openLab

0xNews - NIC 의 LED 를 통한 데이터 유출이 가능한 airgap 공격 방식 공개 이스라엘 벤 구리온 대학 연구팀 발표 https://arxiv.org/abs/2208.09975 코드명 ETHERLED 로 명명 에어갭이라는, 이른바 망분리된 전산실에서의 새로운 데이터 유출 방법을 연구 NIC 네트워크 카드의 LED 를 이용하여 모스 부호 신호를 보내는 것을 통해 가능함을 확인 공격 시나리오 NIC 가 있는 컴퓨터에 악성코드 설치 해당 기기 내 펌웨어 명령을 이용 NIC 의 LED의 깜빡이거나 색상이 변경되는 것을 활용 이를 프로그래밍 방식으로 상태 LED를 제어하여 외부로 데이터 유출이 가능 악성코드가 설치된 컴퓨터 내 정보를 모스 부호와 같은 간단한 인코딩을 통해 광학 신호를 통해 변조 가능 공격자는 해당 정보를 수십에서 수백미터 떨어진 곳에서 정보를 가로채고 디코딩하여 정보 확보 NIC Network Interface Card 는 컴퓨터를 네트워크에 연결하는 컴퓨터 하드웨어 구성 요소 NIC LED 는 네트워크가 정상적으로 연결이 되었는지 여부와 데이터 활동이 발생하는 시기를 사용자에게 알려줌 NIC LED 의 깜박이거나 색상이 변경되는 것은 이를 확인할 수 있는 카메라를 통해 이를 외부로 전달 혹은 실제 에어갭 환경 내 컴퓨터에서의 상황이 발생 한다면 인근 감시 카메라나 내부자의 스마트폰 등을 통해 수신 이 공격은 암호, RSA암호화 키, 키 입력, 텍스트 컨텐츠 등을 포함한 다양한 유형의 정보를 유출 가능 또한 NIC LED는 일반 데스크탑이나 서버 외 프린터, 네트워크 카메라, NAS 기기, 임베디드 시스템이나 IoT 기기 등과 깉이 이더넷 카드와 함께 제공되는 다수 주변 기기 혹은 하드웨어와 함께 작동하도록 설계 공격이 실체화 된다면 전산실 부근의 카메라 사용 금지, NIC LED 의 불빛 노출 차단, 소프트웨어를 재프로그래밍하여 인코딩 체계에 대한 무력화 등 방어 활동 필요

0xNews - AEPIC와 SQUIP 취약점이 인텔과 AMD CPU 에서 발견 AWS, CISPA 헬름홀츠 정보보안 센터와 일부 대학 공동 연구 수행 https://aepicleak.com/ 1. 공격자가 프로세서에서 암호화키나 기타 비밀 정보를 얻을 수 있도록 하는 인텔 CPU에 영향을 미치는 새로운 취약점 발견 AEPIC Leak로 명명 CPU 자체에서 초기화되지 않은 메모리 읽기와 유사한 방식으로 민감 정보를 아키텍처적으로 공개하는 최초의 취약점 연구원들은 멜트다운과 스펙터와 같은 일시적인 실행 공격과 달리 이번 취약점은 아키텍처 버그로 확인 민감 정보는 사이드 채널에 의존하지 않고 직접 정보 공개 CVE-2022-21233 지정 CVSS score 6.0 sunny cover 마이크로아키텍처가 있는 CPU에 영향을 미치는 취약점 APIC Advanced Programmable Interrupt Controller 라는 구성 요소에 뿌리를 두고 있음 이 구성요소는 하드웨어 인터럽트 신호를 처리하고 라우팅하는 메커니즘 제공 sunny cover 마이크로아키텍처를 기반으로 하는 인텔 CPU 의 I/O 주소 공간을 스캔한 결과 로컬 APIC 의 메모리 매핑 레지스터가 제대로 초기화되지 않는 것으로 확인 결과적으로 이러한 레지스터를 구조적으로 읽으면 마이크로아키텍처에서 오래된 데이터가 반환 L2 캐시 메모리와 마지막 캐시간에 전송되는 모든 데이터는 이 레지스터를 통해 읽을 수 있음 AEPIC Leak 는 SGX Software Guard eXtensions 로 알려진 인텔의 TEE 를 사용하는 시스템을 대상으로 하여 동일한 물리적 CPU코어에서 실행되는 AES나 RSA 키의 누출을 각각 94%, 74% 확률로 성공 인텔은 SGX 가 제공하는 보안 보증에 대해 선택한 코드와 데이터를 수정하지 못하도록 보호함으로써 개발자는 애플리케이션 보안을 강화하는데 도움이 되도록 애플리케이션을 강화된 엔클레이브나 신뢰할 수 있는 실행 모듈로 분할할 수 있음 요약하자면 이 취약