정보보호 전문기업 두루안이 함께 합니다.
The Hacker News 발췌분
17-Year-Old Critical 'Wormable' RCE Vulnerability Impacts Windows DNS Servers (2020-07-14)
l Check Point의 Sagi Tzadik가 발견한 "SigRed"라고 불리는 원격 코드 실행 결함 (CVE-2020-1350)은 인증되지 않은 원격 공격자가 대상 서버에 대한 도메인 관리자 권한을 획득하고 조직의 IT 인프라를 완전히 제어 할 수 있게 합니다. CVSS 10점을 받았으며 Windows Server 2003-2019 버전에 영향을 미칩니다.
l "SigRed"는 DNS 네임서버(NS)로 쿼리가 전달될 때, 악성 네임서버("ns1.41414141.club")를 가리키도록 도메인("deadbeef.fun") NS 리소스 레코드를 구성하고 도메인의 대상 DNS 서버를 쿼리하여 도메인 또는 해당 하위 도메인과 관련된 모든 후속 쿼리에 대한 이름 서버의 응답을 구문 분석하고, 함수에서 정수 오버플로 결함을 발생시킵니다.
l또한"SigRed"는 Internet Explorer 및 비 크로미엄 기반 Microsoft Edge 브라우저와 같은 제한된 시나리오에서도 원격으로 트리거가 가능하므로, 공격자가 Windows DNS 서버의 연결 재사용 지원 및 쿼리 파이프라인 기능을 악용하여 웹을 방문할 때 HTTP 요청 페이로드 내의 DNS 쿼리를 대상 DNS 서버로 플러그 할 수 있습니다.
l임시 해결 방법으로TCP를 통한 DNS 메시지의 최대 길이를"0xFF00"으로 설정하여 버퍼 오버플로 가능성을 제거하십시오. 또한 Microsoft 인프라를 사용하는 모든 조직은 영향을 받는 Windows DNS 서버를 패치버전으로 업그레이드 하십시오.
l 뉴스보기
Several High-Profile Accounts Hacked in the Biggest Twitter Hack of All Time (2020-07-15)
l 소셜 미디어 플랫폼 Twitter는 역사상 가장 큰 사이버 공격 중 하나를 겪었는데, 미국 대통령 후보 Joe Biden, Amazon CEO Jeff Bezos, Bill Gates, Elon Musk, Uber 및Apple의 계정을 포함하여 다수의 유명 Twitter 계정이 동시에 광범위한 해킹을 당해 "당신이 ,000를 보내면, 나는 당신에게 ,000를 돌려 보냅니다."와 같은 메시지를 게시하여 수백만 팔로워가CryptoForHealth와 같은 특정 비트 코인 지갑 주소로 돈을 보내도록 촉구했습니다.
l 손상된 계정의 트윗이 삭제되었지만 Twitter는 Blue ticks을 획득한 많은 검증된 계정들이 트위터를 하는 것을 일시적으로 중단하는 극단적인 조치를 취했습니다. 소셜 네트워크에서 해커가 트위터 직원의 관리 액세스를 제어하여 "암호 또는 이중 인증 코드를 모른 채" 계정을 인수하고 자신의 트윗을 트윗하는 경우는 이번이 처음입니다. 또한 공격자는 계정과 관련된 전자 메일 주소를 변경하여 실제 사용자가 다시 액세스하기 어렵게 만듭니다.
l작년에는Twitter 계정이 SIM 스와핑 공격으로 해킹되어 권한이 없는 제 3자가 전화번호의 문자 메시지를 통해 트윗을 게시할 수 있는 취약점이 드러났습니다. 이 사건으로 Twitter는 올해 초 대부분의 국가에서 SMS를 통해 트윗을 보내는 기능을 중단하기도 했습니다.
l 뉴스보기
New Android Malware Now Steals Passwords For Non-Banking Apps Too (2020-07-16)
l ThreatFabric 연구소는 뱅킹 앱 뿐만 아니라 소셜 네트워킹, 데이트 및 암호 화폐 앱에서 데이터 및 자격 증명을 도용하는 새로운 뱅킹 악성 코드 변종"BlackRock"을 발견했습니다. BlackRock의 소스코드는 Xerxes 뱅킹 악성 코드의 유출 버전으로부터 파생되었으며, 2016-2017년에 처음으로 관찰된 "LokiBot Android" 뱅킹 트로이 목마의 변종입니다. 주요 기능으로는 안티 바이러스 소프트웨어 회피, 사용자 자격 증명 도용, SMS 메시지 가로 채기, 도용 알림, 대상 앱의 키 입력 기록까지 있습니다.
l "BlackRock"의 영향을 받는 앱 목록에는 Tinder, TikTok, PlayStation, Facebook, Instagram, Skype, Snapchat, Twitter, Grinder, VK, Netflix, Uber, eBay, Amazon, Reddit 및 Tumblr와 같은 유명한 애플리케이션이 포함됩니다.
l Alien, EventBot 및 BlackRock 이후에 재정적으로 동기를 부여한 위협 행위자는 새로운 뱅킹 트로이 목마를 구축하고 기존의 트로이 목마를 계속 개선할 수 있습니다. 모바일 뱅킹 트로이 목마 변종으로 인해 뱅킹 멀웨어와 스파이웨어 사이의 경계가 좁아지고 뱅킹 멀웨어는 더 많은 조직에 위협이 될 것입니다.
l 뉴스보기
KISA보안공지
사회관계망서비스(SNS) 해킹 피해 예방을 위한 사용자 주의사항 권고 (2020-07-16)
SAP NetWeaver AS JAVA 보안 업데이트 권고 (2020-07-16)
Cisco 제품 취약점 보안 업데이트 권고 (2020-07-16)
Oracle Critical Patch Update 보안 업데이트 권고 (2020-07-16)
MS Windows DNS 서버 보안 업데이트 권고 (2020-07-15)
MS 7월 보안 위협에 따른 정기 보안 업데이트 권고(2020-07-15)
VMware 제품군 보안 업데이트 권고 (2020-07-14)
기타 동향
도커 환경 공격하는 해커들, 전략을 또 변경했다 (2020-07-16)
l 컨테이너 환경 공격하는 새로운 전략 등장.
l 공공 레지스트리의 이미지를 공격하는 게 아니라, 호스트에 직접 악성 이미지 생성.
l 하지만 최종적으로는 ‘암호화폐를 채굴한다’는 점에서 같음.
l 뉴스보기
새롭게 발표된 크롬 84, 코로나 때문에 중단됐던 강화 조치 재개해 (2020-07-16)
l 4월부터 코로나 때문에 중단됐던 크롬 보안 강화 절차, 다시 시작.
l 다시 시작하면서 새롭게 나온 것이 크롬 84. 38개 취약점 패치됨.
l 세임사이트 쿠키 작동 방식 변경되고 TLS 1.0과 1.1 프로토콜 지원 중단됨.
l 뉴스보기
미라이 봇넷 멀웨어의 새 변종, 콤트렌드 라우터 공격해 (2020-07-14)
l 미라이 봇넷의 새로운 변종, 콤트렌드의 라우터 장비 공격함.
l 명령 주입 취약점으로, 공격 당한 장비의 네트워크를 침해할 수 있게 해줌.
l 새로운 취약점을 부지런히 공격 도구에 적용하는 범죄자들, 패치보다 빠름.
l 뉴스보기