블로그 : NCHOVY 인터넷 스톰 센터

DNS HIT 쿼리 남기기

2012-01-19T17:17:19+09:00

앞서 다룬 Fast-Flux 도메인을 탐지하기 위해서는 여러가지 방법이 있지만, 네임서버에서 DNS 쿼리 로그를 수집하여 분석하는 것이 가장 간단한 방법 중 하나일 것입니다.

가장 대중적으로 사용하는 네임서버인 BIND의 경우, 기본적으로 DNS 쿼리를 로그로 남기지 않습니다. 그렇기 때문에 별도의 설정을 해야합니다. 일단 간단하게 쿼리를 로그로 남기게 설정해둔 named.conf 파일을 살펴보겠습니다.

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
channel default_dnshit {
file "data/dnshit.log";
print-time yes;
};
category queries {
default_dnshit;
};
};

어떤 것인지 대충 감이 오나요?

서버에 쿼리(category queries)가 오면, default_dnshit; 설정에 따라 로그를 남기라고 하는 것입니다.

channel default_dnshit은 dnshit.log라는 파일에 로그를 남기고(file "data/dnshit.log";), 시간을 남기도록(print-time yes;) 설정되어 있습니다.

이 설정에 따라 dnshit.log 에 남겨진 로그를 살펴보면 다음과 같습니다.

[root@******* data]# tail -f dnshit.log
19-Jan-2012 17:00:27.772 client 121.167.11.1#25401: query: nchovy.kr IN A -E
19-Jan-2012 17:00:36.320 client 121.138.224.7#15593: query: nchovy.kr IN A -E
19-Jan-2012 17:00:38.275 client 210.94.11.122#13063: query: xeraph.com IN A -E
19-Jan-2012 17:00:48.782 client 210.94.11.106#15154: query: ns2.nchovy.com IN A -E
19-Jan-2012 17:00:48.782 client 210.94.11.106#50051: query: ns3.nchovy.com IN A -E
19-Jan-2012 17:01:08.538 client 207.46.200.37#49745: query: ns1.nchovy.com IN A -

이런식으로 파일에 쿼리 로그를 남긴 후, 파싱하여 분석할 수 있습니다. 그러나 이렇게 한다면 매번 로그를 보기 위해 DNS 서버에 접속해서 별도의 파일을 살펴봐야 합니다.

그러나 bind 의 설정과 syslog 의 설정을 이용해 syslog로 남기거나, 외부의 syslog 서버로 보낼 수도 있습니다.

named.conf 에 아래와 같이 설정을 추가하였습니다. 굵게 표시된 부분이 추가된 부분입니다.

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
channel default_dnshit {
file "data/dnshit.log";
print-time yes;
};
channel syslog {
syslog local7;
};
category queries {
default_dnshit;
syslog;
};
};

syslog에 로그 분류(facility) local7 으로 보내도록 설정이 추가되었습니다. 기본적으로 syslog 설정에는 local7 설정이 없기 때문에 아래에 나와있는 설정을 syslog.conf 에 추가합니다. syslog에서 시간을 기록하기 때문에 시간을 기록하는 옵션("print-time yes;")은 설정하지 않습니다.

local7.* /var/log/local7

이렇게 설정을 추가한 뒤 named 와 syslog를 재시작하고, /var/log/local7 파일을 보면 아래와 같이 로그가 기록됩니다.

[root@******* log]# tail -f local7
Jan 19 16:58:29 ******* named[12230]: client 202.188.1.27#36711: query: krakenapps.org IN A -
Jan 19 16:58:33 ******* named[12230]: client 208.78.69.150#58826: query: ns2.nchovy.com IN A -E
Jan 19 16:58:33 ******* named[12230]: client 208.78.69.150#18435: query: krakenapps.org IN A -E
Jan 19 16:58:33 ******* named[12230]: client 208.78.69.150#13351: query: ns3.nchovy.com IN A -E
Jan 19 16:58:37 ******* named[12230]: client 193.254.230.2#59556: query: ns2.nchovy.com IN A -E
Jan 19 16:58:37 ******* named[12230]: client 193.254.230.2#24909: query: ns4.nchovy.com IN A -E
Jan 19 16:58:37 ******* named[12230]: client 193.254.230.2#18610: query: ns3.nchovy.com IN A -E
Jan 19 16:58:37 ******* named[12230]: client 193.254.230.2#3692: query: ns1.nchovy.com IN A -E

이 로그를 원격으로 보내기 위해선 아래처럼 syslog.conf 를 수정하면 됩니다.

local7.* @100.100.100.100

그리고 해당 syslog 서버가 로그를 받도록 설정합니다.

레퍼런스

Fast-Flux 도메인 탐지

2012-01-18T13:35:30+09:00

이 글에서는 Fast Flux 서비스 네트워크가 무엇인고 어떻게 동작하는지, 어떻게 탐지하고 대응해야 하는지 다룬다. 현실에서 온라인 피싱사이트나 맬웨어 호스트에 대한 접근을 차단하기가 쉽지 않은데, 그 이유는 방화벽에서 특정 IP를 차단하더라도 DNS와 봇넷을 이용하여 계속해서 IP를 바꾸고 차단을 회피하여 살아남기 때문이다.

Fast Flux는 TTL을 매우 짧게 주고 도메인에 다수의 IP 주소를 매핑한다. 따라서 클라이언트는 같은 도메인이라 해도 매번 다른 IP 주소로 접속하게 된다. 공격자는 자신이 장악하고 있는 호스트(즉, 좀비)에 피싱 사이트, 스팸 사이트, 맬웨어 업데이트 서버 등을 운영하고, 도중에 복구되거나 차단되면서 제어권을 잃어버린 호스트들은 떨어내면서 Fast Flux 네트워크를 유지한다.

Fast Flux 도메인이 가리키는 호스트들은 프론트엔드 서버 혹은 프록시 역할을 할 뿐이고 실제로는 모선에 해당하는 C&C 서버로부터 데이터를 받아 서비스하게 된다. C&C 서버를 차단하면 전체 Fast Flux 네트워크를 셧다운 시킬 수 있겠지만, 한 단계 뒤에 숨어있는 C&C 서버를 찾아내기란 쉽지 않다. 공개된 자료에 의하면 단 두 대의 C&C 서버가 수천개의 Fast-Flux 도메인을 운영하면서 네트워크를 유지한 경우도 있었다고 한다.

위 도식은 honeynet.org에서 가져온 것으로, Single Flux 운영 방식을 보여주고 있다. 위와 같이 flux.example.com을 요청했을 때 네임서버가 좀비 PC의 IP 주소를 반환하고, 좀비가 C&C로부터 내려받은 악성 컨텐츠를 클라이언트에게 반환하는 방식을 Single Flux라 부른다.

Single Flux에서 한 단계 더 나아가면 Double Flux가 된다. Double Flux는 Authoritative 네임서버 도메인도 여러 개 등록해서 이중으로 Fast-Flux 네트워크를 구성하는 것을 의미한다. 이러한 구성을 하게 되면 더 추적과 차단이 어려워지고, 한 두 개 호스트가 단절된다고 해도 안정적으로 전체 네트워크가 유지되는 특성을 가지게 된다. 이들은 뒤에 숨어있는 C&C 서버만 관리하면 되므로 비용을 적게 들이고 차단을 회피하면서 악성 컨텐츠를 효과적으로 뿌릴 수 있다.

맬웨어들은 Fast Flux 네트워크를 이용해서 안정적으로 업데이트를 수행할 수 있게 되고, 각종 변종을 만들어내거나 DDoS 공격 명령을 수신하면서 움직일 수 있다. 어떤 맬웨어들은 시간의 흐름과 미리 정해진 규칙에 따라 도메인 이름을 동적으로 만들어내면서 접속을 시도하고 다운로드한다. 이 경우 미리 정해진 도메인 이름이 아니기 때문에 생성될 수 있는 모든 조합의 도메인을 차단하는 것도 어렵다. (만약 도메인 주소 생성 규칙을 알고 도메인을 미리 등록한다면 얼마나 많은 수의 호스트가 해당 맬웨어에 감염되었는지 파악할 수도 있을 것이다.)

의심되는 도메인 주소를 확보했다면, 일정한 주기로 DNS 쿼리를 수행하면서 IP 주소 집합을 수집할 수 있다. 만약 TTL이 매우 짧고 비교적 최근에 등록된 도메인이면서 시간이 지남에 따라 전체 IP 주소 집합이 계속해서 증가한다면 이는 Fast Flux 도메인으로 규정할 수 있다. DNS 정보를 모니터링하면서 수집된 IP를 분석하면 외부에서도 어느 회사/조직이 감염되었는지 파악할 수 있을 뿐 아니라, 전체 봇넷의 크기를 유추할 수 있고, IP 집합의 유사성으로 각 악성 도메인 간의 연관 관계를 분석할 수 있다.

원문

Xeraph@NCHOVY : Fast-Flux 도메인 탐지

레퍼런스

MS 2012년 1월 보안 업데이트

2012-01-17T14:33:28+09:00

지난주에 진행된 MS 2012년 1월 보안 업데이트에 대한 내용입니다. 총 7개의 업데이트가 나왔습니다.

플랫폼을 명시하지 않으면, 해당 제품군의 모든 플랫폼을 포함하는 것입니다.

MS12-001(중요) - 윈도우 커널 보안 기능 우회 취약점

윈도우 XP(32비트)를 제외한, 윈도우 XP(64비트), 비스타, 7, 서버 2003, 2008, 2008 R2 에 해당 취약점이 있습니다.

윈도우 커널 SafeSEH 우회 취약점(CVE-2012-0001)
윈도우 커널이 예외 처리 테이블을 읽어들이는 방식에 문제가 있어 보안 기능을 우회할 수 있는 취약점이 있습니다. 공격자는 이 취약점을 악용하여 SafeSEH를 우회한 다음 다른 취약점을 악용할 수 있습니다.

MS12-002(중요) - 윈도우 오브젝트 패키저 원격 코드 실행 취약점

윈도우 XP, 윈도우 서버 2003에 해당 취약점이 있습니다.

오브젝트 패키저의 안전하지 않은 라이브러리 실행 취약점(CVE-2012-0009)
윈도우가 윈도우 오브젝트 패키저를 등록하고 사용하는 방식에 문제가 있어 원격 코드가 실행되는 취약점이 있습니다. 공격자는 이 취약점을 악용하여 시스템 전체 권한을 획득할 수 있습니다.

MS12-003(중요) - 윈도우 클라이언트/서버 런타임 서브시스템 권한 상승 취약점

윈도우 XP, 비스타, 서버 2003, 2008에 해당 취약점이 있습니다.

CSRSS 권한 상승 취약점(CVE-2012-0005)
CSRSS가 조작된 유니코드 문자를 처리하는 과정에 문제가 있어 권한 상승이 되는 취약점이 있습니다. 공격자는 취약점을 악용하여 로컬 시스템에 임의의 코드를 실행할 수 있습니다. 공격자는 이 취약점을 악용하여 시스템 전체 권한을 획득할 수 있습니다.

MS12-004(긴급) - 윈도우 미디어 원격 코드 실행 취약점

윈도우 XP, 비스타, 7, 서버 2003, 2008, 2008 R2에 해당 취약점이 있습니다.

미디 원격 코드 실행 취약점(CVE-2012-0003)
윈도우 미디어 플레이어에 원격 코드 실행 취약점이 있습니다. 공격자가 특수하게 조작한 미디파일을 윈도우 미디어 플레이어로 재생하게 되면, 공격자가 삽입한 원격 코드가 실행됩니다. 공격자는 이 취약점을 악용하여 시스템 전체 권한을 획득할 수 있습니다.
다이렉트 쇼 원격 코드 실행 취약점(CVE-2012-0004)
윈도우가 미디어 파일을 다루는 방식에 문제가 있어 원격 코드가 실행되는 취약점이 있습니다. 사용자가 특수하게 조작된 미디어 파일을 열게되는 순간 원격 코드가 실행되게 됩니다. 공격자는 이 취약점을 악용하여 로그인 한 사용자와 동일한 권한으로 임의의 명령을 실행할 수 있습니다.

MS12-005(중요) - 윈도우 원격 코드 실행 취약점

윈도우 XP, 비스타, 7, 서버 2003, 2008, 2008 R2에 해당 취약점이 있습니다.

어셈블리 실행 취약점(CVE-2012-0013)
윈도우 패키저가 오피스 파일을 포함하고 있는 클릭원스 애플리케이션을 읽어들이는 방식에 문제가 있어 원격 코드가 실행되는 취약점이 있습니다.

MS12-006(중요) - SSL/TLS 정보 노출 취약점

윈도우 XP, 비스타, 7, 서버 2003, 2008, 2008 R2에 해당 취약점이 있습니다.

SSL, TLS 프로토콜 취약점(CVE-2011-3389)
SSL 3.0과 TLS 1.0 암호화 프로토콜에 정보 노출 취약점이 있습니다. 이 취약점은 해당 프로토콜 뿐만 아니라 윈도우 운영체제에도 영향을 끼칩니다. 이 취약점으로 암호화된 SSL/TLS 트래픽을 풀어낼 수 있습니다. 브라우저가 공격 당할 수 있는 가장 큰 요소이기 때문에 이로 인해 HTTPS 트래픽과 HTTP/HTTPS 혼합 트래픽이 가장 큰 영향을 받습니다.

MS12-007(중요) - AntiXSS 라이브러리 정보 노출 취약점

Microsoft Anti-Cross Site Scripting Library V3.x and Microsoft Anti-Cross Site Scripting Library V4.0 에 해당 취약점이 있습니다.

AntiXSS 라이브러리 우회 취약점(CVE-2012-0007)
AntiXSS 라이브러리가 특수하게 조작된 HTML 파일을 처리하는 과정에 정보 노출 취약점이 있습니다. 사용자가 올리는 HTML에서 발생할 수 있는 XSS 공격을 AntiXSS로 대비할 수 있으나, 공격자는 이 취약점을 악용하여 XSS 공격을 할 수 있습니다. 공격자는 라이브러리를 우회하여 악의적인 스크립트를 삽입하고, 정보를 노출하도록 할 수 있습니다. 이 취약점으로 임의의 코드를 실행하거나, 권한 상승을 하는 등 직접적인 공격은 할 수 없지만, 이를 기반으로 다른 공격을 시도할 수 있습니다.

해시 충돌을 이용한 DoS 공격에 대하여

2012-01-02T15:02:08+09:00

지난 2011년 12월 28일 Chaos Communication Congress 에서, 해시테이블의 취약점을 이용한 DoS 공격이 공개되었습니다.

기본적으로 1개의 변수가 있을 때 이 변수를 해시테이블에 저장, 검색, 삭제하는데 드는 시간은 O(1)입니다. 그리고 해시 충돌이 없는 경우 n개를 저장, 검색, 삭제하는데 드는 시간은 O(n)입니다.

그러나 POST로 전달할 수 있는 매개변수의 수에 제한이 없어, POST로 많은 수(수백~수천개 이상)의 매개변수를 전달할 수 있습니다. 이렇게 제한 없이 많은 수의 매개변수를 전달하게 되면, 매개변수를 저장하는 해시테이블에서 해시 충돌이 일어나게 되고 이로 인해 해시테이블에 접근하는 시간이 급속도로 늘어나게 됩니다. 가장 최악의 경우엔 n개를 처리하는데 O(n^2)의 시간이 들게 됩니다.

이렇게 POST로 제한없이 많은 수의 매개변수를 전달하게 되면 속도가 저하되고 CPU 부하가 급속히 높아지는 취약점이 있어, 이를 악용한 DoS 공격을 할 수 있게 됩니다.

PHP의 경우 500kB(10B*5만개)의 POST를 보내게 되면 CPU 코어 1개를 1분여, 300k(10B*3만개)B의 POST를 보내게 되면 CPU 코어 1개를 30초 동안 소모하게 됩니다.

.NET Framework, PHP, Apache Tomcat 등 웹 서비스 플랫폼에 해당 취약점이 있으며, 각각 패치가 공개되었습니다.

패치를 권장하나, 다음의 방식으로 취약점을 회피할 수 있습니다.

1. POST로 전달할 수 있는 최대 크기를 줄인다.

2. POST로 전달 가능한 매개변수의 갯수를 설정한다.

3. 프로세스당 CPU 소모 가능 시간을 설정한다.

PHP : max_input_time 값을 줄인다
IIS for ASP.NET : shutdown time limit for processes 값을 줄인다.

참조 URL

Efficient Denial of Service Attacks on Web Application Platforms 발표자료

rapache 익스플로잇(CVE-2011-3192)에 관하여

2011-12-22T15:39:01+09:00

아파치 range 헤더 취약점(CVE-2011-3192)을 악용하는 익스플로잇(이하 rapache)이 지난 9일 exploit-db.com을 통해 공개되었습니다.

그러나 Thomas Hoger가 언급한 것 처럼, 실제로 rapache는 range 헤더를 전송하여 아파치 서버를 공격하는 것이 아니라, 웹 서버가 처리할 수 있는 이상의 숫자로 연결을 생성하여 웹 서버가 정상적으로 동작하지 않도록 하는 것일 뿐입니다. 일종의 DoS 공격을 하는 것이며, 취약점과는 무관합니다.

아래는 rapache 가 보내는 패킷을 캡쳐한 그림입니다. 10번이 rapache를 이용해 공격하는 클라이언트이며, 255번이 웹서버입니다.

rapache는 취약점을 이용하여 공격하진 않지만 서비스 거부 공격을 하기 때문에, rapache를 이용한 공격이 실제로 일어날 수 있습니다. 그러나 iptables와 같은 도구를 사용하여 특정 IP와의 연결 숫자를 제한하면, 이런 형태의 공격을 회피할 수 있습니다.

iptables로는 다음과 같이 설정할 수 있습니다. IP당 80번 포트 연결을 20으로 제한한 설정입니다.

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset
service iptables save

참조 URL

CVE-2011-3192 취약점 관련 아파치 재단 공지

Adobe Reader 및 Acrobat 보안 업데이트(CVE-2011-2462 관련)

2011-12-16T11:42:59+09:00

어도비사는 지난 6일에 공개한 어도비 리더 및 아크로뱃 취약점에 관하여, 다음과 같이 취약점 관련 내역 및 보안 업데이트 일정을 공개하였습니다.

어도비사가 공개한 내용에 대해 알려드립니다.

1. 취약점 개요

어도비 리더 X 10.1.1 및 이전 버전(윈도우, 맥), 어도비 리더 9.4.6 및 9.X 버전(윈도우, 맥, 유닉스), 어도비 아크로뱃 X 10.1.1 및 이전 버전(윈도우, 맥), 어도비 아크로뱃 9.4.6 및 9.X 버전(윈도우, 맥)에 심각한 취약점이 발견되었습니다. 이 취약점(CVE-2011-2462)을 이용해 충돌을 일으키거나, 공격자가 시스템 전체 권한을 획득할 수 있습니다. 윈도우용 어도비 리더 9.X 를 대상으로 하여 이 취약점을 악용한 공격이 실제로 일어날 가능성은 제한적입니다.

윈도우용 어도비 리더 9.X, 어도비 아크로뱃 9.X 을 위한 업데이트는 12월 16일에 제공됩니다. 윈도우용 어도비 리더 X 및 어도비 아크로뱃 X 는 보호 모드로 취약점 악용을 막을 수 있기 때문에, 2012년 1월 10일로 예정된 분기별 정기 보안 업데이트에서 이 문제를 해결할 예정입니다. 맥용 어도비 리더 및 아크로뱃 X, 유닉스용 어도비 리더 9.X 또한 정기 보안 업데이트에서 이 문제를 해결할 예정입니다. 일정에 대한 자세한 이유는 ASSET 블로그 글을 참고하시기 바랍니다.

2. 영향 받는 버전

어도비 리더 X 10.1.1 및 이전 버전(윈도우, 맥)
어도비 리더 9.4.6 및 9.X 버전(윈도우, 맥, 유닉스)
어도비 아크로뱃 X 10.1.1 및 이전 버전(윈도우, 맥)
어도비 아크로뱃 9.4.6 및 9.X 버전(윈도우, 맥)

* 안드로이드용 어도비 리더 및 플래시 플레이어는 이 취약점과 관계가 없습니다.

3. 취약점 회피 방법

어도비 리더 X 및 아크로뱃 X는 보호모드를 이용해 이런류의 취약점을 악용하는 것을 방지할 수 있습니다. 보호모드가 활성화 되어있는지 확인할 수 있는 방법은 다음과 같습니다.

어도비 리더 X : 편집->기본설정->일반 으로 들어가, "시작할 때 보호 모드 사용"이 설정되어 있는지 확인합니다.

4. 취약점 위험도

어도비는 이 취약점을 긴급 수준으로 분류하였습니다.

5. 상세 내용

U3D 메모리 손상 취약점(CVE-2011-2462)은 충돌을 일으키거나, 공격자가 시스템 전체 권한을 획득할 수 있습니다. 윈도우용 어도비 리더 9.X 버전을 대상으로 하여, 이 취약점을 이용한 공격이 일어날 가능성은 제한적입니다. 어도비 리더 X와 어도비 아크로뱃 X의 보호모드로 이와같은 취약점을 악용하는 공격을 회피할 수 있습니다.

윈도우용 어도비 리더 및 아크로뱃 9.X 버전을 대상으로 하는 보안 업데이트는 12월 16일에 공개할 예정입니다. 그 외의 제품은 2012년 1월 10일에 예정된 분기별 정기 보안 업데이트에서 이 문제를 해결할 것이며, 일정에 관한 자세한 이유는 ASSET 블로그 글을 참고하시기 바랍니다.

MS 2011년 12월 보안 업데이트

2011-12-15T11:37:06+09:00

이번달엔 13개의 업데이트가 나왔습니다.

MS11-087(긴급) - 트루타입 폰트 원격 코드 실행 취약점

업데이트가 지원되는 윈도우 XP, 비스타, 7, 서버 2003, 2008, 2008 R2에 해당 취약점이 있습니다.

트루타입 폰트 파싱 취약점(CVE-2011-3402)
윈도우 커널이 조작된 트루타입 폰트 파일을 다룰 때 원격 코드가 실행되는 취약점이 있습니다. 공격자는 취약점을 악용하여 커널모드에서 코드를 실행할 수 있고, 시스템 전체 권한을 획득할 수 있습니다.

MS11-088(중요) - 오피스 중국어 입력기 권한 상승 취약점

업데이트가 지원되는 오피스 2010에 해당 취약점이 있습니다.

중국어 간체 입력기 취약점(CVE-2011-2010)
오피스 중국어 입력기가 보안 데스크탑이 아닌 환경에서 설정을 노출하여 권한 상승이 되는 취약점이 있습니다. 공격자는 취약점을 악용하여 임의의 코드를 커널모드에서 실행할 수 있고, 시스템 전체 권한을 획득할 수 있습니다.

MS11-089(중요) - 오피스 원격 코드 실행 취약점

업데이트가 지원되는 오피스 2007, 2010, 2011 for Mac 에 해당 취약점이 있습니다.

워드 메모리 해제 후 사용 취약점(CVE-2011-1983)
워드가 조작된 워드 파일을 다룰 때 원격 코드가 실행되는 취약점이 있습니다. 공격자는 취약점을 악용하여 시스템 전체 권한을 획득할 수 있습니다.

MS11-090(긴급) - ActiveX 킬비트 누적 보안 업데이트

업데이트가 지원되는 윈도우 XP, 비스타, 7, 서버 2003, 2008, 2008 R2에 해당 취약점이 있습니다.

타임 컴포넌트 원격 코드 실행 취약점(CVE-2011-3397)
타임 컴포넌트에 원격 코드 실행 취약점이 있습니다. 공격자는 조작된 웹페이지를 이용하여 취약점을 악용할 수 있습니다. 사용자가 조작된 웹 페이지를 방문하게 될 경우, 원격 코드가 실행됩니다. 원격 코드는 페이지에 방문한 사용자와 동일한 권한으로 실행됩니다.

MS11-091(중요) - 퍼블리셔 원격 코드 실행 취약점

업데이트가 지원되는 오피스 2003, 2007에 해당 취약점이 있습니다.

퍼블리셔 파일을 파싱하는 과정에서 원격 코드 실행 취약점이 있습니다. 공격자는 취약점을 악용하여 사용자와 동일한 권한을 획득하고 코드를 실행할 수 있습니다. 다음은 관련된 상세 취약점 목록입니다.

퍼블리셔 포인터 오버플로우 취약점(CVE-2011-1508)
퍼블리셔 배열 인덱스 경계 밖 취약점(CVE-2011-3410)
퍼블리셔 유효하지 않은 포인터 취약점(CVE-2011-3411)
퍼블리셔 메모리 손상 취약점(CVE-2011-3412)

MS11-092(긴급) - 윈도우 미디어 원격 코드 실행 취약점

업데이트가 지원되는 윈도우 XP(미디어센터 포함), 비스타, 7에 해당 취약점이 있습니다.

윈도우 미디어 플레이어 DVR-MS 메모리 손상 취약점(CVE-2011-3401)
윈도우 미디어 플레이어와 윈도우 미디어 센터가 조작된 .dvr-ms 파일을 다루는 과정에서 원격 코드 실행 취약점이 있습니다. 공격자가 조작한 .dvr-ms 파일을 사용자가 열게되면, 공격자가 삽입한 원격 코드가 실행됩니다. 공격자는 시스템 전체 권한을 획득할 수 있습니다.

MS11-093(중요) - OLE 원격 코드 실행 취약점

업데이트가 지원되는 윈도우 XP,서버 2003에 해당 취약점이 있습니다.

OLE 설정 취약점(CVE-2011-3400)
조작된 OLE 객체가 담겨있는 파일을 열게 되는경우 원격 코드가 실행되는 취약점이 있습니다. 공격자는 취약점을 악용하여 사용자와 동일한 권한을 획득할 수 있습니다.

MS11-094(긴급) - 파워포인트 원격 코드 실행 취약점

업데이트가 지원되는 오피스 2007 서비스팩 2(서비스팩 3는 해당사항 없습니다), 오피스 2010, 오피스 2008 for Mac, 오피스 호환 기능 서비스팩 2, 파워포인트 뷰어 2007 서비스팩 2에 해당 취약점이 있습니다.

파워포인트 안전하지 않은 라이브러리 로딩 취약점(CVE-2011-3396)
파워포인트가 DLL 파일을 읽어오는 방식에 워너격 코드 실행 취약점이 있습니다. 공격자는 취약점을 악용하여 시스템의 전체 권한을 획득할 수 있습니다.
OfficeArt Shape RCE 취약점(CVE-2011-3413)
파워포인트가 조작된 파워포인트를 다룰 때 원격 코드가 실행되는 취약점이 있습니다.

MS11-095(중요) - 액티브 디렉토리 원격 코드 실행 취약점

업데이트가 지원되는 윈도우 XP, 비스타, 7, 서버 2003, 2008, 2008 R2 에 해당 취약점이 있습니다.

액티브 디렉토리 버퍼 오버플로우 취약점(CVE-2011-3406)
액티브 디렉토리에 원격 코드 실행 취약점이 있습니다. 취약점을 악용하기 위해선 액티브 디렉토리에 로그인 해야합니다. 공격자는 로그인에 성공한 후 조작된 애플리케이션을 실행하여 애플리케이션이 실행된 시스템의 전체 권한을 획득할 수 있습니다.

MS11-096(중요) - 엑셀 원격 코드 실행 취약점

업데이트가 지원되는 오피스 2003, 2004 for Mac 에 해당 취약점이 있습니다.

레코드 메모리 손상 취약점(CVE-2011-3403)
조작된 엑셀 파일을 다룰 때 원격 코드가 실행되는 취약점이 있습니다. 공격자는 취약점을 악용하여 시스템 전체 권한을 획득할 수 있습니다.

MS11-097(중요) - 클라이언트/서버 런타임 서브시스템 권한 상승 취약점

업데이트가 지원되는 윈도우 XP, 비스타, 7, 서버 2003, 2008, 2008 R2 에 해당 취약점이 있습니다.

클라이언트/서버 런타임 서브시스템 로컬 권한 상승 취약점(CVE-2011-3408)
임의의 코드를 다른 프로세스에서 실행할 수 있어 권한 상승이 되는 취약점이 있습니다. 관리자 권한으로 실행되는 프로세스에서 코드가 실행되면, 공격자는 시스템 전체 권한을 획득할 수 있습니다.

MS11-098(중요) - 윈도우 커널 권한 상승 취약점

업데이트가 지원되는 윈도우 XP(32비트), 비스타(32비트), 7(32비트), 서버 2008 서비스팩 2(32비트)에 해당 취약점이 있습니다.

윈도우 커널 예외 핸들러 취약점(CVE-2011-2018)
윈도우 커널이 정상적으로 선언되지 않은 객체에 접근하려고 할 때 권한 상승이 되는 취약점이 있습니다. 공격자는 이 취약점을 악용하여 커널 모드에서 임의의 코드를 실행할 수 있고, 시스템 전체 권한을 획득할 수 있습니다.

MS11-099(중요) - 인터넷 익스플로러 누적 보안 업데이트

익스플로러 6,7,8,9 관련 업데이트입니다.

XSS 필터 정보 노출 취약점(CVE-2011-1992)
인터넷 익스플로러에서 정보가 노출되는 취약점이 있습니다. 공격자는 악성 자바스크립트를 포함한 웹 페이지를 이용하여 이 취약점을 악용할 수 있습니다. 사용자가 웹 페이지를 열게되면 공격자는 취약점을 악용하여 사용자 익스플로러의 다른 페이지, 또는 다른 도메인의 컨텐츠를 읽어들일 수 있습니다.
인터넷 익스플로러 안전하지 않은 라이브러리 로딩 취약점(CVE-2011-2019)
인터넷 익스플로러가 DLL 파일을 로딩하는 과정에서 원격 코드 실행 취약점이 있습니다. 공격자는 취약점을 악용하여 사용자와 동일한 권한을 획득할 수 있습니다.
컨텐츠 노출 취약점(CVE-2011-3404)
인터넷 익스플로러에서 정보가 노출되는 취약점이 있습니다. 사용자가 조작된 웹 페이지를 열게되면 공격자는 사용자 익스플로러의 다른 페이지, 또는 다른 도메인의 컨텐츠를 읽어들일 수 있습니다.

플래시 최신버전(11.1.102.55) 제로데이 익스플로잇

2011-12-11T22:53:28+09:00

어도비 플래시 최신 버전인 11.1.102.55 및 이전버전에서 새로운 취약점이 두 개 발견되었다고 합니다. 현재 이 취약점에 대한 패치가 나오지 않았고, 취약점 악용을 방지할 방법, IDS/IPS/AV 탐지 룰도 나오지 않은 상태지만, 취약점이 외부에 공개되어있는 상태는 아니라고 합니다.

이 취약점은 주요 OS(윈도, 리눅스, 맥)에서 구동되는 플래시 모두에 해당됩니다. 조작된 SWF 파일을 읽어들여 실행하게 되는 경우, SWF 파일에 포함된 악성코드가 플래시를 구동하는 사용자 권한으로 실행될 수 있다고 합니다.

이 취약점에 관하여 CVE-2011-4693 과 CVE-2011-4694가 할당되어 있습니다. 추가정보가 공개되는대로 스톰센터를 통해 다시 알려드리겠습니다.

BIND 서비스 거부 취약점 관련 추가 소식

2011-12-10T21:15:16+09:00

12월 5일 ISC는 BIND 서비스 거부 취약점 원인 및 회피방안에 관한 자료를 공개하였습니다. 이는 지난 11월 16일에 공개한 BIND 서비스 거부 취약점에 관한 세부적인 자료입니다.

ISC가 공개한 취약점에 관한 설명 및 취약점을 방지하는 방법에 대하여 알려드립니다.

1. 취약점 개요

CVE : CVE-2011-4313
해당 버전 : BIND 9.0.x->9.6.x , 9.4-ESV->9.4-ESV-R5, 9.6-ESV->9.6-ESV-R5, 9.7.0->9.7.4, 9.8.0->9.8.1, 9.9.0a1->9.9.0b1
해당 받는 환경 : 직접 운영하는 도메인만 서비스 하는 경우엔 해당되지 않습니다. 클라이언트가 DNS 서버로 지정하여 도메인 조회를 하는 경우에 이 취약점에 영향을 받습니다.
위험도 : 심각

2. 취약점 회피 방법

DNS 메세지는 Query, Answer, Authority, Additional 등으로 구성됩니다. 이번 취약점은 부적절한 정보를 담고 있는 Additional 필드를 캐싱하는 경우에 BIND 서비스가 거부되는 취약점입니다.

이 취약점에 관련하여 ISC는 BIND를 패치하는 것을 강력하게 권고하고 있습니다. 당장 패치를 할 수 없는 환경이라면 다음과 같은 방법을 사용하여 취약점을 회피할 수 있습니다.

클라이언트가 DNS 서버로만 사용하는 경우(도메인을 서비스 하지 않는 경우).

named.conf 에 다음과 같이 설정합니다.

minimal-responses yes;

이 설정을 사용하면 DNS 응답시 Authority, Additional 필드에 RFC에 정의되지 않은 추가 자료를 포함하는 것을 막음으로써, 해당 취약점이 발생하는 코드를 사용하는 것을 회피할 수 있습니다.

(이 설정은 BIND 9.2부터 사용 가능합니다)
혼합 모드(클라이언트가 DNS 서버로 사용하고, 도메인도 직접 서비스 하는 경우)

앞서 언급한 것 처럼 named.conf 설정을 변경하여 취약점을 회피할 수 있습니다. 그러나 이 경우엔 취약점으로 인한 서비스 거부 공격 가능성을 줄일 뿐입니다. 가급적 패치하는 것을 권합니다.

VMWare 보안패치(11월 17일)

2011-11-28T17:25:45+09:00

지난 10월 27일과 11월 17일, VMWware 는 다음의 보안 패치를 공개했습니다.

10월 27일에 공개한 VMSA-2011-0013.1은 취약점이 발견된 서드파티 라이브러리 openssl, libuser, nss, nspr, JRE, sfcb 가 업데이트 되었습니다.

11월 17일에 공개한 VMSA-2011-0014는 vSphere Update Manager에 포함된 Jetty에 디렉토리 순회(directory traversal)공격이 가능한 취약점이 해결되었습니다.

자세한 내역은 다음과 같습니다.

VMSA-2011-0013.1

취약점 해결된 VMware 업데이트, 패치 목록

VCenter Server
- 4.1 Update 2
- 4.0 Update 4
vSphere Update Manager
- 4.1 Update 2
- 4.0 Update 4
ESX 4.0
- ESX400-201111201-SG
ESX 4.1
- ESX410-201110201-SG, ESX410-201110204-SG, ESX410-201110206-SG, ESX410-201110214-SG

취약점이 발견된 서드파티 라이브러리 및 관련 CVE 목록

VMSA-2011-0014

취약점이 해결된 VMware 업데이트, 패치 목록

vCenter Update Manager
- 4.1 Update 2
- 4.0 Update 4

취약점이 발견된 서드파티 라이브러리 및 관련 CVE 목록

Jetty Web server component
- CVE-2011-4404

MS 2011년 7월 보안 업데이트

2011-07-13T11:49:20+09:00

이번달은 4개의 업데이트가 나왔습니다.

MS11-053(긴급) - 블루투스 스택 원격 코드 실행 취약점

업데이트가 지원되는 윈도우 비스타, 윈도우 7에 해당 취약점이 있습니다.

블루투스 스택 취약점 (CVE-2011-1265)
윈도우 블루투스 2.1 스택이 메모리에 제대로 초기화되지 않거나, 이미 삭제된 객체를 접근하려고 할 때 원격 코드가 실행되는 취약점이 있습니다. 공격자는 조작된 블루투스 패킷을 만들고, 공격대상 장비에 전송하여 취약점을 악용할 수 있습니다. 공격자는 시스템의 전체 권한을 획득할 수 있습니다.

MS11-054(중요) - 윈도우 커널모드 드라이버 원격 코드 실행 취약점

업데이트가 지원되는 윈도우 XP, 비스타, 7, 서버 2003, 2008, 2008 R2에 해당 취약점이 있습니다.

Win32k 해제 후 사용 취약점 (CVE-2011-1874, CVE-2011-1875, CVE-2011-1876, CVE-2011-1877, CVE-2011-1878, CVE-2011-1879, CVE-2011-1882, CVE-2011-1883, CVE-2011-1884)
커널모드 드라이버가 커널모드 드라이버 객체를 다루는 방식에 권한 상승 취약점이 있습니다. 공격자는 취약점을 악용하여 임의의 코드를 실행할 수 있습니다. 공격자는 시스템 전체 권한을 획득할 수 있습니다.
Win32k 널 포린터 역참조 취약점 (CVE-2011-1880, CVE-2011-1881, CVE-2011-1885, CVE-2011-1887, CVE-2011-1888)
커널모드 드라이버가 커널모드 드라이버 객체를 다루는 방식에 권한 상승 취약점이 있습니다. 공격자는 취약점을 악용하여 임의의 코드를 실행할 수 있습니다. 공격자는 시스템 전체 권한을 획득할 수 있습니다.
Win32k 잘못된 매개변수로 인한 정보 유출 취약점 (CVE-2011-1886)
윈도우 커널 모드 드라이버가 함수에 전달되는 매개변수를 검증하는 방식에 정보 유출 취약점이 있습니다. 공격자는 취약점을 악용해 모든 커널모드 메모리에서 SAM 파일을 비롯한 자료에 접근할 수 있습니다.

MS11-056(중요) - 윈도우 클라이언트/서버 런타임 서브시스템 원격 코드 실행 취약점

업데이트가 지원되는 윈도우 XP, 비스타, 7, 서버 2003, 2008, 2008 R2에 해당 취약점이 있습니다.

CSRSS 로컬 EOP AllocConsole 취약점 (CVE-2011-1281)
CSRSS 서브시스템이 특정 사용자의 트랜잭션에 메모리를 할당하는 방식에 권한 상승 취약점이 있습니다. 공격자는 취약점을 악용해 커널모드에서 임의의 코드를 실행할 수 있습니다. 공격자는 시스템의 전체 권한을 획득할 수 있습니다.
CSRSS 로컬 EOP SrvSetConsoleLocalEUDC 취약점 (CVE-2011-1282)
CSRSS 서브시스템이 특정 사용자의 트랜잭션에 메모리를 할당하는 방식에 권한 상승 취약점이 있습니다. 공격자는 취약점을 악용해 커널모드에서 임의의 코드를 실행할 수 있습니다. 공격자는 시스템의 전체 권한을 획득할 수 있습니다.
CSRSS 로컬 EOP SrvSetConsoleNumberOfCommand 취약점 (CVE-2011-1283)
CSRSS 서브시스템이 특정 사용자의 트랜잭션에 메모리를 할당하는 방식에 권한 상승 취약점이 있습니다. 공격자는 취약점을 악용해 커널모드에서 임의의 코드를 실행할 수 있습니다. 공격자는 시스템의 전체 권한을 획득할 수 있습니다.
CSRSS 로컬 EOP SrvWriteConsoleOutput 취약점 (CVE-2011-1284)
CSRSS 서브시스템이 특정 사용자의 트랜잭션에 메모리를 할당하는 방식에 권한 상승 취약점이 있습니다. 공격자는 취약점을 악용해 커널모드에서 임의의 코드를 실행할 수 있습니다. 공격자는 시스템의 전체 권한을 획득할 수 있습니다.
CSRSS 로컬 EOP SrvWriteConsoleOutputString 취약점 (CVE-2011-1870)
CSRSS 서브시스템이 특정 사용자의 트랜잭션에 메모리를 할당하는 방식에 권한 상승 취약점이 있습니다. 공격자는 취약점을 악용해 커널모드에서 임의의 코드를 실행할 수 있습니다. 공격자는 시스템의 전체 권한을 획득할 수 있습니다.

MS11-055(중요) - 비지오 원격 코드 실행 취약점

업데이트가 지원되는 비지오 2003에 해당 취약점이 있습니다.

비지오 안전하지 않은 라이브러리 로딩 취약점 (CVE-2010-3148)
비지오가 DLL 파일을 읽어오는 방식에 원격 코드 실행 취약점이 있습니다. 공격자는 취약점을 악용하여 시스템의 전체 권한을 획득할 수 있습니다.

MS 2011년 5월 보안 업데이트

2011-05-11T10:15:35+09:00

이번달은 2개의 업데이트가 나왔습니다.

MS11-035 (긴급) - WINS 원격 코드 실행 취약점

업데이트가 지원되는 윈도우 서버 2003, 2008(Itanium 제외), 2008 R2(Itanium 제외)에 해당있습니다.

WINS 서비스 응답 실패 취약점 (CVE-2011-1248)
조작된 WINS 네트워크 패킷을 WINS 서비스로 보낸 경우, WINS 서비스가 자료 구조를 충분히 검증하지 않아, 원격 코드가 실행되는 취약점이 존재합니다.

MS11-036 (중요) - 파워포인트 원격 코드 실행 취약점

업데이트가 지원되는 파워포인트 2002, 2003, 2007, 오피스 호환 기능 팩, 맥용 오피스 2004, 2008, 맥용 Open XML 파일 변환기에 해당 취약점이 있습니다.

프리젠테이션 메모리 손상 RCE 취약점 (CVE-2011-1269)
파워포인트가 조작된 파워포인트 파일을 다루는 방식에 문제가 있어, 원격 코드가 실행되는 취약점이 존재합니다. 공격자는 취약점을 악용하여 시스템의 전체 권한을 획득할 수 있습니다.
프리젠테이션 버퍼 오버런 RCE 취약점 (CVE-2011-1270)
파워포인트가 조작된 파워포인트 파일을 다루는 방식에 문제가 있어, 원격 코드가 실행되는 취약점이 존재합니다. 공격자는 취약점을 악용하여 시스템의 전체 권한을 획득할 수 있습니다.

MS 2011년 3월 보안 업데이트

2011-03-17T17:15:01+09:00

이번 달은 3개의 보안 업데이트가 발표되었습니다.

MS11-015 (긴급) - 윈도우 미디어 원격 코드 실행 취약점

윈도우 XP(서비스팩 3), 윈도우 XP 64비트(서비스팩 2), 비스타 32&64비트(서비스팩 1, 2), 윈도우 7 32&64비트(오리지날, 서비스팩 1), 윈도우 서버 2008 R2(오리지날, 서비스팩 1)에 이 취약점이 존재합니다.

DirectShow의 안전하지 않은 라이브러리 로딩 취약점 (CVE-2011-0032)
윈도우 미디어 플레이어가 파일을 읽는 과정에, DirectShow의 원격 코드 실행 취약점이 있습니다. 특수하게 조작된 DLL 파일과 윈도우 미디어 플레이어가 지원하는 파일(.wtv, .drv-ms, .mpg 등)이 동일한 디렉토리에 있는 경우, 윈도우 미디어 플레이어로 파일을 열면, DirectShow가 동일한 디렉토리에 존재하는 DLL 파일을 읽고 DLL 파일에 포함된 코드를 실행하게 됩니다. 이메일 첨부 또는 네트워크 공유 디렉토리(UNC, WebDAV 등)와 같은 형태로 취약점을 악용할 수 있습니다.
DVR-MS 취약점 (CVE-2011-0042)
특수하게 조작된 .dvr-ms 파일을 여는 경우, 공격자는 시스템의 관리자 권한을 획득하고 임의의 코드를 실행할 수 있습니다. 이메일 또는 웹을 이용하여 취약점을 악용할 수 있습니다.

MS11-016 (중요) - 그루브 원격 코드 실행 취약점

그루브 2007 서비스팩 2만 이 취약점이 존재합니다.

그루브의 안전하지 않은 라이브러리 로딩 취약점 (CVE-2010-3146)
그루브가 파일을 읽는 과정에, 원격 코드 실행 취약점이 있습니다. 특수하게 조작된 DLL 파일과 그루브 관련 파일(.vcg, .gta 등)이 동일한 디렉토리에 존재하는 경우, 그루브가 파일을 열면 동일한 디렉토리에 있는 DLL 파일을 읽고 DLL 파일에 포함된 코드를 실행하게 됩니다. 이메일 첨부 또는 네트워크 공유 디렉토리(UNC, WebDAV 등)와 같은 형태로 취약점을 악용할 수 있습니다.

MS11-017 (중요) - 원격 데스크톱 연결 클라이언트 원격 코드 실행 취약점

원격 데스크톱 연결 클라이언트 6.0, 6.1, 7.0(모든 윈도우)과, 5.2(윈도우 XP 서비스팩 3만 해당)에 이 취약점이 존재합니다.

원격 데스크톱 클라이언트의 안전하지 않는 라이브러리 로딩 취약점 (CVE-2011-0029)
원격 데스크톱 클라이언트가 파일을 읽는 과정에, 원격 코드 실행 취약점이 있습니다. 특수하게 조작된 DLL 파일과 원격 데스크톱 설정파일(.rdp)이 동일한 디렉토리에 존재하는 경우, 원격 데스크톱 클라이언트가 .rdp 파일을 열면 동일한 디렉토리에 있는 DLL 파일을 읽고 DLL 파일에 포함된 코드를 실행하게 됩니다. 이메일 첨부 또는 네트워크 공유 디렉토리(UNC, WebDAV 등)와 같은 형태로 취약점을 악용할 수 있습니다.

XML-RPC 오픈 API 서비스

2011-03-11T22:08:34+09:00

일전에 언급했던대로, 엔초비 인터넷 스톰 센터의 대부분의 기능을 XML-RPC로 호출하여 사용할 수 있는 오픈 API를 공개합니다. 아래 문서를 참고하시기 바랍니다.

인터넷 스톰 센터 API (2011년 3월 7일 버전)

오픈 API를 사용하시려면 API KEY를 발급받아야 하는데, xeraph@nchovy.com으로 메일을 보내주시면 됩니다. 별도의 계약 없이 무료로 발급해드립니다. (단, 서버 부하 상황에 따라 추후 일일 호출 횟수는 제한 가능)

홈페이지 변조 현황 서비스 재개

2011-02-21T14:08:19+09:00

작년에 zone-h의 크롤링 중단 요청에 따라 홈페이지 변조 현황 서비스를 중단하였으나, Security Lab과 데이터 피드 서브스크립션 계약을 진행 중에 있어서 현재 trial 모드로 서비스를 재개하게 되었습니다.

과거에는 수집한 홈페이지 변조 기록을 전부 표시하도록 하였으나, 이번에 서비스를 재개하면서 IP 기준으로 국내 서버에 대한 정보만 추려서 표시하도록 개선하였습니다. 도메인 이름 앞의 아이콘을 클릭하시면, 변조 당시의 화면도 확인하실 수 있습니다.

조만간 메일 알림 서비스도 제공하겠습니다. 감사합니다.