SomeNotes247

6.16~17일 동안 WeTransfer를 통해 전송한 파일들이 의도하지 않은 엉뚱한 사람들에게도 전달됐다. 어이없으면서도 치명적인 보안 사고다. WeTransfer는 인기있는 파일 공유 서비스로, 무료로 2GB의 대용량 파일을 전송할 수 있고, 유료 서비스에서는 20GB 전송과 파일 암호화 등 고급 기능을 제공한다. WeTransfer는 공식 사이트의 보안 공지를 통해, 회사의 서비스 이메일이 다른 사람들에게 보내졌다고 밝혔다. 그리고 예방 차원에서 사용자들을 강제로 로그아웃 시키거나 암호 재설정을 요청했으며, 파일 전송 링크를 차단했다고 밝혔다. 그러나 영향을 받은 사용자들에게 개별적으로 발송한 이메일에서는, 사용자들이 보내거나 받은 파일에서도 배달 사고가 발생했음을 인정했다. 현재 자세한 내용은 알려지지 않고 있다. 단순한 버그일 수도 있다. 그러나 예방적 조치라고는 하지만, 그 조치 사항들은 해킹 사고 발생시 취하는 조치들이다. 어떤 경우든 간에, 사생활이나 업무 자료가 노출될 수 있는 중대한 사건이다. 참고 자료 WeTransfer Security Incident Sent Files to the Wrong People

공장 초기화도 소용 없다 구글의 가정용 보안 IP 카메라인 Google Nest Cam Indoor 제품에서 심각한 취약점이 발견됐다. 전 소유자가 여전히 카메라에 접근할 수 있는 것으로, 사용자 몰래 집안을 엿볼 수 있다. 선물로 받거나 중고품을 구입한 경우가 주로 문제겠지만, 구입 후 바로 반품한 제품이 새 제품으로 팔리기도 하기 때문에, 새 제품도 안심할 수는 없다. 이 문제는 제품을 공장 초기화해도 해결되지 않는다. IT 기기를 팔거나 중고로 살 때는, 개인정보 보호를 위해 초기화하는 것이 기본 수칙이다. 그러나 이번 경우에는 이것도 소용이 없다. 이 버그는 Nest Cam Indoor 제품에서 확인됐는데, 다른 제품군도 해당되는지는 확실하지 않다. 구글은 이 버그를 해결한 패치를 이미 내놨으며, 업데이트는 자동으로 이뤄진다고 밝혔다. 정보 공유가 문제 이 버그는 'Works with Nest'라는 정보 공유 프로그램에서 비롯됐다. 이를 통해 네스트 캠을 제3자 홈 허브에 연결해 사용할 수 있다. 이번에 문제가 된 것은 Wink라는 제3자 계정을 사용했을 때이다. 이 경우 네스트 캠은 Nest 앱과 Wink 앱을 통해 접근할 수 있다. 주인이 바뀔 때, 넘겨주는 사람은 자신의 사생활을 지키기 위해 초기화를 수행한다. 이때 네스트 앱(계정)은 초기화되어 연결이 끊어지지만, Wink 앱(계정)은 초기화 과정에서 배제되어 있다. 넘겨받은 사람은 제품 사용을 위해 네스트 계정을 새로 연결해야 하는데, 이때 기존 연결된 네스트 계정이 있을 경우 에러가 나서 문제가 있음을 알 수 있다. 이 경우에는 전 주인이나 구글 서비스에 연락해 해결하면 된다. 문제는 새 주인으로서는 이전에 연결된 Wink 계정이 있는지 알 수가 없다는 것이다. 그냥 사용하게 되면 전 주인의 Wink 계정이 살아있기 때문에, 전 주인은 여전히 이 카메라의 사진과 동영상을 볼 수 있는 것이다. 초연결 시대의 어두운 이면 이번에 발견된 버그와는 별

CVE-2019-5439, CVE-2019-12874 유명한 동영상 재생 앱 VLC 미디어 플레이어에서 원격으로 임의의 코드를 실행할 수 있는 취약점이 발견됐다. 위험도는 5439는 보통(moderate)이지만, 12874는 치명적(critical)이다. 특별하게 조작된 .avi 나 .mkv 파일을 열거나 실시간 스트리밍으로 감상하면 악용될 수 있다. 악용에 성공한 해커는 프로그램 충돌을 일으키거나 임의의 코드를 실행할 수 있다. 개발사는 취약점을 해결한 3.0.7 버전을 내놨다. 취약점이 알려진 이상, 토렌트나 웹하드 같은 파일 공유 사이트를 통해 악성 파일이 유포될 수 있으므로 빨리 업데이트 해야 한다. 참고 자료 Security Advisory 1901

CVE-2019-1105 Microsoft Outlook for Android에서 XSS(cross-site script) 공격에 악용될 수 있는 취약점이 발견됐다. 아웃룩 앱이 특별한 이메일 메시지를 분석하는 방법에 문제가 있었다. 해커는 특별하게 조작된 이메일을 보내, 이 취약점을 악용할 수 있다. 성공하면 해커는 현재 사용자의 권한 내에서, 임의의 스크립트를 실행할 수 있다. 현재 취약점의 상세한 내용은 알려지지 않고 있다. 악성 이메일을 보내기만 하면 되는지, 피해자가 열어봐야 하는지 명확하지 않다. 크로스 사이트 스크립트 공격은 권한 없이 외부의 스크립트를 실행하는 것이다. 일반적으로 쿠키 탈취, 피해자의 자격증명을 이용한 사이트 이용, 임의의 코드 실행 등 심각한 결과를 초래한다. 이 취약점은 공개적으로 알려진 적이 없고, 실제 악용 사례가 발견되지도 않았다. 또한 직전 2개의 버전은 영향을 받지 않는다. 따라서 상당히 오래 동안 업데이트를 하지 않은 경우를 제외하면, 별로 걱정할 필요는 없다. 이 취약점은 6.20일, 3.0.88 버전에서 수정됐다. 일단 취약점이 알려지면 악성코드는 금방 나타나므로, 서둘러 업데이트하는 것이 좋다. POC 공개됐다 MS가 보안 권고와 패치를 제공한 다음 날인 21일, 이 취약점을 MS에 알린 사람 중 하나인 Bryan Appleby는 상세 내용과 POC(Proof of Concept, 샘플 악성코드)를 공개했다(참2). 취약점 악용에는 피해자가 악성 이메일을 열어보는 것이 필요하며, 일반적인 XSS 공격과 마찬가지로 정보 탈취 등 사실상 모든 악행이 가능하다. "이 악성코드는 정보 탈취를 포함해, 해커가 원하는 모든 것을 할 수 있다. 해커가 악성 이메일을 보내고 피해자가 이를 읽기만 하면, 해커는 피해자의 받은 편지함 내용을 훔쳐갈 수 있다. 실전에 이용되면, 아주 불쾌한 악성코드가 될 수 있다" 참고 자료 CVE-2019-1105 | Outlook

Google Play에서 발견 안드로이드 스마트폰의 상단 알림 내용을 가로채, 2단계 인증을 우회하는 악성코드가 발견됐다. 구글 플레이에 터키의 가상화폐 거래소인 BtcTurk를 사칭한 앱으로 등록돼 있었다. 이와 유사한 다른 가짜 앱들도 발견됐는데, 이를 발견한 ESET은 Android/FakeApp.KP로 탐지한다. SMS(문자 메시지)는 낡은 기술로 보안성이 좋지 않다. 통신 인프라에서 전송 중 가로채질 수도 있고, SIM swapping(관1)으로 탈취당할 수도 있다. 스마트폰에서 악성코드에 의해 낚일 수도 있다. 구글은 악성코드에 의한 탈취를 막고자, 2019.3월부터 앱이 원칙적으로 SMS와 통화 기록에 접근하지 못하도록 했다. SMS를 가로채 2단계 인증을 우회하던 해커로선 다른 방법이 필요했다. 이런 배경에서 등장한 수법이 푸시 알림(push notification)을 가로채는 것이다. 푸시 알림 가로채기 SMS, 이메일, 카카오톡을 비롯한 SNS 등 알림이 오면, 내용 일부가 표시된다. 따라서 이들 알림을 보낸 앱에 직접 접근할 권한이 없더라도, 여기에서 내용이 노출될 수 있다. 스마트폰이 잠금 상태여서, 실제로 알림이 화면에 표시되지 않더라도 상관 없이 탈취할 수 있다. 물론, 알림에 접근하려면 사용자에게 그림처럼 권한을 요청해야 한다(참1). 알림 접근 권한은 꽤 강력하다. 알림의 내용을 읽을 수 있는데, 여기에는 연락처 이름이나 메시지 내용 등 개인 정보가 포함될 수 있다. 그리고 알림을 지우거나 그 안에 있는 버튼을 클릭하는 행동을 할 수도 있다. 알림 접근 권한을 얻은 앱은 방해 금지 모드를 켜거나 끄는 등 관련 설정을 변경할 수도 있다. 따라서 이 권한을 허용할 때는 특히 주의해야 한다. SMS나 이메일 인증은 취약 이번에 발견된 가짜 앱은 정상적인 서비스를 가장하여 로그인 화면을 띄운다. 입력한 정보는 해커의 서버로 전송된다. 그리고 일시적인 서비스 점검 등을 핑계로 지금은 이용할 수 없다고

2019.6.11일 마이크로소프트가 정기 보안 패치를 통해 고친 취약점은 수십 개에 달한다. 그 중에서 유심히 볼 만한 것 몇 개만 추려 봤다. CVE-2019-0990 스크립팅 엔진 정보 유출 취약성 엣지 브라우저의 스크립팅 엔진이 메모리에 로드된 개체를 잘못 처리해서 생긴다. 이때 메모리의 일부 잔존 데이터(uninitialized memory)가 노출될 수 있다. 이 정보는 나중에 해커가 피해자의 PC를 공격하는데 도움이 될 수 있다. 이 취약점은 악성 웹 페이지를 열어 보는 것만으로 작동된다. 심각도가 치명적(critical)으로 높으며, 실제 악용 가능성도 크다(more likely). CVE-2019-1081 Microsoft 브라우저 정보 유출 취약성 위의 0990과 비슷한데, 엣지 뿐만 아니라 인터넷 익스플로러에도 해당된다는 점이 다르다. 정보 노출, 원격코드 실행 같은 브라우저의 취약점은 매번 꾸준히 발견되고 있다. 대체로 심각성과 악용 가능성 모두 높은 편으로, 위험성이 크다. 재미있는 것은, 0990과 1081은 직전 보안 패치로 인해 생긴 취약점이란 것이다. 구 버전에는 해당되지 않는다. CVE-2019-1034 Microsoft Word 원격 코드 실행 취약성 워드가 메모리에 로드된 개채를 잘못 처리할 때 발생한다. 이를 악용하면 해커는 현재 로그인된 사용자의 권한으로, 임의의 코드를 실행할 수 있다. 특별하게 조작된 악성 문서를 열기만 하면 취약점이 작동한다. 사용자의 별다른 상호작용은 필요치 않다. 이와 같은 취약점 역시 매번 꾸준히 발견되고 있다. 오피스 문서에서 매크로만 허용하지 않으면 안전하다고 생각할 수 있지만, 그렇지 않다. 악성 rtf 파일, 수식편집기를 개체로 삽입한 문서 등 매크로와 관련 없는 악성 오피스 문서는 많다. 이에 대한 방어 장치도 갖춰져 있지만, 항상 효과가 있는 것은 아니다(관1). 마이크로소프트는 이런 취약점들에 대해 악용 가능성을 낮게(less likely)

안드로이드용 크롬 브라우저의 '사이트 알림' 기능을 악용하는 악성코드가 발견됐다. Google Play에 유명 회사의 앱으로 위장한 가짜 앱으로 등록돼 있었다. Doctor Web은 이를 Android.FakeApp.174라고 불렀다. 웹 푸시(web push) 기능은 별도로 앱을 설치하지 않더라도 뉴스나 SNS 글 등 업데이트되는 내용을 받아볼 수 있어 편리하다. 반면 피싱(phishing)이나 스팸(spam)에 악용되기도 한다. PC에서는 이미 기승을 부리고 있다(관1). 가짜 앱을 실행하면 앱 내에 설정된 사이트를 크롬 브라우저로 연다. 악성 사이트는 그림(참1)처럼 로봇이 아님을 입증하는 등 사이트의 정상적인 이용을 위해 필요하다며 허용을 유도한다. 그러나 사실은 알림 허용 여부는 사이트 이용과 전혀 관계가 없다. 알림을 허용하면 스마트폰의 상태 표시줄에 알림이 쏟아져 들어오기 시작한다. 이때 유명 사이트를 도용하기도 한다. 그림(참1)에서는 페이스북의 아이콘과 제목을 사용했다. 그러나 잘 보면 사이트 주소는 엉뚱한 곳임을 알 수 있다. 가짜 알림을 클릭하면 피싱 사이트로 이동한다. 개인정보 입력을 요구해 탈취하거나 악성코드 설치를 유도할 수 있다. 단순한 불건전 사이트일 수도 있다. 알림 기능의 특성 상, 브라우저를 실행 중이 아니라도 표시된다. 악성 앱을 삭제해도 마찬가지다. 이 악성 앱은 그저 악성 사이트를 띄우기 위한 수단에 불과하기 때문이다. 이런 악성 사이트는 그냥 웹 서핑 중에도 만날 수 있다. 만약 걸려들었다면 크롬의 설정에서, 해당 사이트를 알림 허용 목록에서 삭제하면 된다. 설정/사이트 설정/알림 경로로 들어가면 그림과 같은 화면이 나온다. 여기서 문제의 사이트를 클릭해 삭제하면 된다. 관련 자료 사이트 알림을 이용한 스팸 참고 자료 Android users threatened by fraudulent push notifications

FIPS 시리즈만 해당 유비코(Yubico)의 하드웨어 보안 키 제품인 유비키에서 취약점이 발견돼 리콜 중이다. 이 키에서 생성된 값이 규격만큼 강력하지 못하기 때문이다. 유비키는 여러 제품군이 있는데, 제품명에 FIPS가 표기된 것들만 취약하다. 이 제품군 중에서도 펌웨어 버전 4.4.2~4.4.4인 것에만 해당된다. 4.4.5 버전은 취약점이 해결된 것이다. 유비키를 사용하려고 전원을 켠 후, 첫번째로 생성된 값이 취약하다. 키 값은 무작위성이 생명이다. 그런데 취약한 제품은 최초 생성 키 값에 예측 가능한 부분을 포함한다. 유비키의 전원을 켜면 자기진단 과정을 거치는데, 이때 생성된 값 일부가 첫번째 사용시 생성되는 키 값에 포함되는 것이다. 사실상 키 길이가 짧아지는 효과를 가져오므로, 해킹에 취약할 수 밖에 없다. 하드웨어 보안 키로는 구글의 Titan Security Key도 유명하다. 타이탄 시큐리티 키는 FIDO(2단계 인증용) 전용이다. 반면 유비키는 여러 가지 애플리케이션과 프로토콜을 지원하는 만능 기기이다. 전자 서명에 사용되는 ECDSA 서명을 만들 때도 쓸 수 있다. 이런 많은 사용 경우에 따라 취약한 정도가 다르다. 그런데 ECDSA 서명 생성시 가장 취약하다. 타이탄 시큐리티 키도 5월에 리콜을 시행했다. 비슷한 시기에 하드웨어 보안 키의 대표격인 두 제품이 취약점을 드러낸 것이다. 그러나 하드웨어 보안 키를 해킹하는 것은 상당한 노력이 추가로 필요하므로, 그 보안성을 무시해서는 안 될 것이다. 관련 자료 구글 타이탄 보안키 리콜 참고 자료 Security Advisory YSA-2019-02 Reduced initial randomness on FIPS keys

암호 변경 필수 6.12일 메가스터디가 해킹 당해 개인정보가 유출되는 사건이 발생했다. 유출된 개인정보는 ID, 이름, 연락처, 생년월일, 이메일, 성별, 암호화된 비밀번호 등이다. 주민번호는 수집하지 않았고, 신용카드번호 등 금융 정보는 저장하지 않았으므로 해당되지 않는다. 메가스터디는 "암호화된 비밀번호는 복호화가 불가능하여 유출에 따른 피해로부터 안전합니다"고 했다. 그러나 암호화된, 엄밀히 말하면 해시(hash)된 비밀번호는 깨기 어려울 뿐, 불가능하지는 않다(관1). 해시의 강도는 사용된 함수에 따라 천차만별이다. 그리고 요즘은 고가의 컴퓨터 장비를 구입하지 않더라도 클라우드 컴퓨팅을 싼 값에 이용할 수 있으므로, 암호 크래킹은 점점 쉬워지고 있다. 전혀 안전하지 않으므로, 반드시 암호를 바꿔야 한다. 그리고 이젠 암호만으로는 버틸 수가 없다. 2단계 인증을 지원하는 경우에는 반드시 사용해야 한다. 관련 자료 Flipboard 해킹으로 암호, 토큰 유출 참고 자료 메가스터디가 또! 외부 해킹으로 회원정보 유출

CVE-2019-12592: UXSS(Universal cross-site script) 취약점 Chrome 브라우저의 Extention인 에버노트 클리퍼에서, 다른 사이트의 정보를 탈취하는 데 악용될 수 있는 취약점이 발견됐다. XSS 취약점은 사이트 관리자가 아닌 제3자가 임의의 스크립트를 삽입할 수 있는 취약점이다. 이와 비슷하게 브라우저나 그 확장 프로그램의 취약점을 이용해, 클라이언트 PC에서 XSS를 실행하는 것을 UXSS라고 한다. 당연한 얘기지만, 에버노트 클리퍼는 개발자가 삽입한 스크립트만 실행하고, 에버노트에 관련된 정보에만 접근할 수 있다. 그러나 이 취약점을 악용하면, 해커가 에버노트 클리퍼를 통해 임의의 스크립트를 실행하고, 다른 사이트의 정보에 접근할 수 있다. 공격 과정은 다음과 같다. 피싱 등을 통해 악성 사이트로 유도한다. 여기서 표적 사이트들을 숨겨진 iframe으로 연다. 에버노트의 취약점을 이용해 각 iframe에 payload(악성 스크립트)를 주입한다. 페이로드는 각 표적 사이트에 따라 맞춤 제작된 것이다. 쿠키, 자격증명, 개인 정보를 훔치고 사용자인 것처럼 여러 작업을 수행할 수 있다. 이를 발견한 보안 회사 Guardio는 페이스북의 개인 정보와 친구 정보, 페이팔 거래 내역을 탈취하는 시연을 해 보였다. 포스팅도 가능하다. 에버노트는 5.31일, 패치된 7.11.1 버전을 내놨다. 참고 자료 Critical Vulnerability Discovered in Evernote’s Chrome Extension  

2019.6.11 업데이트 이후 윈도우에서 일부 Bluetooth 기기가 페어링, 연결, 사용 시 제대로 작동하지 않을 수 있다. 이것은 보안을 위해 의도된 조치이다. 취약점이 있는 블루투스 기기가 연결되는 것을 방지하기 위해서다. 일부 블루투스 기기에서, 연결 시 널리 알려진 키를 사용해 암호화를 하는 취약점이 발견됐다. 대표적으로 구글의 Titan Security Key, Feitian Multipass (Feitian CTAP1/U2F Security Key)가 여기에 해당된다. 이로 인해 구글은 타이탄 시큐리티 키를 리콜했다. CVE-2019-2102 로 등록된 이 취약점은 특정 제품 및 안드로이드의 문제이므로, 이런 현상이 나타날 경우 기기 제조사에 연락해 해결해야 한다. 이 경우에 해당하는지 여부는 이벤트 뷰어를 통해 확인할 수 있다. 이벤트 로그에 다음과 같이 나타난다. Event Log System Event Source BTHUSB or BTHMINI Event ID 22 Name  BTHPORT_DEBUG_LINK_KEY_NOT_ALLOWED Level Error Event Message Text  Your Bluetooth device attempted to establish a debug connection.  The Windows Bluetooth stack does not allow debug connection while it is not in the debug mode. 관련 자료 구글 타이탄 보안키 리콜 참고 자료 Some Bluetooth devices may fail to pair or connect after applying June 11, 2019 or later updates ADV190016 | Blue

RowHammer의 변종 DRAM 메모리 칩에서 권한 없이 데이터를 읽을 수 있는 공격 방법이 개발됐다. 이미 2014년에, DRAM 내 어떤 행의 셀에 반복적인 입출력을 수행하면 전기장이 발생해, 인접 행의 셀 데이터를 변조할 수 있는 취약점이 발견됐다. 이것이 로우해머인데, 이 원리를 데이터 무단 접근에 응용한 것이 RAMBleed라는 새로운 공격 방법이다. 이를 통해 DRAM에서 처리 중인 어떠한 데이터라도 탈취할 수 있다. 암호, 인증 키 등 민감한 정보도 포함될 수 있다. DRAM에 있는 하드웨어 취약점이므로, PC든 스마트폰이든 기기 종류와 운영 체제는 관계가 없다. 로우해머에 취약한 DRAM은 램블리드에도 취약하다. 거의 모든 디램이 취약하다고 볼 수 있다. DDR4는 초기 로우해머 공격에는 견뎌냈지만, 공격 방법이 계속 발전해서 결국은 함락됐다. 서버용 고급 메모리인 ECC 램도 초기에는 영향권 밖에 있었지만, 2018년에 ECCploit라는 공격 방법이 개발됐다. CVE-2019-0174 이를 개발한 연구팀에 따르면, 램블리드가 실전에서 이미 악용됐을 가능성은 낮다고 한다. 또한 안티바이러스를 비롯해 현존 보안 앱이 이를 탐지할 가능성은 거의 없는 것으로 봤다. 대응책으로 몇 가지가 제시됐는데, 일반적으로 쓸 만한 것은 다음과 같다. ECC 램과 TRR이 활성화된 DDR4를 사용하는 것이다. 램블리드는 로우해머와는 조금 다르기 때문에, ECC 기능은 애당초 램블리드에는 저항력이 없다. 그러나 공격 속도를 상당히 늦추는 효과가 있다. TRR 기능이 활성화된 DDR4는 로우해머에 공략당하긴 했지만, 실제 상황에서는 램블리드 공격이 쉽지 않다. 메모리 암호화가 가장 효과적인 대응책으로 평가됐다. Intel의 SGX, ARM의 Trust Zone, AMD의 SEV 등 신뢰할 수 있는 컴퓨팅 환경에서는 보안 영역의 메모리를 완전히 암호화한다. 따라서 램블리드 공격으로 데이터를 읽더라도 내용을 알 수가 없다. 한계

6.10일 FBI는 HTTPS 사이트를 이용한 피싱(phishing)이 많이 발생하고 있다는 경고를 발표했다. SSL/TLS 인증서를 갖춘 HTTPS 사이트는 브라우저 주소 바에 자물쇠 아이콘으로 안전한 것으로 표시된다. 사용자는 '안전한 사이트'라는 표시만 보고 신뢰하기 쉽다. 그러나 이 점을 노리는 사이버 범죄자가 많다. 사실 SSL 인증서는 아무나 발급받을 수 있다. 많은 피싱 사이트들이 자신이 직접 발급받은 인증서를 사용해 안전한 것처럼 보인다(관1). 요즘은 거대 IT 서비스의 우산 밑으로 숨어 들어가 사용자를 안심시키는 수법이 늘고 있다. 클라우드를 이용한 피싱으로 불린다(관2). 합법적인 서비스의 계정을 만들어, 그 도메인 내에 피싱 사이트를 구축하는 것이다. 이 경우 SSL 인증서는 클라우드 회사 자체에 발급된 것이지, 각 계정에 대해 발급된 것이 아니다. 마이크로소프트의 애저(Azure)를 이용한 피싱이 가장 많지만, 구글, Cloudflare 등도 많이 악용되고 있다. FBI가 제시한 예방 수칙은 다음과 같다. 이메일 상의 발신자 이름만 보고 믿지 말라. 그 내용의 의도를 의심해 보라. 아는 사람에게서 왔지만 의심스러운 이메일을 받은 경우, 전화나 이메일로 직접 확인하라. 받은 메일 자체를 회신(reply) 하지 말라. 도메인에 잘못된 점이 있는지 확인하라. 예를 들어 .gov로 끝나야 하는데 .com으로 끝나는 경우. HTTPS나 자물쇠 아이콘만 보고 안심하지 말라. 관련 자료 피싱(phishing) 사기 피하는 방법 클라우드를 이용한 피싱 참고 자료 FBI Issues Warning on ‘Secure’ Websites Used For Phishing  

CVE-2017-11882 원격 코드 실행 6.8일 마이크로소프트는 이 취약점을 이용한 악성코드( .rtf 문서)를 퍼뜨리는 피싱(phishing) 작전에 대해 경고했다. 이 취약점은 2017.11.14일 패치됐지만, 여전히 많은 악용이 시도되고 있다. 이 취약점은 마이크로소프트 오피스가 메모리에 로드된 개체(object)를 제대로 처리하지 못해서 생겼다. 악용(exploit)에 성공할 경우, 해커는 임의의 코드를 실행할 수 있다. 피해자가 관리자 권한으로 로그인된 경우에는, 시스템의 완전한 장악으로 이어진다. 구체적으로는 MS Office의 구성 요소인 수식 편집기(Equation editor)에 있는 버퍼 오버플로우 취약점이다. 수식 편집기는 2000년부터 별다른 업데이트 없이 지금까지 오피스 패키지에 포함되고 있다. 수식 편집기의 작동 방식 때문에, DEP, ASLR 같은 Windows의 방어 장치, 오피스 방어에 특화된 EMET, Windows Defender Exploit Guard 같은 방어 장치가 적용되지 않는다. 악성 문서 열기만 하면 감염 특별하게 가공된 오피스 문서를 열기만 하면 감염된다. 사용자의 별다른 상호작용이 필요치 않다. 이 취약점 악용에는 rtf 파일 형식이 많이 사용된다. 따라서 윈도우에 기본 포함된 워드패드를 통해서도 악용될 수 있다. 패치 당시, MS는 실제 악용 가능성은 크지 않은 것으로 봤다. 그러나 이후 많은 악성코드 유포에 동원됐다. 패치 이후에도 악용 시도가 많다는 점과 rtf 문서가 자주 이용된다는 점에서는 CVE-2017-0199와 비슷한 면이 있다(관1). 그러나 위험도 면에서 0199는 치명적(critical)이고, 11882는 중요(important)로 차이가 있다. 미심쩍은 파일을 열 때는 PC의 앱에서 직접 여는 것보다, 웹 브라우저에서 구동되는 웹 오피스를 이용해 여는 것이 좋다고 생각한다(관1). 관련 자료 오래된 MS Word의 RTF 취약점, 여전히 위협적

CVE-2017-0199 원격 코드 실행 이 취약점은 마이크로소프트의 워드(Word) 등 오피스 프로그램과 워드패드가 특별하게 조작된 .rtf 파일을 잘못 처리하는 데 있다. 성공적으로 악용(exploit)될 경우 원격 코드 실행이 가능해, 결국 해커가 PC를 완전히 제어하게 된다. 프로그램 설치, 파일 보기/편집/삭제, 계정 만들기 등이 포함된다. 이 취약점이 특히 위험한 이유는 사용자의 상호 작용이 필요 없다는 것이다. 단지 악성 문서를 열거나 심지어 미리 보기 상태에서도 exploit code가 작동한다. 악성 오피스 문서는 흔히 매크로를 이용한다. 따라서 사용자의 매크로 허용이 필요하다. 이 취약점은 매크로와 상관이 없기 때문에 사용자의 허용이 필요 없다. 제한된 보기 권장 다만, 오피스의 보안 기능인 제한된 보기(protected view)는 어느 정도 방어 효과를 보였다. 이 기능은 외부에서 온 파일 등 잠재적인 위험성이 있는 파일을, 편집이나 인쇄가 불가능한 읽기 전용 모드로 여는 것이다. 기본적으로 활성화돼 있고, 옵션에서 보안 센터 항목에 숨겨져 있기 때문에 대부분 이미 사용하고 있을 것이다. 초기 악성 문서는 제한된 보기 경고에서 편집을 허용하지 않으면 실행되지 않았다. 그러나 점점 이를 우회하는 악성코드가 나오게 된다. 또 하나, 사용자의 주의를 끄는 표식이 있다. 외부 링크를 포함하고 있으니, 이를 허용하겠냐고 묻는 것이다. 그러나 이미 악성코드가 작동한 후이기 때문에, 사용자가 허락을 하든 말든 달라질 게 없다. 어떤 경우에는 원래 문서 창을 자동으로 닫아서, 이 경고 메시지 자체를 숨기기도 한다. 패치 발표 후 더 기승 이에 대한 패치가 나온 것은 2017.4.11일이었다. 그러나 2016년부터 공격 시도가 탐지됐었다. 패치 발표 며칠 전에는 Dridex 악성코드를 다운로드하는 악성 문서 샘플이 대량으로 발견됐다. 제로 데이(zero day) 취약점이었던 것이다. 그런데 이상한 점이 있다.

오픈소스 이용한 공급망 공격 6.5일 블록체인 회사 KOMODO(보안 회사 Comodo가 아니다)가 자신의 AGAMA wallet 고객을 해킹했다. 악의적인 것은 아니고, 아가마 월렛의 악성 버전으로부터 보호하기 위한 것이었다. 아가마 월렛은 electron-native-notify라는 오픈소스 라이브러리를 사용했다. 이것은 익명의 개발자가 npm 자바스크립트 저장소에 업로드한 것인데, 2달 쯤 전에 업데이트를 통해 악성코드가 삽입됐다. 다른 개발자가 다운로드해서 사용할 때까지 기다렸다가 악성코드를 삽입한 것으로, 요즘 유행하는 공급망 공격 수법이다. 따라서 4.13일 이후에 KOMODO의 사이트나 구글, 애플 등 공식 앱 스토어에서 다운로드한 아가마 월렛 앱은 지갑 정보를 훔치는 백도어가 삽입돼 있다. 윈도우, 맥, 리눅스, 안드로이드, iOS용 버전이 포함된다. 다만 KOMODO가 아니라 VerusCoin에서 배포한 아가마 월렛은 해당되지 않는다. 이 사실을 깨달은 KOMODO는 그 백도어를 이용해, 고객의 KMD와 BTC 자산을 회사 계정으로 옮겼다. 해커가 백도어를 이용해 고객의 가상화폐를 훔치기 전에, 먼저 훔친 것이다. 물론 이것은 반환을 요청할 수 있게 했다. KOMODO가 모든 고객의 KMD와 BTC를 옮긴 것은 아니다. 그리고 그 외의 가상화폐 자산은 조치를 취하지 않았다. 그래서 KOMODO는 고객들에게 아마가 월렛의 모든 자산을 다른 주소로 옮기라고 경고했다. 가장 큰 보안 위협은 앱 이번 사건은 검증되지 않은 open source 사용이 얼마나 위험한 것인지를 잘 보여 준다. 이런 무신경한 혹은 무책임한 개발자가 적지는 않을 것이다. 그리고 취약점 악용은 그리 간단하지 않다. 매일 같이 취약점 발견 뉴스가 무수히 쏟아지지만, 이것은 버그 바운티 프로그램과 보안 회사의 홍보 수단 활용에 따른 영향이 크고, 실전 활용이 가능한 것은 일부분에 불과하다. 오히려 최종 사용자나 다른 개발자를 속여 악성코드를 설치하게

CVE-2019-9510 인증 우회 취약점 최근 구형 윈도우의 RDS(원격 데스크톱 서비스)에서 심각한 해킹 취약점이 발견됐다. 쉽게 악용될 수 있고 파급력도 크기 때문에, 마이크로소프트는 거듭 패치를 권장하는 등 긴장하고 있다. 그리고 NLA(Network Level Authentication)는 이를 막을 수 있는 효과적인 수단으로 추천됐다(관1). NLA는 RDP(Remote Desktop Protocol, RDS에 연결하는 수단)에 접근하기 전에, 네트워크 수준에서 자격증명(credential)을 요구하는 것이다. 그런데 Windows 10 1803 버전 이상, Windows Server 2019 등 최신 윈도우에서 NLA 사용 시, 잠금 화면(lock screen)을 우회할 수 있는 취약점이 발견됐다. 이들 버전부터 NLA의 작동 방식을 변경했기 때문이다. 윈도우의 인증 방식 자체와 관련된 것이기 때문에, 2단계 인증 등 추가 보안 조치도 소용 없다. RDP의 세션은 local 세션과 마찬가지로 잠글 수 있다. RDP session이 잠기면 잠금 화면이 표시되며, 다시 이용하려면 암호를 입력해야 한다. RDP 연결이 비정상적으로 끊기면 자동으로 이전 세션이 복구된다. 즉 다시 연결된다. 이때 취약한 버전에서는 잠금이 풀린 상태로 복구된다. 끊기기 전에 RDP 세션을 잠근 경우에도 말이다. 예를 들면 다음과 같다. 혜린이 취약한 버전을 구동하는 원격 PC(서버)에 RDP로 접속한다. 사용을 마치고 무단 접속을 방지하려고, RDP 세션을 잠궈서 잠금 화면이 표시됐다. 그리고 자신의 PC(클라이언트)를 그대로 두고 자리를 비운다. 그 틈에 근처에 있던 해커가 네트워크 연결을 비정상적으로 끊는다. 랜 케이블을 뽑든가 공유기를 끄든가 해서 말이다. 그리고 다시 네트워크를 연결한 후 혜린의 PC를 사용한다. 그러면 RDP 세션의 잠금 화면이 풀린 채로(암호를 묻지 않고) 이전 세션이 복구된다. 암호 없이 자동 재연결 MS는 이에 대해 보