* Pastebin : 기존 IE 취약점 정리 

- 테스트 환경

   [ Target ]

   IP : 192.168.10.203

   System : Windows XP SP2 IE8

   [ Attacker ]

   IP : 192.168.10.219 

   System : BackBox 3.13 / Metasploit 4.9.0

CVE-2014-1776

* HackerNews : New Zero-Day Vulnerability CVE-2014-1776 Affects all Versions of IE

* Microsoft Blog : More Details about Security Advisory 2963983 IE 0Day

* Microsoft Security Advisory :: 2963983

* Publish Date : 2014.04.26

* (Reserved) Patched : 2014.05.13

* Damage Version : IE 6 ~ 11 ( All Versions )

* Impact : RCE

Patched

* HackerNews : Microsoft Patches Internet Explorer Zero-Day Vulnerability, Even for Windows XP

* 보안 뉴스 : IE 보안패티 적용 후, 0x80020009 오류코드 해결 방법

Attack

* CNN : Defense, Energy, Banks hit by IE bug

* V3.co.uk : Hackers target Windows XP users with IE attacks

* the Register : Hackers ZERO IN on ZOMBIE XP boxes : Get patching, IE8 users

2014.04.28

데일리시큐 : KISA 사칭 악성앱 유포 주의.. 공유기 취약점 이용

중요한 점은 기존 파밍의 경우 PC 감염을 통해 Hosts 파일을 변조하거나 IE에 인젝션되어 동작하는 형태가 대부분이었다. 뭐 다른 종류도 있지만 결국 PC에 감염이 이뤄진 경우다. 

하지만 이번 경우는 PC 이전에 공유기를 감염시키는 경우인데...

공유기는 파일을 실행하는 개념이 없기 때문에 송수신 패킷을 처리하는 과정에서 패킷내에 존재하는 ShellCode를 공유기에서 처리하는 과정에서 발생하는 취약점을 이용하는 것으로 보인다. 그래서 그랬나?? KISA에서 공유기 취약점에 대해 수집하던데...

2014.04.29

KISA : 유무선 공유기 관리자 페이지 보안 설정 권고

패킷 문제가 아닌 것 같다. 관리자 페이지가 보안 설정이 되어 있지 않거나 기본 설정 정보로 되어 있다는 점을 이용해 관리자 페이지를 이용해 사용자에게 노출한 것으로 보인다..정확히는 모르겠지만 관리자 페이지를 변조한 후 관리자 페이지로 리다이렉션하지만 관리지 페이지 정보가 아닌 다운로드 정보 관련 페이지가 나오는 건 아닌지 추정된다. 

2014.05.17

HerryMorison : 현대 HCN 공유기 DNS 변경 파밍 악성코드 공지사항

계속 궁금해 하던 부분에 대해 어느정도 해결된 듯 하다. 난 직접 공유기를 공격하는 형태인 줄 알았지만 사실 공유기에 연결된 고객 PC에서 공유기의 설정을 원격으로 변경하고 악성코드가 삭제되는 형태로 보인다. 이렇게 되면 PC는 정상이지만 파밍은 계속 유발되는 형태를 갖게 된다. 

이때 공유기의 ID/PW가 최초 공장 초기 버전을 갖고 있기 때문에 ID/PW를 변경하라는 기사와 공지가 있었던 것 같다. 어쩌면 매우 단순할 수 있지만 그동안 생각하지 못했던 부분이다. 앞으로 IoT가 활성화 되었을 때 사용할 수 있는 패러다임을 보여주는 것이다.

2014.05.20

Axler : [공지] 유무선 공유기 보안 펌웨어 파일 배포

공개되지 않았던 대상 공유기들이 하나씩 업데이트를 통해 공개되는 군요.. 이번엔 Axler 입니다. 

연합뉴스 : 식당 등 이용자 신용카드 정보 13만건 해킹 일당 기소

해킹 과정

1. POS 단말기 관리 업체 서버 해킹

2. 해킹된 서버를 통해 가맹점 85곳 POS 단말기 접속

3. POS 단말기에 입력되는 정보를 파일로 자동 저장하는 악성코드 삽입

4. 수집된 파일을 주기적으로 해킹된 서버를 통해 수집 (추정)

5. 수집된 정보(신용카드 번호, 유효기간)를 바탕으로 신용카드 위조

6. 위조된 신용카드로 현금 인출 

데일리시큐 : 페이스북 취약점, 디도스 공격에 악용될 수 있어

"시야의 차이" 와 "정책의 차이"를 알 수 있는 부분이다. 

해커 또는 공격자의 입장에서는 이러한 디테일한 부분이 다른 웹 사이트 공격에 악용될 수 있다는 이유로 보안 상의 취약점을 언급하지만 정책에서는 이러한 부분의 수정은 사이트 전체의 성능 저하를 야기할 수 있으며 해당 시나리오가 적용되기 위해서 필요한 조건에 대해 세밀한 확인 후 판단을 내렸다.

어느것이 잘못됐다고 할 수는 없다. 다만 시각의 차이는 것이다. 모의 해킹과 같은 컨설팅 부분에서는 해당 부분이 큰 문제가 될 수 있지만 회사 전체에서 해당 문제가 어느정도의 리스크를 갖고 있는지 파악하는 것이 우선이고 이를 제어 가능한 영역인지 확인하는게 두번째 이다. 따라서 페이스북의 대응이 잘못됐다고 판단하기는 어려울 것 같다. 

이것이 진정한 "위기 관리 시스템"이 아닐까..