정보보호 전문기업 두루안이 함께 합니다.
The Hackers News 발췌분
Unpatched Bug Let Attackers Bypass Windows Lock ScreenOn RDP Sessions (2019-06-04)
보안 연구원은 Microsoft Windows 원격 데스크톱 프로토콜(RDP)의패치되지 않은 취약점에 대한 세부 사항을 공개했습니다. CVE-2019-9510으로 추적되는 이 취약성은클라이언트 측 공격자가 원격 데스크톱(RD) 세션의 잠금 화면을 우회할 수 있습니다.
윈도우 원격데스크탑 기능을 사용하려면 클라이언트가 네트워크 수준 인증(NLA)를 받아야만 하는데, 이는 심각한 BlueKeep RDP 취약성을 해결하고자 Microsoft에서 권장한 기능입니다. 또한, Windows 10 1803이나 Windows Server 2019 시작시 NLA 기반의 RDP 세션 핸들링이 변경되어 예기치 않은오동작이 유발될 수 도 있습니다.
Tammarieello는 4월 19일 Microsoft에 이 취약성을 통보했지만 "Windows용 Microsoft 보안 서비스 기준을 충족하지 못함”으로 응답 받았으므로,Microsoft에서 당분간 문제를 해결할 계획이 없을 시사합니다. 사용자는 원격 시스템대신 로컬 시스템을 잠그고 원격 데스크톱 세션을 잠그는 대신 원격 데스크톱 세션의 연결을 끊음으로써 이 취약점을 악용하지 못하도록 스스로 보호해야합니다.
Firefox Web Browser Now Blocks Third-Party TrackingCookies By Default (2019-06-04)
약속대로 Firefox 브라우저에서 기본적으로 "향상된 추적 보호" 기능을 사용할 수 있게 되었습니다. 이제부터는 광고주와웹 사이트가 웹에서 사용자를 추적할 수 있는 모든 타사 추적 쿠키를 자동으로 차단합니다.
타사 쿠키라고도불리는 이 쿠키를 추적하면 광고주는 사용자가 방문하는 웹 사이트에 관련 광고, 콘텐츠 및 프로모션을표시하는 온라인 동작과 관심사를 모니터링할 수 있습니다. 쿠키를 추적하면 사용자의 명시적 사용 권한없이 훨씬 더 많은 정보가 수집되고 기업이 쿠키를 사용하는 방법에 대한 제어권이 없으므로 이 기술은 사용자의 온라인 개인 정보 보호에도 큰 위협이됩니다.
앞으로는새로운 Firefox를 다운로드하여 설치하는 신규 사용자에게"향상된 추적 방지" 설정이 기본적으로 활성화지만 기존 사용자는 이 기능을수동으로 활성화하거나 Mozilla가 향후 몇 개월 동안 모든 사용자에 대해 이 기능을 활성화할 때까지기다릴 수밖에 없습니다.
SUPRA Smart TV Flaw lets Attackers Hijack Screens WithAny Video (2019-06-03)
최근 SUPRA 브랜드로 판매되는 스마트 TV가 패치 되지 않은 원격 파일로인해 취약점에 노출되어 Wi-Fi 공격자가 TV와의 인증없이 가짜 비디오를 TV 화면에 브로드 캐스트 할 수 있다고 알려졌습니다.
기본적으로피해자의 Wi-Fi 네트워크에 대한 침입자의 액세스 요구 사항은 위협을 크게 제한하지만, 라우터 및 IoT 취약성이 증가하면서 원격 공격자에 대한 잠재적인공격 시나리오가 됩니다.
취약점에 CVE ID가 부여되었지만, 패치가 적용되지는 않았습니다. 따라서 Supra Smart Cloud TV를 소유한 사용자는 강력한암호 설정 및 신뢰할 수 없는 사람들과의 Wi-Fi 암호 공유를 피하고 방화벽이나 인터넷을 통해 다른스마트 장치를 유지하는 것보다 Wi-Fi 네트워크를 안전하게 유지하는 것을 권유하고 있습니다.
macOS 0-DAY Flaw Lets Hackers Bypass Security FeaturesWith Synthetic Clicks (2019-06-03)
2018년 macOS 개인정보보호 우회 취약성을 보고했던 보안연구원에서상호 작용을 요구하지 않고 사용자 대신 "합성 클릭"을수행하여 보안 경고를 우회하는 새로운 방법을 발견했습니다. 지난 6월도입된 macOS 핵심 보안 기능은 응용 프로그램이 민감한 데이터나 장치 카메라, 마이크로폰, 로컬 데이터, 메시지, 브라우징 이력 등의 시스템 구성요소에 접근하려면 사용자로부터 “허용” 또는 “거부”에 대한 사용 허가를 받아야했습니다.
Monte Carlo의 Objective by the Sea 컨퍼런스에서제로 데이 취약점 시연 시 Apple의 승인된 앱 중 하나인 VLC 플레이어를서명되지 않은 플러그인이 포함되도록 악용하여, 실제 사용자의 어떠한 상호 작용을 요구하지 않고 프로그래밍방식으로 동의 클릭 프롬프트에서 합성 클릭이 수행되도록 하였습니다.
새로운 통합클릭 취약점을 "2nd stage attack"이라고 부릅니다. 즉, 공격자가 피해자의 macOS컴퓨터에 원격으로 액세스 할 수 있거나 이미 악성 응용 프로그램이 설치되어 있어야 합니다. 애플에서해당 조사 결과에 대한 보고서를 수신한 것을 확인했지만, 문제를 패치 할 시기는 분명하지 않다고 합니다.
KISA 보안공지
불법적인 가상통화 채굴에 따른 피해 예방을 위한 보안 점검 권고 (2019-05-31)
기타 동향
구글, 크롬확장 프로그램 생태계의 정화 작업 시작 (2019-06-03)
구글, 크롬 확장 프로그램 생태계 정화 작업 시작. 사용자 신뢰 회복 노림.
사용자들을교묘하게 속여 설치하도록 만드는 행위 전부 근절시키겠다고 선포.
프라이버시와데이터 보호와 관련된 상세 정보도 스토어에 함께 게시해야 함.
마이크로소프트, 블루킵 취약점 패치하라고 다시 한 번 권고 (2019-06-03)
블루킵 취약점, 워머블 특성 때문에 워너크라이와 같은 파급력 예상됨.
MS는 윈도우 XP와 7에까지도적용되는 패치 개발했을 정도.
이 취약점과관련된 보고서 연달아 등장하자, MS도 재차 고객들에게 경고.
기가 막힌 관계성, 피싱 범죄자 등쳐먹는 피싱 범죄자 (2019-06-07)
피싱 도구들다수에서 파일 업로드와 관련된 취약점 나옴.
그런데 범죄자들은이걸 고칠 생각하지 않고, 오히려 같은 범죄자를 등쳐먹는 데 사용.
코드 재사용은양지와 음지 모두에서 만연하지만, 음지 쪽 개발자들은 최소한의명예도 없음.