Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 10월 2일] 주요 보안 이슈
작성일 2019-10-02 조회 641

1. [기사] Researchers Find New Hack to Read Content Of Password Protected PDF Files
[https://thehackernews.com/2019/10/pdf-password-encryption-hacking.html]
암호화된 PDF 파일의 전체 내용에 접근이 가능한 새로운 공격 기법이 나왔다. PDFex라는 새로운 기술에는 PDF 문서 형식에 내장된 표준 암호화 보호의 보안 취약점을 이용하는 두 가지 유형의 공격이 포함된다. 참고로 PDFex 공격은 침입자가 암호화 된 PDF의 암호를 알거나 제거 할 수 없지만, 합법적인 사용자가 문서를 열면 공격자가 원격으로 콘텐츠를 추출할 수 있도록 한다. PDFex를 작동하게 하는 취약점 중 하나는 부분 암호화이다. 설계상 표준 PDF 규격은 PDF 문서의 구조를 정의하는 객체를 암호화되지 않은 상태로 유지하는데, 이때 공격자는 문서 구조를 쉽게 조작할 수 있고, 페이로드를 주입할 기회를 제공한다. 두 번째는 Ciphertext Malleability이다. PDF 암호화는 무결성 검사 없이 CBC(Cipher Block Chaining) 암호화 모드를 사용하며, 공격자가 자체적으로 추출하는 암호문 부분을 만들기 위해 악용 할 수 있다. 영향을 받는 PDF 뷰어는 Adobe Acrobat, Foxit Reader, Okular, Evince, Nitro Reader이며, 웹 브라우저에 내장된 PDF 뷰어 중에서는 Chrome, Firefox, Safari, Opera가 있다. 


2. [기사] Tridium Niagara framework affected by 2 flaws in BlackBerry QNX OS
[https://securityaffairs.co/wordpress/91935/security/tridium-niagara-flaws.html]
미국 국토안보부 사이버보안국(CISA)이 BlackBerry의 QNX 운영체제에 내장돼 있는 Tridium의 Niagara 제품에 두 가지 취약점이 있다고 경고하고 나섰으며, 로컬 사용자가 해당 결함을 악용하여 권한을 에스컬레이션 할 수 있다. Niagara 프레임 워크는 Tridium에서 개발한 범용 소프트웨어 인프라로, 빌딩 제어 통합 업체, HVAC 및 기계 계약 업체가 로컬 네트워크  또는 인터넷을 통해 실시간으로 스마트 기기에 액세스, 자동화 및 제어할 수 있는 맞춤형 웹 지원 애플리케이션을 구축 할 수 있으며,  상업 시설, 정부 시설, 중요 제조 및 IT 부문에서 널리 사용되고 있다. CVE-2019-8998으로 추적 된 가장 심각한 취약점은 로컬 공격자가 권한 상승을 위해 악용 할 수 있는 procfs 서비스와 관련된 정보 유출 결함이다. CVE-2019-13528로 추적 된 두 번째 취약점은 부적절한 인증 문제이며 특정 유틸리티가 권한 있는 파일에 대한 읽기 액세스 권한을 얻을 수 있다. Tridium은 이러한 취약점을 해결하는 업데이트를 발표했다.


3. [기사] Comodo Forums Hack Exposes 245,000 Users' Data — Recent vBulletin 0-day Used
[https://securityaffairs.co/wordpress/91966/data-breach/comodo-forum-data-breach.html]
Comodo 토론 게시판 및 지원 포럼인 ITarian Forum은 해킹되었으며 거의 ​​245,000명의 등록 된 사용자에 속하는 데이터가 노출되었다. 노출된 데이터에는 로그인 사용자 이름, 이름, 이메일 주소, 해시 된 비밀번호, 포럼에 액세스하는 데 사용된 마지막 IP 주소 및 일부 소셜 미디어 사용자 이름이 포함된다. 공격자는 최근 공개된 vBulletin(CVE-2019-16759)의 제로 데이 취약점을 악용했다. vBulletin은 가장 인기 있는 포럼 소프트웨어 중 하나이며, vBulletin 위에서 100,000개 이상의 웹 사이트가 온라인으로 실행된다. 9월 24일, 익명의 해커가 vBulletin의 중요한 제로 데이 원격 코드 실행 결함에 대한 기술적 세부 정보 및 개념 증명 악용 코드를 공개했으며, vBulletin 개발자는 취약점이 공개되고 패치를 발표했지만, Comodo의 관리자는 이를 적용하지 않았다. 


4. [기사] Gucci IOT Bot Discovered Targeting European Region
[https://securityaffairs.co/wordpress/91942/malware/gucci-iot-bot.html]
보안 연구팀은 Gucci라는 이름을 가진 새로운 IOT 봇을 발견했다. 모든 Gucci 봇 이진수는 스트립 되며, 이는 이 이진 파일을 컴파일할 때 크기를 줄이기 위해 모든 디버그 기호를 이러한 실행 파일에서 제거했다는 것을 의미한다. 또한, Gucci 봇이 TCP 포트 5555에서 원격 IP에 연결하고 그에 따라 데이터를 전송하고 있는 것으로 분석되었다. 또한, Gucci 봇이 지원하는 스캔은 HTTP null scan, UDP flood, Syn flood, ACK flood, UDP flood with less protocol options, GRE IP flood, Value Source Engine specific flood이다. Gucci 봇은 초기 배포 단계에 있는 것으로 나타났으며, 봇넷 운영자가 Gucci C&C에 대한 모든 액세스 연결을 모니터링하고있는 것으로 분석되었다. 봇넷 운영자가 C & C가 손상되었다는 사실을 인지하자 마자 TCP 서비스가 호스트에서 제거되었고 운영자는 디렉토리를 정리하고 표시기 및 아티팩트를 숨기기 위해 추가 작업 세트를 수행했다. 


5. [기사] Fake Office Activation Wizard Docs Used to Spread Emotet Trojan
[https://www.bleepingcomputer.com/news/security/fake-office-activation-wizard-docs-used-to-spread-emotet-trojan/]
Emotet 봇넷은 Microsoft Office 활성화 마법사로 가장한 악성 첨부 파일이 사용하는 새 템플릿으로 전환했다. 스팸 캠페인을 수행 할 때 Emotet의 행위자는 수신자가 문서에서 매크로를 사용하도록 속이도록 설계된 악성 Word 문서 템플릿을 사용하고, 이 매크로가 활성화되면 Emotet Trojan 및 기타 맬웨어를 다운로드하여 받는 사람의 컴퓨터에 설치하는 스크립트가 실행된다. 스팸 전자 메일은 여전히 ​​가짜 송장, 주문 확인, 지불 확인 및 배송 문제인 것처럼 다양한 회신 체인 및 직접 전자 메일을 사용하고 있지만 Microsoft Office Activation Wizard인 것처럼 가장하는 새로운 문서 템플릿으로 전환했다. 보안 연구원 ps66uk에 의해 발견된 이 새로운 템플릿은 피해자가 Microsoft Office의 활성화를 완료하기 위해 편집 및 콘텐츠 사용 버튼을 클릭하라는 메시지를 표시한다. 사용자가 편집 사용 및 콘텐츠 사용 단추를 클릭하면 임베드된 매크로가 원격 사이트에 연결하는 PowerShell 명령을 실행하고 Emotet 트로이 목마를 피해자의 %UserProfile%에 다운로드하여 실행한다. 그리고 Emotet 트로이 목마는 피해자의 대화 상대 목록에 추가 스팸 이메일을 발송하고 컴퓨터에 다른 맬웨어를 다운로드한다.

첨부파일 첨부파일이 없습니다.
태그 PDFex  CVE-2019-8998  vBulletin   Gucci   Emotet