Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 10월 11일] 주요 보안 이슈
작성일 2018-10-11 조회 183

1. [기사] CVE-2018-8453 Zero-Day flaw exploited by FruityArmor APT in attacks aimed at Middle East
[https://securityaffairs.co/wordpress/77003/apt/cve-2018-8453-win-0day.html]

마이크로소프트에서 업데이트한 윈도우즈 제로 데이 취약점이 중동 지역을 대상으로 한 공격에서 APT 그룹에 의해 악용된 것으로 밝혀졌다. 이 취약점(CVE-2018-8453)은 권한 상승 취약점으로 Win32k 구성 요소가 메모리의 개체를 처리하는데 영향을 준다. 또한, 2016 년에 처음 발견된 그룹인 FruityArmor로 추적된 APT 그룹에 의해 악용되었다고 밝혔다. 이 그룹의 활동이 지난 2년간 서서히 증가하고 있다고 밝혔다. 
공격 성공 시, 권한 상승과 지속성을 얻을 수 있다. 카스퍼스키에 따르면, 2018년 8월 AEP(Automatoit Prevention) 시스템에서 Microsoft Windows 운영 체제의 취약성을 이용하려는 시도를 발견했고, 추가 분석으로 win32k.sys에 대한 제로 데이 취약점을 발견하게 되었다고 말했다. 공격에 쓰이는 코드는 고품질이며 MS Windows 10 RS4를 포함하여 가능한 한 많은 MS Windows 빌드를 안정적으로 활용하기 위한 목적으로 작성되었다. 제로데이는 2017년 5월 마이크로소프트가 수리한 CVE-2017-0263으로 추적한 오래된 취약점과 유사하며, 러시아로 연결된 사이버스파이 그룹이 APT28로 추적한 바 있다.

 


2. [기사] Four Critical Flaws Patched in Adobe Digital Edition
[https://threatpost.com/four-critical-flaws-patched-in-adobe-digital-edition/138178/]

Adobe Digital Edition에는 임의 코드를 실행할 수 있는 네 가지 중요한 취약점이 있다. Adobe는 화요일에 자사의 여러 제품에 걸쳐 16개 취약성에 대한 패치를 발표했다. 이 중 가장 심각한 취약점은 Adobe Digital Edition의 4가지 중요한 결함으로 임의 코드를 실행할 수 있다.
Adobe Digital Edition은 리더 소프트웨어 프로그램으로 e-book, 전자 신문, 다른 디지털 출판물을 읽는데 사용된다. 이 서비스에는 임의 코드 실행을 지원하는 네 가지 중요한 취약점, 즉 3개의 힙 오버플로 취약점(CVE-2018-12813, CVE-2018-12814 및 CVE-2018-1282)과 use-after-free 취약점(CVE-2018-12822)이 존재한다. 또한, 정보 유출 취약점(CVE-2018-12816, CVE-2018-1288, CVE-2018-1281)이 존재한다. 업데이트는 Windows, Mac 및 iOS의 Adobe Digitial Edition 버전 4.5.8 이하에 영향을 미친다. 따라서 모든 3개 플랫폼에 대해 4.5.9 버전으로 업데이트해야 한다고 말했다. 
한편, 웹사이트와 모바일 앱을 만들기 위한 Adobe의 컨텐츠 관리 솔루션인 Adobe Experience Manager의 여러 버전에는 높은 심각성 3개를 포함하여 5가지 취약점이 있었다. 버전 6.0부터 6.4까지 영향을 받는다. 그밖에 Adobe Technical Communication Suite에는 Windows 1.0.5.1 이하 버전에서 권한 상승 취약점이 존재한다. 해당 취약점은 라이브러리 로딩을 제대로 검증하지 않아 DLL 하이재킹을 허용한다. Adobe는 Adobe Acrobat 및 Reader에 심각한 결함 중 절반 이상을 포함하여 86개의 취약성을 해결하기 위한 업데이트를 발표했다.

 


3. [기사] Goodbye Google Plus – Google Plans Google+ Shut Down After Data Breach
[https://latesthackingnews.com/2018/10/10/goodbye-google-plus-google-plans-google-shut-down-after-data-breach/]

구글은 소셜 네트워킹 플랫폼인 구글 플러스 운영을 중단할 계획이다. 이 결정 이면에 있는 이유 중 하나는 수십만 고객의 개인 프로필 데이터를 유출한 취약점 때문이다. 구글의 엔지니어링 부사장은 Google Plus API에서 약 50만 개의 사용자 프로필의 개인 데이터를 노출시켰다고 발표했다. 여기에는 사용자 이름, 이메일 주소, 성별, 연령 및 직업 등이 포함된다. 2018년 3월 이미 버그를 해결했지만 사용자 참여가 낮고 고객 기대치에 맞춰 플랫폼을 유지하기 어려워 구글 플러스의 종료를 계획하고 있다.
Google은 API 데이터 로그를 2주 동안만 보관한다고 말했다. 따라서 공격의 영향을 받는 사용자가 누군지는 확인할 수 없다. 하지만 약 50만 명의 고객이 프로필 정보를 약 438개의 앱에 유출시킬 가능성이 있다고 한다. 현재 Google은 2019년 8월까지 향후 10개월 동안 전체 서비스 종료 일정을 계획했다. 그 때까지 사용자는 Google에서 데이터 다운로드 및 이동 관련 지원을 받을 수 있다.

 


4. [기사] Millions of Xiongmai video surveillance devices can be easily hacked via cloud feature
[https://securityaffairs.co/wordpress/76990/breaking-news/xiongmai-iot-devices-hack.html]

보안업체 SEC Consulting의 보안 전문가들은 비디오 보안 감시 장비(보안 감시 카메라, 디지털 비디오 레코더(DVR), 네트워크 비디오 레코더(NVR)를 구입 및 재브랜드화한 100여 개 회사를 확인했다. 수백만 개의 장치는 원격 공격자가 쉽게 사용할 수 있는 보안 취약성의 영향으로 알지 못하는 사용자의 카메라 피드를 감시하는 데 악용될 수 있다. 이 취약성은 보안 감시 장치를 클라우드 인프라에 연결하는 데 기본적으로 사용되는 "XMEye P2P Cloud"라는 기능에 있다. 사용자가 기기에 연결하기 위해 동일한 네트워크(예: 동일한 Wi-Fi 네트워크)에 있지 않아도 되므로 사용자가 기기와 쉽게 상호작용할 수 있다. 또한 라우터에는 방화벽 규칙, 포트 포워딩 규칙 또는 DDNS 설정이 필요하지 않으므로 이 옵션이 기술에 익숙하지 않은 사용자에게도 편리하다. Xiongmai 펌웨어 분석 결과 기기의 MAC 주소에서 가져온 클라우드 ID가므로 클라우드 ID를 추측하는 데 복잡하지 않다. 따라서 공격자는 계정 ID를 추측하고 다른 ID와 연결된 피드에 액세스할 수 있다.
또 다른 취약성은 모든 신규 XMEyye 계정은 암호 없이 기본 관리자 사용자 이름 "admin"을 사용한다는 것이다. 관리자 사용자 외에도 기본적으로 "default"라는 이름을 가진 기록되지 않은 사용자가 있다. 이 사용자의 암호는 "tluafed"(역방향)이다. 전문가들은 또한 펌웨어 업데이트를 통해 기기에서 임의 코드를 실행할 수 있다는 것을 발견했다. 하지만 Xiongmai는 아직 취약성을 보완하지 않고 있다.

 

 

5. [기사] 백신 위장해 유포되는 암호화폐 채굴 악성코드 주의
[https://www.boannews.com/media/view.asp?idx=73525&kind=1&sub_kind=]

최근 사용자 PC에서 암호화폐 채굴을 노리는 악성코드가 백신으로 위장해 지속 유포되고 있어 이용자들의 각별한 주의가 요구된다. V3, 유명 해외 백신, 윈도우 기본 백신 등 사칭해 파일공유 사이트 등에서 지속 유포되고 있다. 이렇게 시기별로 V3를 비롯해 다수의 국내외 백신 프로그램으로 위장했다. 
해당 악성코드의 유포 경로는 매우 다양하다. 영화 파일이나 게임 설치파일로 위장하여 파일공유 사이트에서 유포되고 있다. 해당 악성코드에 감염되면 피해자의 PC자원이 암호화폐 채굴에 몰래 사용되기 때문에 PC 속도 저하 및 시스템 부하를 초래할 수 있어 주의가 필요하다. 피해를 예방하기 위해 파일 다운로드 시 공식 사이트 이용, 의심되는 웹사이트 방문 자제, OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 응용프로그램(어도비, 자바 등), 오피스 SW등 프로그램의 최신 버전 유지 및 보안 패치 적용, 백신 최신버전 유지 및 파일 실행 전 백신으로 검사, 출처 불분명 컨텐츠 다운로드 자제 등 보안 수칙을 실행해야 한다. 또한, 앞으로도 다양한 소재로 변형되어 유포될 가능성이 높아 항상 유의해야 한다.

첨부파일 첨부파일이 없습니다.
태그 FruityArmor APT  Adobe Digital Edition  Google+   Xiongmai