Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 4월 3일] 주요 보안 이슈
작성일 2020-04-03 조회 398

1. [기사] 인기 높은 줌, 요즘 사건 자꾸 터지나 싶더니 제로데이까지 나와
[https://www.boannews.com/media/view.asp?idx=87360]
줌(Zoom)의 맥OS 클라이언트에서 두 개의 제로데이 취약점이 발견됐다. 이를 통해 공격자들은 피해자의 마이크로폰과 카메라에 불법적으로 접근할 수 있게 된다. 불행 중 다행이라면, 이 취약점을 가지고 최초 침투를 이뤄내기는 힘들다는 것이다. 즉, 이미 시스템 내 침투한 다음에야 이 제로데이들을 익스플로잇 할 수 있다는 뜻이다. 첫 번째 제로데이는 권한이 없는 공격자가 루트 권한을 갖게 되고, 두 번째는 마이크로폰과 카메라에 접근 권한을 얻는 것이다. 이를 발견한 보안 전문가 패트릭 워들은 요즘처럼 기업 내부 회의가 줌을 통해 많이 진행되는 때에 이 취약점은 굉장히 위험하게 작용할 수 있다고 강조했다. 특히 두 번째 취약점은 심각한 사생활 침해로 이어질 수 있다는 점에서 반드시 조치가 취해져야 한다고 주장하기도 했다.


2. [기사] 사이버 공격자들, 가짜 줌 패키지 만들어 배포 중에 있어
[https://www.boannews.com/media/view.asp?idx=87353&page=1&mkind=1&kind=1]
최근 보안 업체 비트디펜더는 재택근무를 위해 줌을 사용하는 사람들 사이에서 악성 버전 줌이 돌아다니는 걸 찾아냈다고 발표했다. 이번에 발견된 공격 기법은 줌을 리패키징 해서 배포하는 것이다. 특히 안드로이드 생태계에서 이런 현상이 집중적으로 나타나는 중이다. 리패키징 된 줌은 오리지널과 동일한 인터페이스를 가지고 있다. 또한, 패키지 이름과 인증서도 거의 똑같다. 하지만 이 악성 버전을 설치할 경우 C&C 인프라인 tcp://googleteamsupport.ddns.net:4444로부터 악성 페이로드가 추가로 다운로드 된다. 또 다른 악성 패키지 파일은 모바일 장비에 설치되면서 전화, 위치 정보, 사진 등에 대한 접근 권한을 요청한다. 세 번째로 발견된 악성 샘플은 애드웨어다. 하지만 여기에 그치지 않고 애셋에서 하드 코드 된 문자열을 확인해 ‘admin’일 경우, 관리자급 권한을 요청하기도 한다. 비트디펜더는 줌을 설치해야 할 때는 공식 스토어나 웹사이트 등을 통해 설치파일이나 패키지를 내려받는 것이 가장 안전하다고 말했다.


3. [기사] 일본, 중국, 기업들에 대한 공격에 IE 및 Firefox 결함 악용한 해커들
[https://securityaffairs.co/wordpress/100960/hacking/ie-firefox-flaws.html]
한 APT 단체는 중국과 일본을 겨냥한 공격에 IE및 Firefox에 대한 두 가지 취약점을 악용하고 있다. 첫 번째는 CVE-2019-17026으로 Firefox 브라우저에 영향을 미치며 1월에 다루어졌다. 두 번째는 CVE-2020-0674로 IE에 영향을 미치는 RCE이며, MS는 2월에 이를 해결했다. 사이버 보안 회사 Qihoo 360에 따르면, 해커들은 MS에 의해 다루어지기 전에 두 가지 결함을 악용했다고 한다. 전문가들은 이를 중국 정부 기관을 겨냥한 캠페인의 일환으로 악용돼 APT-C-06으로 불리는 다크호텔 APT에 기인한 것으로 지적했다. 일본 컴퓨터응급대응팀조정센터(JPCERT/CC)는 기업을 겨냥한 공격과 결함에 대한 기술적 세부 사항을 담은 보고서를 발간했다.


4. [기사] 새로운 COVID19 와이퍼가 MBR을 덮어써서 컴퓨터를 사용 불가로 만들어
[https://securityaffairs.co/wordpress/100943/malware/coronavirus-wiper.html]
SonicWall의 보안 연구원들은 현재의 COVID19 발생을 이용하여 MBR(Master Boot Record)을 덮어써 컴퓨터를 사용할 수 없게 만드는 새로운 악성코드와 파괴적인 와이퍼를 발견했다. 와이퍼가 실행되면, 일련의 도우미 파일을 "coronovirus Installer"라는 이름의 BAT 파일을 포함한 임시 폴더로 떨어뜨려 설치 작업의 대부분을 담당하게 된다. BAT 파일은 COVID-19라는 숨겨진 폴더를 만든 다음 삭제된 파일을 그 폴더로 이동시킨다. 멀웨어는 레지스트리 항목을 사용하여 지속성을 얻는다. 그런 다음 악성 프로그램은 설치가 완료되었으며 시스템을 재부팅 해야 함을 피해자에게 통지한다. 컴퓨터를 다시 부팅하면 첫 번째 섹터에서 원래 MBR의 백업을 만든 후 MBR을 덮어쓰도록 바이너리가 실행되고, 컴퓨터가 망가졌다는 메시지가 뜬다.


5. [기사] 폰투온 대회에서 발견된 리눅스 커널 취약점, 현재 픽스 배포 중
[https://www.boannews.com/media/view.asp?idx=87356]
리눅스 커널 취약점을 보완하기 위한 패치가 나왔다. 이 취약점은 최근 온라인에서 열린 폰투온 2020(Pwn2Own) 해킹 대회에서 참가자들이 발견한 것으로 우분투 기반 데스크톱에서 권한 상승을 일으키는 것이라고 한다. 이 취약점은 CVE-2020-8835라는 관리 번호가 부여됐다. 이에 리눅스 커널 개발자들이 패치를 개발했으며, 우분투는 이를 받아 업데이트를 배포하기 시작했다. 레드햇(Red Hat)에 의하면 엔터프라이즈 리눅스 5, 6, 7, 8과 레드햇 엔터프라이즈 MRG 2는 이 커널 취약점에 아무런 영향을 받지 않지만, 페도라(Fedora)는 영향을 받는다고 한다. 페도라에서 취약점 익스플로잇에 성공할 경우 디도스 공격이 가능하다. 데비안 계열에서는 현재 실험적으로 배포되고 있는 불즈아이(Bullseye)만 영향을 받는 것으로 밝혀졌다.

첨부파일 첨부파일이 없습니다.
태그 MBR  CVE-2020-8835  Pwn20wn