로소프트는 CVE-2018-8653 지원 문서를 통해 “스크립팅 엔진이 인터넷 익스플로러 메모리 개체를 처리하는 방식에서 원격 코드 실행 취약점이 발견됐다. 이 취약점으로 공격자가 현재 사용자의 컨텍스트에서 임의의 코드를 실행해 메모리 손상을 야기할 수 있다”고 밝혔다. 인터넷 익스플로러는 2016년 초 레거시 상태로 등급이 내려갔다. 브라우저의 취약성을 계속해서 패치하겠다고 약속했지만, 더 이상의 개선이나 강화 조치는 없었다. 마이크로소프트가 인터넷 익스플로러 서비스를 유지하는 이유는 윈도우 7, 8.1, 10 기업 사용자가 인터넷 익스플로러를 통해 사용자 지정 웹 애플리케이션과 구형 인트라넷 사이트를 계속 실행할 수 있기 때문이다. 마이크로소프트가 강조하는 미래 전략은 윈도우 10에서만 실행되는 엣지 브라우저를 중점으로 이루어져 있다. 지난 11월 분석 전...

IE 제로데이 인터넷익스플로러 2018.12.21

"불안한 추세를 보여주는 최근 사례"와 사이버 공격의 이해

가상은행강도에서부터 국가규모의 반개방 공격에 이르기까지 지난 수년간 IT 보안은 많은 어려움을 겪었다. 최근 주요 사이버 공격과 이로부터 배울 수 있는 것들을 살펴보자.    사이버 공격에 대한 정의 간단히 정의하면, 사이버 공격은 하나, 또는 여러 컴퓨터를 이용해 다른 컴퓨터(하나 또는 여러 컴퓨터)나 네트워크를 공격하는 것이다. 사이버 공격은 크게 두 가지 유형으로 분류할 수 있다. 그 목적이 표적이 되는 컴퓨터를 비활성화 또는 오프라인 상태로 만드는 공격과 표적 컴퓨터의 데이터에 액세스를 하고 관리자 권한을 획득하는 것을 목적으로 하는 공격이다.     사이버 공격의 유형 사이버 공격자는 이런 목적들을 달성하기 위해 여러 다양한 기술적 방법이나 기법을 활용해야 한다. 항상 새로운 방법이나 기법이 많이 등장한다. 여기에서 소개하는 방법이나 기법 중에는 중복되는 것들도 있다. 그러나 가장 많이 회자되는 '개념'들이다. - 악성코드(Malware): 악성 소프트웨어(Malicious Software)를 줄인 말이다. 마이크로소프트는 "악성코드는 그 구조나 작동 방식에 상관없이, 하나의 컴퓨터, 서버, 컴퓨터 네트워크에 피해를 초래하도록 설계된 모든 종류의 소프트웨어"라고 정의한다. 웜(Worm), 바이러스, 트로이목마(trojans)는 모두 악성코드의 변종이다. 재생산 및 확산 방법에 따라 서로 구분이 된다. 이런 공격으로 컴퓨터나 네트워크를 작동 불능 상태로 만들거나, 시스템을 원격으로 제어할 수 있도록 공격자에게 관리자 권한을 승인하게 만들 수 있다. - 피싱(Phishing): 사이버 공격자가 이메일로 표적으로 삼은 사람을 속여 유해한(위험한) 행동을 하도록 만드는 공격 기법이다. 이메일을 수신하는 사람을 속여, 중요한 문서나 자료로 가장한 악성코드를 다운로드받게 하거나, 은행 사이트의 사용자 이름과 비밀번호 같이 민감한 정보를 캐내는 가짜 웹사이트로 연결된 링크를 클릭하도록 만든...

악성코드 제로데이 사이버공격 2018.12.10

"윈도우는 여전히 취약" JET 결함 제로데이에 대한 불완전 패치

마이크로소프트가 JET 데이터베이스 엔진에 제로데이 취약점을 패치했지만, 사용자는 완전히 보호되지 않는다. 제로패치(0patch)의 연구원은 마이크로소프트의 공식 패치가 불완전하다고 경고했다. 제로데이 이니셔티브(Zero Day Initiative)는 9월 발견된 원격 코드 실행으로 이어질 수 있는 결함에 대해 마이크로소프트가 120일 공개 일정 내에 패치하지 않은 상태에서 처음으로 공개했다. 제로패치는 24시간 이내에 모든 윈도우 버전에 JET 데이터베이스 엔진이 포함된 마이크로패치(Micropatch)를 출시했다. 마이크로소프트는 10월 패치 튜즈데이(Patch Tuesday)에 수정 사항을 발표했다. 하지만 제로데이 측은 "마이크로소프트의 수정 사항은 취약점을 제거하는 것이 아니라 제한할 뿐이다. 우리는 즉시 마이크로소프트 측에 이를 알리고 정확한 내용을 발표할 때까지 상세한 내용이나 PoC(Proof of Concept)를 공개하지 않을 것이다"고 말했다. 한편, 마이크로소프트가 적절한 픽스를 제공할 때까지 제로데이는 자사의 마이크로패치 배포를 권고했다. editor@itworld.co.kr 

제로데이 패치 마이크로소프트 2018.10.16

토르 브라우저를 표적으로 삼는 제로데이 익스플로잇 포상금 100만 달러…제로디움

한 익스플로잇 공격 브로커가 테일즈 리눅스(Tails Linux)와 윈도우에서 토르(Tor) 브라우저를 표적으로 삼는 제로데이 익스플로잇 공격(Zero-day Exploit)에 대해 100만 달러를 지불하겠다고 제안한 후, 토르가 표적이 되었다는 사실에 불안감이 엄습해 온다. 다크웹을 표적으로 한 이 제로데이는 사법당국의 모 인물에게 판매될 것이다. 13일 익스플로잇 공격 브로커 제로디움(Zerodium)은 이전에 알려지지 않은 토르 브라우저를 표적화한 익스플로잇 공격에 대해 100만 달러의 보상금을 지불하겠다고 발표했다. "우리는 토르 브라우저 #0day 익스플로잇 공격에 대해 미화 1백만 달러의 포상금을 제안한다." — 제로디움(@Zerodium) 2017년 9월 13일 토르 브라우저 포상금(Tor Browser Bounty) 프로그램에 따르면, 제로디움은 테일즈 리눅스와 윈도우에서 토르 브라우저에 대한 제로데이 익스플로잇 공격을 획득하는 대가로 총 100만 달러를 지불한다. 포상금은 2017년 11월 30일 미국 동부시각 오후 6시까지 유효하며 연구원들에 대한 총 지불액이 100만 달러를 초과하는 경우 조기에 종료될 수 있다. 제로디움은 사람들이 프라이버시와 보안을 높이기 위해 토르 네트워크와 브라우저를 사용한다고 밝혔지만 다음과 같은 말을 남겼다. "나쁜 사람들이 약물 불법 거래나 아동 학대 등의 활동을 위해 사용한다. 우리는 정부 고객이 범죄와 싸우고 모두를 위해 더 나은 세상과 안전한 곳을 만들 수 있도록 토르 브라우저 제로데이에 대한 이 특수 포상금을 출범했다." 프리미엄 포상금 자격을 얻으려는 사람들은 자바스크립트(JavaScript)를 차단한 토르 브라우저를 위한 제로데이 익스플로잇 공격 개발 요청을 받았으며, 이는 토르 브라우저와 번들로 제공되는 노스크립트(NoScript)를 통한 옵션이다. 노스크립트를 통한 자바스크립트 차단은 기본적으로 활성화되지 않기 때문에 사...

제로데이 익스플로잇 토르 2017.09.15

“악성코드 중 30%는 레거시 안티바이러스가 놓친 제로데이”

현재 악성코드의 30%가 전통적인 안티바이러스가 놓친 제로데이 악성코드라는 연구 결과가 나왔다. 워치가드 테크놀로지(WatchGuard Technologies)가 발표한 분기별 인터넷 보안 보고서에 따르면, 2016년 4분기에 ‘새로운 것’ 혹은 ‘제로데이’로 분류된 악성코드 중 30%가 레거시 안티바이러스 솔루션에서 탐지하지 못한 것들이다. 보고서는 워치가드 UTM 어플라이언스 2만 4,000개에서 수집한 데이터에 기반하고 있으며, 이들 어플라이언스가 2016년 4분기에 탐지한 악성코드는 총 1,870만개다. 그중에서 전통적인 시그니처 기반 안티바이러스 솔루션이 탐지한 악성코드는 896만 6,040개이지만, 새로운 행동기반 악성코드 보호 서비스는 386만 3,078개의 악성코드를 더 잡아냈다. APT(advanced threat prevention) 솔루션을 보유하지 않은 기업들은 악성코드의 3분의 1을 놓칠 수 있다는 것이 워치가드의 설명이다. 이밖에, 워치가드는 보고서에서 오래된 공격 유형이 여전히 기승을 부리고 있다고 지적했다. 악성 마크로가 포함된 워드 문서나 웹 서버를 하이재킹하는 악성 웹 셸 등이다. 또한 워치가드는 대부분의 네트워크 공격이 웹 서비스나 브라우저를 대상으로 하고 있으며, 특히, 웹 브라우저 공격의 73%가 드라이브 바이 다운로드(drive-by-downloads)라고 지적했다. 워치가드의 보고서는 웹사이트에서 전문을 확인할 수 있다. editor@itworld.co.kr

맬웨어 악성코드 안티바이러스 2017.04.06

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.