9월, 2021의 게시물 표시

0xNews - MS 윈도우 MSHTML 제로데이를 통한 코발트 스트라이크 공격 배포 분석 발표

이미지
0xNews - MS 윈도우 MSHTML 제로데이를 통한 코발트 스트라이크 공격 배포 분석 발표 MS 위협 인텔리전스 센터 발표 https://www.microsoft.com/security/blog/2021/09/15/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability/ MS 윈도우 시스템에 코발트 스트라이크 비콘 Cobalt Strike Beacon 배포를 위해 특별히 만들어진 오피스 문서를 사용 현재 패치된 MSHTML 플랫폼의 제로데이 취약점을 활용한 표적 피싱 캠페인 정보 공개 CVE-2021-40444 로 지정 CVSS 8.8 표적을 공격하기 위한 맞춤형 코발트 스트라이크 비콘 로더를 배포한 초기 취약점 공격 핵심으로 사용 이 로더 Loader 는 MS 가 공격자가 운영하는 랜섬웨어를 비롯한 여러 사이버 공격 캠페인과 연관된 인프라와 통신 9월 7일 최초 공격 확인 이 취약점은 원격 코드 실행 RCE Remote Code Execution 이용하여 MS 오피스 사용자를 겨냥한 매우 정교한 제로데이 공격 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444 현재는 단종된 MS 인터넷 익스플로러용 독점 브라우저 엔진인 MSHTML(Trident 라고도 함)을 통해 오피스에서 워드, 엑셀, 파워포인트 문서 내에서 웹 콘텐츠를 렌더링하는데 사용 확인된 공격 백터는 악의적인 오피스 문서를 사용 브라우저 렌더링 엔진에 의해 로드될 수 있는 악의적인 액티브엑스 ActiveX 컨트롤에 의존 MS 는 해당 공격 확인 후 9월 14일 취약점 패치와 수정 내용 발표 MS 는 임의로 지정한 코드네임 DEV-0413, DEV-0365 를 이번 공격의 핵심으로 지목 이중 DEV-0365 는 공격에 사용된 코발트 스트라이크 인프라 생성과 관리에 관련된 신규 위협 그룹과 밀첩한 관련이 있는 것으로 분석 8월 18일 DEV-0413 으로

0xNews - NPM 패키지에서 심각한 버그 발견

이미지
0xNews - NPM 패키지에서 심각한 버그 발견 HTTPToolkit 발표 https://httptoolkit.tech/blog/npm-pac-proxy-agent-vulnerability/ NPM 패키지 Pac-Resolver 은 HTTP 요청이 전송될 때마다 Node.js 애플리케이션 내부에서 악성 코드를 실행하는데 악용될 수 있는 심각도가 높은 원격 코드 실행 RCE Remote Code Execution 취약점에 대해 수정 완료 CVE-2021-23406 지정 CVSS 8.1 Pac-Resolver 5.0.0 이전 모든 버전 취약점 대상 NPM 의 Pac-resolver 패키지 정보 사이트 링크 https://www.npmjs.com/package/pac-resolver 프록시 자동 구성 PAC Proxy Auto-Configuration 파일은 웹 브라우저 요청을 대상으로 직접 라우팅해야 하는지 아니면 지정된 호스트 이름에 대해 웹 프록시 서버로 전달해야 하는지 결정하는 JavaScript 기능 PAC 파일은 프록시 규칙이 엔터프라이즈 환경에서 배포되는 방식 이 패키지는 Pac-Proxy-Agent 에서 PAC 파일 지원에 사용 Proxy-Agent 에서 차례로 사용되며 Node.js 에서 HTTP 프록시 자동 감지와 구성을 위한 표준 이동 패키지로 모든 곳에서 사용 중 Proxy-Agent 는 AWS의 CDK ToolKit, Mailgun SDK, Firebase CLI 등에서도 사용 이번 취약점은 Pac-Proxy-Agent 가 PAC 파일을 올바르게 샌드박스 처리하지 않은 방식과 관련 그 결과 신뢰할 수 없는 PAC 파일이 남용 샌드박스에서 완전히 벗어나 기본 운영체제에서 임의 코드 실행할 수 있는 시나리오가 성립 그러나 이를 위해서는 공격자가 로컬 네트워크에 상주하거나 PAC 파일의 내용을 조작할 수 있는 능력있거나 프록시 구성을 변경하기 위해 두번째 취약점과 연결이 되어야 함 VM모듈에 대해 잘 알려진 공격로 Node 가 샌드박스의 컨텍스

0xNews - 구글 크롬의 사이트 격리 보호를 우회하는 새로운 공격 발견

이미지
0xNews - 구글 크롬의 사이트 격리 보호를 우회하는 새로운 공격 발견 미국 미시간 대학, 애들레이드 대학, 조지아 공과 대학, 텔아비브 대학 등 연합팀 발표 https://www.spookjs.com/ 이번 공격을 SpookJS 로 명명 최신 CPU 프로세서에서의 보호 정책을 우회하여 공격하도록 개발된 사이드 채널 공격을 무기화 구글 크롬 Google Chrome, Chromium 등의 브라우저에 적용된 사이트 격리 보호 우회 성공 Spectre 스타일의 추측 실행 공격에서 민감 정보 유출 가능 이번 공격은 구글이 만든 격리 우회 보호 장벽을 우회가 가능함이 확인된 JavaScript 기반 공격 Spectre 와 Meltdown 취약점 등은 2018년 1월 발견 이에 각기 다른 도메인의 콘텐츠가 동일한 주소 공간에서 공유되지 않도록 하여 잠재적으로 누출을 방지할 수 있음 공격자가 제어하는 웹 페이지는 사용자가 현재 탐색 중인 동일한 웹 사이트의 다른 페이지를 알고 이러한 페이지에서 민감 정보를 검색하여 자동 완성 시 로그인 자격 증명을 복구할 수 있음 사용자가 악성 확장 프로그램을 설치하면 공격자가 이를 이용하여 크롬 확장 프로그램에서 데이터를 검색 가능 결과적으로 웹사이트에 표시되는 개인식별 정보, 자동으로 채워지는 사용자 이름, 비밀번호, 신용카드 번호 등을 포함하여 렌더링 중인 웹사이트나 크롬 확장 프로그램의 메모리에 저장된 모든 데이터 추출 가능 Spectre 는 CVE-2017-5753, CVE-2017-5715 등으로 지정 서로 다른 애플리케이션간의 격리를 깨고 공격자가 프로그램을 속여 메모리 공간과 관련된 임의 위치에 접속하도록 허용하는 CPU 하드웨어 취약점 접속된 메모리의 내용을 읽어내어 민감 정보 취득 이러한 공격은 대부분 CPU 의 추측 실행 기능을 사용 코드 조작에 접근할 수 없는 메모리 부분에 접속하여 다음 타이밍 공격을 사용하여 해당 메모리에 저장된 값을 검색 Spectre 공격에 대한 구글 크롬 보안 설명 사이트 링크 https

0xNews - HAProxy 에서 HTTP request 공격에 취약하다는 것이 확인

이미지
0xNews - HAProxy 에서 HTTP request 공격에 취약하다는 것이 확인 JFrog 발표 https://jfrog.com/blog/critical-vulnerability-in-haproxy-cve-2021-40346-integer-overflow-enables-http-smuggling/ HAProxy 는 많이 사용되는 오픈소스 로드밸런서 및 프록시 서버 심각한 보안 취약점 발견 CVE-2021-40346 지정 CVSS 8.6 정수 오버플로 Integer Overflow 취약점 HAProxy 의 2.0.25, 2.3.14, 2.4.4 등으로 패치 후 배포 해당 취약점은 HTTP Request Smuggling 웹 사이트가 두명 이상의 사용자로부터 수신한 HTTP 요청 시퀸스를 처리하는 방식을 변경하는 웹 애플리케이션 공격 HTTP 비동기화라고도 하는 이 기술은 프런트 엔드 서버와 백 엔드 서버가 보낸 사람의 요청을 처리하는 방식의 구문 분석 불일치를 활용 프런트 엔드 서버는 일반적으로 단일 연결을 통해 인바운드 HTTP 요청 체인을 관리 하나 이상의 백 엔드 서버로 전달하기 위해 웹 사이트에서 사용하는 로드 밸런서 혹은 역방향 프록시 따라서 서버가 한 요청이 끝나는 위치와 다음 요청이 시작되는 위치를 결정할 수 있도록 요청이 양쪽 끝에서 올바르게 처리되는 것이 중요 실패하면 한 요청에 추가된 악성 콘텐츠가 다음 요청 시작 부분에 추가되는 시나리오가 발생할 수 있음 즉, 프런트 엔드, 백 엔드 서버가 Content-Length, Transfer-Encoding 헤더를 사용 각 요청의 시작과 끝을 처리하는 방식에서 발생하는 문제로 인해 Rogue HTTP 요청의 끝이 잘못 계산 한 서버에서 악성 콘텐츠를 처리하지 않고 체인의 다음 인바운드 요청의 시작 부분에 접두어를 붙임 특히 Content-Length 헤더를 처리하는 로직에서 HTTP 요청을 구문 분석하는 동안 HAProxy 에서 예기치 않은 상태에 도달할 수 있는 정수 오버플로 취약점을 활용하

0xNews - 윈도우 사용자를 대상으로 한, MS 오피스 문서를 악용한 제로데이 공격 발견

0xNews - 윈도우 사용자를 대상으로 한, MS 오피스 문서를 악용한 제로데이 공격 발견 MS 보안센터 발표 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444 CVE-2021-40444 지정 CVSS 8.8 원격 코드 실행 RCE Remote Code Execution  현재 단종된 MS 인터넷 익스플로러용 브라우저 엔진인 MSHTML Trident 라고도 하는 것에 기원을 둠 MS 오피스 내부 웹 콘텐츠인 워드, 엑셀, 파워포인트 문서를 렌더링하는데 사용 MS 는 MS 윈도우에 영향을 미치는 MSHTML 의 RCE 취약점에 대한 보고에 대해 조사를 진행 중 특수하게 만들어진 MS 오피스 문서를 사용하여 취약점을 악용하려는 표적 공격으로 인지하여 조사 공격자는 브라우저 렌더링 엔진을 호스팅하는 MS 오피스 문서에서 사용하도록 악의적인 엑티브X 컨트롤 제작 가능 사용자가 악의적인 문서를 열도록 유도 MS는 이번 취약점을 보고한 EXPMON, Mandiant 에 대해 감사 표함 EXPMON 은 MS 오피스 사용자를 대상으로 한 매우 정교한 제로데이 공격에 대한 모니터링과 이와 관련 조사를 진행하다 이번 취약점을 발견 MS 에 해당 취약점 보고 이 취약점은 논리적 취약점을 사용함으로써 시스템으로 하여금 완벽하게 신뢰하게 만드는 로직으로 구성되어 있기에 매우 위험하다고 경고 EXPMON 트위터에서의 이번 취약점 의견 발표 링크 https://twitter.com/EXPMON_/status/1435309115883020296 하지만 이번 취약점은 신뢰할 수 없는 파일이 신뢰할 수 있는 리소스에 접근하는 것을 방지하도록 설계된 제한된 보기나 오피스의 애플리케이션 가드에서 열리는 기본 구성을 통해 기본적인 방어가 가능 현재 해당 취약점은 MS 에서 공식 보안 패치를 발표하기 전 기업용 MS 오피스에 대해 긴급 패치 등을 할 것으로 예상 패치 배포 전 MS 익스플로러의 모든 액티브X 컨트롤을 비활성

0xNews - 수백만개의 블루투스 기기에서 새로운 취약점 발견

이미지
0xNews - 수백만개의 블루투스 기기에서 새로운 취약점 발견 SUTD Singapore University of Technology and Design 의 ASSET Automated Systems SEcuriTy 발표 https://asset-group.github.io/disclosures/braktooth/ 상용 블루투스 BlueTooth 스택에서 새로운 보안 취약점 발견 공격자가 임의 코드를 실행할 수 있고 DoS 공격을 통해 기기 강제 충돌 유도 가능 BrakTooth 노르웨이어로 충돌을 의미하는 Brak 를 사용하여 명명 총 16개 취약점이 발견 Intel, Qualcomm, Zhuhai Jieli Technology, Texas Instruments 등과 같은 11개 공급업체의 13개 블루투스 BlueTooth 칩셋에 걸쳐서 취약점 노출 노트북, 스마트폰, PLC Programmable Logic Controllers, IoT 기기 등 1400만개 이상 정도 취약점 노출 기기로 추측 모든 취약점은 이전 페어링이나 인증 없이 트리거 될 수 있음 발견된 취약점의 영향은 충돌과 교착 상태로 분류 충돌 Crashes 은 일반적으로 프로그래밍상에서의 강제적 우선권 주장, SoC 펌웨어 내의 버퍼나 힙 오버플로 buffer or heap overflow 로 인한 분류 오류를 유발 교착 상태 Deadlocks 은 대상 기기를 주도하여 더 이상 BT 통신이 불가능한 상태로 만듬 16개 취약점 중 가장 심각한 취약점 CVE-2021-28139  가전제품에서 산업용 기기에 이르기까지 많은 블루투스 기반 기기에서 사용되는 ESP32 SoC 에 영향을 미침 라이브러리 범위를 벗어난 검사가 없기 때문에 발생 이 취약점으로 인해 공격자는 NVRAM 데이터 삭제를 포함하여 취약한 기기에 임의 코드를 인젝션 가능 다른 취약점으로 임의 코드 실행을 통해 블루투스 기능이 완전히 비활성화나 Intel AX200 SoC 를 사용하는 노트북이나 스마트폰에서 DoS 유발 가능 이 취