openLab

0xNews - Pypi 저장소에서 악성 파이선 라이브러리 발견 JFrog 발표 https://jfrog.com/blog/malicious-pypi-packages-stealing-credit-cards-injecting-code/ 3만회 이상 다운로드된 최대 8개 파이선 패키지가 악성 코드가 포함된 이유로 Pypi 포털에서 제외 처리 공개 소프트웨어 저장소의 조정과 자동화된 보안 제어 기능이 없기 때문에 경험이 부족한 공격자도 이를 플랫폼으로 사용 악성코드를 통해 강제 오탈자 처리 typosquatting, 종속성 혼란, 단순한 사회공학 공격 가능성 확인 Pypi Python Package Index 는 파이선용 공식 타사 소프트웨어 저장소로 pip 와 같은 패키지 관리자 유틸리티 패키지나 해당 종속성에 대한 기본 소스에 의존함 Base64 인코딩을 사용하여 난독화된 것으로 확인된 문제의 파이선 패키지 리스트 pytagora - leonora123 에서 업로드 pytagora2 - leonora123 에서 업로드 noblesse - xin1111 에서 업로드 genesisbot - xin1111 에서 업로드 are - xin1111 에서 업로드 suffer - suffer 에서 업로드 noblesse2 - suffer 에서 업로드 noblessev2 - suffer 에서 업로드 위 패키지를 통해 악용하여 보다 높은 수준의 공격의 진입점으로도 활용할 수 있음 공격 가상 시나리오로 대상 시스템에서 원격 코드를 실행 해당 시스템 정보 탈취 피해자를 가장하기 위한 Discord 인증 토큰 등 정보 축적을 통해 구글 크롬이나 MS 엣지 브라우저 등에 자동 저장된 신용 카드 정보나 계정 정보 등 탈취 Pypi 은 공격자의 공급망 공격 supply chain 의 수 많은 예시 중 하나 npm 저장소의 악성 코드 패키지 업데이트 사건 rubygems 저장소의 악성 코드 패키지 업데이트 사건 등 계속 관련 사건 발생 T-Rex, ubqminer, PhoenixMiner 과

0xNews - 윈도우 / 리눅스 각 운영체제에서 권한 상승 취약점 발견 CERT/CC Coordination Center 발표 - 윈도우 https://kb.cert.org/vuls/id/506989 MS 윈도우 Windows 10, 이후 Windows 11 은 낮은 수준의 권한을 가진 사용자가 윈도우 시스템 파일에 접속하여 운영체제 설치 암호를 풀고 개인키를 해독이 가능한 새로운 로컬 권한 상승 취약점 확인 윈도우 10 build 1809 부터 관리자가 아닌 사용자에게 SAM, SYSTEM, SECURITY 레지스트리 하이브 파일에 대한 접속 권한이 부여 이를 통해 로컬 권한 상승 LPE Local Privilege Escalation 허용 문제가 되는 파일들 c:\Windows\System32\config\sam c:\Windows\System32\config\system c:\Windows\System32\config\security CVE-2021-36934 지정 MS 는 해당 문제 확인했지만 현재까지 관련 패치 제공이나 정보 제공 하지 않고 있음 MS 에서 제공하는 관련 사이트 링크 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934 SAM Security Accounts Manager 은 데이터베이스를 포함하여 여러 시스템 파일에 대한 ACL Access Control List 지나치게 허용되기 때문에 권한 상승 취약점 존재 이 취약점 악용을 성공하면 공격자는 SYSTEM 권한으로 임의 코드 실행 가능 이후 공격자가 원하는 프로그램 설치, 데이터 탈취나 위변조, 전체 사용자 권한으로 신규 계정 생성 등의 활동 가능 사용자가 SAM, SYSTEM, SECURITY 파일에 대한 접속 제한 시스템 드라이브의 VSS Volume Shadow Copy 삭제할 것 등을 권고 이번 취약점은 2021년 7월 정규 업데이트에서도 포함되지 않았기에 사용자의 주의 필요 Qualys 발표 - 리눅스

0xNews - 각종 프린터에 16년된 보안 취약점 발견 SentinelLABS 발표 https://labs.sentinelone.com/cve-2021-3438-16-years-in-hiding-millions-of-printers-worldwide-vulnerable/ 2005년 이후 탐지가 되지 않은 HP, 삼성, 제록스 Xerox 등의 프린터에 사용되는 소프트웨어 드라이버에 심각한 취약점 발견 CVE-2021-3438 / CVSS 8.8  원격 권한, 임의 코드 실행을 활성화할 수 있는 SSPORT.SYS 라는 인쇄 드라이버 설치 프로그램 패키지의 버퍼 오버플로buffer overflow 와 관계가 있음 문제가 있는 취약한 드라이버는 현재까지 전 세계적으로 많은 수의 프린터에서 사용 중 현재까지 취약점을 악용한 공격 사례는 확인되지 않음 2021년 5월에는 특정 HP 레이저젯 제품이나 삼성 제품 프린터용 소프트웨어 드라이버의 잠재적인 버퍼 오버플로로 인해 권한 상승으로 이어질 수 있다고 보고 해당 문제는 2021년 2월 HP 보고 2021년 5월 영향을 받는 프린터에 대한 보안 패치 업데이트와 제공 HP 와 Xerox 에서 각각 보안 패치 정보 제공 사이트 링크 https://support.hp.com/us-en/document/ish_3900395-3833905-16 https://securitydocs.business.xerox.com/wp-content/uploads/2021/05/cert_Security_Mini_Bulletin_XRX21K_for_B2XX_PH30xx_3260_3320_WC3025_32xx_33xx.pdf 특히 이 문제는 프린터 드라이버가 사용자 입력 크기를 삭제하지 않는다는 사실을 확인 잠재적으로 권한이 없는 사용자가 버그가 있는 드라이버가 설치된 시스템에서 권한을 상승 시키고 커널 모드에서 악성 코드를 실행할 수 있음 드라이버 내부의 취약한 기능은 크기 매개변수를 검증하지 않고 IOCTL Input/Output Control

0xNews - 최근 취약점 악용 사례에 대한 구글 정보 분석 구글 위협 분석 그룹 TAG Threat Analysis Group 발표 https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/ 2021년 초부터 활발하게 이루어진 취약점 공격 사례와 캠페인 중 네가지 핵심 사례에 대한 정보 분석 CVE-2021-1879 애플 Apple 사파리 Safari Webkit 의 QuickTimePluginReplacement에서 Use-After-Free CVE-2021-21166 구글 크롬 Chrome 오디오 내 객체 수명 주기 Object Lifecycle 문제 CVE-2021-30551 구글 크롬의 V8 내 유형 혼동 Type Confusion CVE-2021-33742 MS Internet Explorer MSHTML 범위를 벗어나 쓰기 CVE-2021-2166 CVE-2021-30551 등 구글 크롬 제로데이 0day 는 모두 동일한 공격자가 공격을 수행한 것으로 추정 이메일을 통해 아르메니아에 있는 대상으로 전송된 일회성 링크로 전달되었으며 링크가 리디렉션 됨 수신자는 공격자가 이미 만들어둔 관심 있는 정상적인 웹 사이트로 접속 유도 악성 웹사이트는 2단계 페이로드를 전달하기 전 클라이언트에 대한 시스템 정보 수집을 포함하여 기기의 핑거프린팅 수행 구글은 CVE-2021-30551 패치 출시 때 이 취약점을 원격 코드 실행 RCE Remote Code Execution 취약점을 가진 CVE-2021-33742 를 악용한 공격자와 동일함을 확인 CVE-2021-33742 는 2021년 6월 MS 정기 보안 업데이트 중 일부로 해당 문제 확인 후 패치 제공 위 두 개의 제로데이는 동유럽과 중동에서 일부 특정된 대상을 목표로 상업적 목적과 함께 익스플로잇 브로커 등을 통해 제공되어 활용되기도 함 또한 다른 제로데이는 이런 브로커 등의 활동을 통해 다른 정부지원 관계자에게 판매되어 추

0xNews - 최신 SolarWinds 0day 취약점을 중국 해커가 악용하여 미국 업체 공격 MS MSTIC Microsoft Threat Intelligence Center 발표 https://www.microsoft.com/security/blog/2021/07/13/microsoft-discovers-threat-actor-targeting-solarwinds-serv-u-software-with-0-day-exploit/ MS 에서는 최근 패치가 적용된 RCE Remote Code Execution 익스플로잇이 적용된 SolarWinds Serv-U 관리 파일 전송 서비스를 대상으로 하는 일련의 최신 공격은 DEV-0322 이라는 이름의 중국 해커가 만든 것임을 확인 미국 텍사스에 기반을 둔 IT 모니터링 소프트웨어 제조업체가 공격자가 원격으로 권한이 있는 임의 코드를 실행하여 악성 페이로드를 설치하고 실행하거나 민감 정보를 보고 탈취나 수정, 삭제할 수 있는 취약점에 대한 수정 사항 발표 후 몇일만에 공격자 정보 확인 CVE-2021-35211 지정 RCE 취약점은 Serv-U 의 SSH 프로토콜 구현에 취약점 존재 이전에 공격 범위가 제한적이라는 것이 밝혀졌지만 SolarWinds 에서는 잠재적으로 영향을 받는 고객의 신원을 알지 못한다고 밝힘 MS MSTIC Microsoft Threat Intelligence Center 는 피해 기법, 공격 전술이나 절차를 기반으로 Development Group 0322 을 줄여서 DEV-0322 라는 곳에서 침입을 했을 가능성이 높다고 판단 이 그룹은 중국에 기반을 두고 활동 공격자 인프라에서 주요 Serv-U 프로세스에서 연계되서 사용되어 상용 VPN 솔루션과 손상된 소비자 라우터를 사용하는 것을 확인 이번 익스플로잇 공격인 중국에 기반을 둔 해킹 그룹이 기업 네트워크에 대한 표적 공격으로 SolarWinds 소프트웨어 취약점을 악용한 두 번째 사례로 기록 2020년 12월 MS 는 해커 그룹이 IT

0xNews - 구글 문서 대용으로 인기 있는 Etherpad 에서 심각한 취약점 발견 SonarSource 발표 https://blog.sonarsource.com/etherpad-code-execution-vulnerabilities/ Etherpad 텍스트 편집기 v.1.8.13 에서 잠재적으로 공격자가 관리자 계정을 가로채고 시스템 명령을 실행하며 중요한 문서를 훔칠 수 있는 새로운 보안 취약점 공개 CVE-2021-34816 CVE-2021-34817 등 두개로 지정 6월 4일 취약점 최초 발견 후 보고 7월 4일 취약점 문제 해결 현재 Etherpad v.1.8.14 에서 패치 제공 https://github.com/ether/etherpad-lite/releases/tag/1.8.14 Etherpad 는 여러 작성자가 동시에 문서를 편집할 수 있는 실시간 협업 인터페이스 자체 서버에서 호스팅할 수 있는 구글 문서 도구의 오픈소스 대안 중 하나 이번 취약점은 XSS 취약점을 통해 공격자가 관리자를 포함한 Etherpad 사용자 정보를 탈취 가능 이를 통해 민감 정보나 데이터를 탈취하거나 조작하는데도 용이하게 사용 가능 인수 주입 argument injection 취약점은 공격자가 서버에서 임의의 코드를 실행할 수 있게 하여 공격자로 하여금 모든 데이터를 도용, 수정, 삭제를 할 수 있도록 함 또한 서버와 연계된 다른 내부 시스템을 대상으로도 이런 공격을 수행할 수 있음 CVE-2021-34817 은 XSS 취약점으로 채팅 메시지의 userID 속성과 함께 Etherpad 에서 제공하는 채팅 기능을 포함 특수문자를 적절하게 이스케이프하여 공격자가 악성 javascript 페이로드를 채팅 기록에 삽입 피해자의 범위과 대상을 넓혀서 다양하게 공격할 수 있음 CVE-2021-34816 은 Etherpad 가 플러그인을 관리하는 방법과 관련되어 있음 npm install 명령을 통해 설치할 패키지 이름을 적절하게 수정 공격자는 삭제되지 않도록 하여 npm 저

0xNews - MS 오피스 파일을 이용한 공격 피싱 캠페인 분석 McAFee 발표 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/zloader-with-a-new-infection-technique/ 무기화된 MS 오피스 Office 파일을 배포하여 피해자를 공격하는 감염 체인 infection chain 트리거를 위해 매크로를 활성화하라는 메시지를 표시하는 것은 피싱 공격 캠페인의 표준으로 자리 잡음 새로운 공격 캠페인 조사 결과 공격자는 피해자를 감염 시키기 위해 매크로 코드를 실행하기 전 보안 경고를 비활성화하기 위해 악성 코드로 분류되지 않은 문서를 배포하는 것을 확인 초기 스팸 첨부 파일 매크로에 악성 코드가 존재하지 않음 ZLoader 로 명명된 악성 DLL 다운로드 후 실행하는 형태로 변경 현재까지 미국, 캐나다, 일본, 말레시아 등에서 이번 공격 캠페인 보고 이번 공격 코드는 ZeuS 뱅킹 트로이 목마의 후손으로 초기 공격 백터로 매크로 지원 오피스 문서를 공격적으로 활용 지정된 금융 기관 사용자로부터 자격 증명이나 개인식별 정보 등을 탈취하는 것을 목표로 함 연구팀은 칩입 정보를 조사하던 중 감염 체인이 MS 워드 문서 첨부 파일이 포함된 피싱 이메일에서 부터 시작된 것을 발견 해당 이메일을 열면 원격 서버에서 암호화된 MS 엑셀 파일 다운로드 수행 이런 다운로드가 실행되는 것은 MS 오피스에서 매크로가 활성화되어 있기에 가능 엑셀 파일 XLS 파일 다운로드 후 Word VBA 에는 XLS 에서 셀 내용을 읽고 동일한 XLS 파일에 대한 새로운 매크로를 생성 셀 내용을 XLS VBA 매크로에 함수로 작성 매크로가 작성된 후 MS 워드 문서는 윈도우 레지스트리의 정책을 Excel 매크로 경고 비활성화 로 설정 이후 MS 엑셀 파일에서 악성 매크로 기능 호출 MS 엑셀 파일에서 ZLoader 페이로드 다운로드 실시 ZLoader 페이로드는 rundll32.exe 사용하여 실행 사용자에게 표시되는 보

0xNews - NuGet 의 수많은 취약한 패키지로 인해 .NET 플랫폼 대상 위협 경고 ReversingLabs 발표 https://blog.secure.software/third-party-code-comes-with-some-baggage NuGet 리포지토리에 호스팅된 기존 패키지 분석 결과 51개 고유한 소프트웨어 구성요소가 심각도가 높은 취약점에 취약함을 확인 소프트웨어 공급망 공격 Supply-Chain 으로 인해 사이버 사고 증가함에 따라 여러 타사 모듈에 대한 평가 중 이번 취약점 확인 NuGet 은 마이크로소프트가 .NET 플랫폼에 대해 지원하는 메커니즘 개발자가 재사용 가능한 코드를 공유할 수 있도록 설계된 패키지 관리자 역할 수행 프레임워크는 총 1900억개 이상 패키지 다운로드를 생성한 26만 4천개 이상 고유 패키지의 중앙 저장소를 유지 중 마이크로소프트의 NuGet 에 대한 설명 https://docs.microsoft.com/en-us/nuget/what-is-nuget 이번 분석에서 확인된 모든 사전 컴파일된 소프트웨어 구성 요소는 복잡한 압축이나 네트워크 기능을 제공하는 프로그램인 7zip, WinSCP, PuTTYgen 의 다른 버전 이 프로그램들은 기능을 개선하고 알려진 보안 취약점을 해결하기 위해 지속적으로 업데이트 수행 그러나 간혹 다른 소프트웨어 패키지가 업데이트 되지만 알려진 취약점을 포함하여 몇년간 종속되어 꾸준히 사용되는 경우도 있음 CVE-2021-3331 지정 CVSS 9.8 Critical https://nvd.nist.gov/vuln/detail/CVE-2021-3331 WinSCPHelper 은 원격 서버 파일 관리 라이브러리로 3만 5천회 이상 다운로드 기록 해당 취약점은 오래전 보고됐지만 WinSCP v.5.11.2 까지 꾸준히 문제의 라이브러리 사용 이후 WinSCP v.5.17.10 이 되어서야 해당 문제 해결 CVE-2016-9840 CVE-2016-9841 CVE-2016-9842 CVE-20

0xNews - MS Azure 사용자의 RCE 취약점 패치 권고 MS Azure 보안 업데이트 발표 https://azure.microsoft.com/en-us/updates/update-powershell-versions-70-and-71-to-protect-against-a-vulnerability/ MS 애저 Azure 사용자에게 .NET Core 에 영향을 주는 중요한 원격 코드 실행 RCE Remote Code Execution 취약점 발견 이를 보호하기 위해 빨리 PowerShell 업데이트할 것을 권고 CVE-2021-26701 지정 CVSS 8.1 PowerShell v.7.0 / v.7.1 에 영향을 미침 MS 는 v.7.0.6 / v.7.1.3 으로 업데이트할 것을 권고 PowerShell v.5.1 은 취약점에 영향을 받지 않음 PowerShell 은 .NET CLR Common Language Runtime 기반으로 구축 명령줄 쉘, 스크립팅 언어와 구성 관리 프레임워크로 구성된 플랫폼 간 작업 자동화 유틸리티 MS 는 2021년 4월 해당 문제 파악 텍스트 인코딩이 수행되는 방식으로 인해 .NET 5 와 .NET Core 에서 RCE 취약점 존재 System.Text.Encodings.Web 에 문제가 있음을 확인 해당 패키지는 JavaScript, HTML, URL 에서 사용할 문자열을 인코딩하고 이스케이프하기 위한 유형을 제공 System.Text.Encodings.Web 패키지에 대한 MS 제공 Document 사이트 링크 https://docs.microsoft.com/en-us/dotnet/api/system.text.encodings.web?view=net-5.0 System.Text.Encodings.Web v.4.0.0 - 4.5.0 -> 패치 v.4.5.1 System.Text.Encodings.Web v.4.6.0 - 4.7.1 -> 패치 v.4.7.2 System.Text.Encodings.Web v.5.

0xNews - 구글 안드로이드 앱에서 페이스북 비밀번호 탈취 앱에 대한 삭제 권고 DRweb 발표 https://news.drweb.com/show/?i=14244&lng=en 구글은 사용자의 페이스북 로그인 자격 증명을 탈취하는 앱을 적발 구글 플레이 스토어에서 총 580만번 이상 다운로드된 9개의 안드로이드 앱 삭제를 위해 대응 해당 애플리케이션은 정상 구동되며 잠재적인 사용자의 경계를 약화 이를 통해 앱의 모든 기능에 접속하고 인앱 광고를 비활성화하려면 사용자에게 페이스북 계정에 로그인하라는 메시지 표시 일부 앱 내부의 광고가 실제 존재 이 방법은 안드로이드 기기 소유자가 필요한 작업을 수행하도록 장려하기 위한 것 이번에 삭제가 되는 앱은 페이스북 계정에 로그인하도록 유도하고 속이도록 유도 공격자가 조종하는 JavaScript 코드를 통해 페이스북 자격 증명 탈취 수행 구글 플레이 스토어 삭제 처리 되는 총 9개 앱 리스트 PIP Photo - 5,000,000 이상 설치 Processing Photo - 500,000 이상 설치 Rubbish Cleaner - 100,000 이상 설치 Horoscope Daily - 100,000 이상 설치 Inwell Fitness - 100,000 이상 설치 App Lock Keep - 50,000 이상 설치 Lockit Master - 5,000 이상 설치 Horoscope Pi - >1,000 이상 설치 App Lock Manager - 10 이상 설치 공격의 마지막 수행은 탈취 정보에 대해 트로이 목마 애플리케이션을 사용하여 서버로 전송 이번 공격 캠페인의 특징은 페이스북 계정 탈취에 목적인 것으로 판단 하지만 해당 공격은 모든 플랫폼에서 로그인과 암호를 훔치는 것을 목표로 합법적인 웹 서비스의 로그인 페이지를 로드하도록 쉽게 확장이 가능하게 만든 형태 사용자는 해당 앱 삭제와 앱에서의 권한 요청이나 설치 전 다른 사용자 리뷰 등에 주의를 가질 것을 권고

0xNews - MS 윈도우 인쇄 스플러에 영향을 미치는 취약점 공격 경고 마이크로소프트 보안팀 발표 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527 MS 윈도우 프린트 스플러 Print Spooler 영향을 미치는 RCE Remote Code Execution 취약점 발견 PrintNightmare 로 명명 CVE-2021-34527 지정 이번 취약점은 윈도우 프린트 스플러 서비스가 권한있는 파일 작업을 부적절하게 수행할 때 RCE 실행 취약점이 존재 공격자가 성공적으로 악용한다면 SYSTEM 권한으로 임의 코드 실행 가능 이후 공격자는 공격자가 원하는 프로그램 강제 설치 데이터 탈취나 변경, 삭제 가능 시스템의 전체 사용자 권한이 있는 신규 계정 생성 가능 CVE-2021-1675 - PrintNightmare - PoC Demonstration 공격이 성공하려면 RpcAddPrinterDriverEx() 를 호출하는 인증된 사용자를 포함 현재 해당 취약점에 대한 해결 방법으로는 사용자가 프린트 스풀러 서비스 비활성화 그룹 정책을 통해 인바운드 원격 인쇄 해제할 것을 권장