Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

• 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
• 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
• 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
• 번역된 한글 제목에 오역이 있을 수 있습니다.
• 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
• 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
• 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

• 중국이 배후인 것으로 추정되는 APT 그룹이 새로운 백도어를 사용해 다양한 영국 정부 기관 및 군사 기관들의 계약업체를 노린 공격으로 추정된다. 지난 주 카스퍼스키의 Security Analyst Summit^(SAS)에서 NCC 그룹의 Senior malware researcher인 Ahmed Zaki가 영국 정부의 서비스 제공사를 노린 악성코드 기반의 공격에 대한 상세 정보를 발표했다. 이 발표에서 중국과 관련된, ^{Ke3chang, Mirage, Vixen Panda, Playful Dragon}으로도 알려진 ^APT15 그룹이 이 공격을 실행했다고 밝혔다. 이 공격은 영국 정부 및 군사 기관들의 계약업체를 노린 큰 공격의 일부였다고 밝혔다. APT15 그룹은 최소 2010년부터 활동해 왔으며, 전 세계를 대상으로 한 사이버 스파이 캠페인을 펼쳐왔다. NCC Group은 이 해킹그룹과 관련된 두개의 새로운 악성코드를 탐지했다고 밝혔다. 침해 분석과정에서 APT15의 공격도구들 중 일부로 보이는 백도어들을 찾아냈다. 이 그룹에 의해 지속적으로 사용된 ^BS2005라는 백도어와 함께, ^RoyalCli 및 ^RoyalDNS라는 백도어가 확인되었다. (13일에서 이어짐)

Detailed News list

• APT15
  • _[HackRead]
    APT15 Hackers Hit UK Govt Contractor to Steal Military Technology Secrets
  • _[ThreatPost]
    China-Linked APT15 Used Myriad of New Tools To Hack UK Government Contractor
  • _[Anomali]
    WTB: APT15 is alive and strong: An analysis of RoyalCli and RoyalDNS
  • _{[InfoSecurityMagazine]}
    Chinese APT15 Group Steals UK Military Docs

Exploits/Vulnerabilities

Summaries

• 마이크로소프트의 윈도우즈 모든 버젼에 영향을 미치는 CredSSP^{(Credential Security Support Provider protocol)}의 취약점이 발견되었다. 원격의 공격자가 RDP^{(Remote Desktop Protocol)} 및 WinRM^{(Windows Remote Management)}를 공격해 데이터를 훔치거나 악성 코드를 실행할 수 있는 취약점 CVE-2018-0886이 발견되었다. 이 취약점은 CredSSP의 logical cryptographic issue로, 공격자가 중간자^{(MitM, Man-in-the-middle)} 위치에서 세션 인증 데이터^{(session authentication data)}를 훔치고 RPC^{(Remote Procedure Call)}공격을 행할 수 있는 취약점이다. 네트워크에 WiFi나 직접접속이 가능한 공격자는 쉽게 중간자 공격이 가능하다. CredSSP 프로토콜은 응용프로그램이 안전하게 사용자의 인증정보^{(credentials)}를 클라이언트로부터 대상 서버로 전달^(delegate)할 수 있게 하며, RDP와 WinRM 모두에서 사용한다.
• AMD 칩에서 새로운 취약점이 발견되었다. 이스라엘의 사이버보안기업 CTS Labs에서 웹사이트를 만들어 AMD의 EPYC, Ryzen, Ryzen Pro, Ryzen 프로세서들의 13개 보안 취약점 정보를 공개했다. 이 칩들은 노트북, 모바일 기기, 서버등에 사용된다. 취약점에는 공격자가 악성코드를 AMD의 칩에 주입할 수 있도록 하는 백도어들이 포함되어 있다. 이런 악성코드들은 공격자에게 AMD 프로세서를 장악하고, 네트워크 인증정보를 훔치거나, 악성코드를 설치하고 보호된 메모리 영역을 읽고 쓸 수 있게 한다. CTS Labs는 취약점 정보를 amdflaws.com이라는 웹사이트를 통해 공개했다.
• SecurEnvoy 메일 소프트웨어에서 취약점이 발견되었다. 오스트리아의 보안 기업 SEC Consult에 의해 발견된 이 취약점들에는 XSS^{(Cross-site scripting)}, XSRF^{(Cross-site Request Forgery)}, 인증 누락^{(missing authentication)}이 포함된다. SEC Consult에 따르면 클라이언트가 암호화된 메일을 보내는데에 SecurEnvoy 서버에서 인증이 필요없었다. 해커들이 서버에 저장된 이메일들을 모두 추출하거나 메시지를 조작하는 것에도 열려있었다.
• 물리적으로 분리^(Air-Gapped)된 컴퓨터에서의 스피커를 이용한 MOSQUITO Attack 이라는 데이터 유출 방법에 대한 기사가 공개되었다. 이스라엘의 Ben-Gurion 대학의 연구자들이 금요일에 공개된 논문에서 동일 공간에서의 두 컴퓨터 간에 마이크를 사용하지 않는 초음파^{(ultrasonic sound waves)} 형태의 데이터 추출 방법을 설명했다. 논문은 “MOSQUITO: Covert Ultrasonic Transmissions between Two Air-Gapped Computers using Speaker-to-Speaker Communication”이다. (13일에서 이어짐)

Detailed News List

• CredSSP
  • _{[SecurityAffairs]}
    A critical flaw in Credential Security Support Provider protocol (CredSSP) affects all versions of Windows
  • _{[TheHackerNews]}
    CredSSP Flaw in Remote Desktop Protocol Affects All Versions of Windows
  • _{[HelpNetSecurity]}
    Dangerous CredSSP flaw opens door into corporate servers
  • _{[DarkReading]}
    Microsoft Remote Access Protocol Flaw Affects All Windows Machines
• AMD chip flaws
  • _[CyberScoop]
    What’s worse? The AMD chip flaws or the disclosure process?
  • _{[TheRegister]}
    OK, deep breath, relax… Let’s have a sober look at these ‘ere annoying AMD chip security flaws
  • _[Forbes]
    Researchers Warn Of Dangerous New Vulnerabilities Found In AMD Chips
  • _{[DarkReading]}
    AMD Investigating Report of Vulnerabilities in its Microprocessors
  • _[ZDNet]
    AMD investigating chip security flaws after less than 24 hours notice
  • _{[SecurityWeek]}
    Researchers Find Critical Security Flaws in AMD Chips
  • _[Threatpost]
    AMD Investigating Reports of 13 Critical Vulnerabilities Found in Ryzen, EPYC Chips
  • _{[TheHackerNews]}
    13 Critical Flaws Discovered in AMD Ryzen and EPYC Processors
• SecurEnvoy SecurMail
  • _{[TheRegister]}
    SecurEnvoy SecurMail, you say? Only after this patch is applied, though
  • _{[SecurityWeek]}
    Critical Vulnerabilities Addressed in SecurEnvoy SecurMail
  • _{[ITSecurityGuru]}
    Researchers find critical flaws in SecurEnvoy SecurMail, patch now!
  • _{[HelpNetSecurity]}
    Researchers find critical flaws in SecurEnvoy SecurMail, patch now!
• MOSQUITO
  • _{[SecurityAffairs]}
    MOSQUITO attack allows to exfiltrates data from Air-Gapped computers via leverage connected speakers
  • _{[ITSecurityGuru]}
    Data Exfiltration Technique Steals Data From PCs Using Speakers, Headphones
  • _{[SecurityWeek]}
    Stealthy Data Exfiltration Possible via Headphones, Speakers
  • _[HackRead]
    Hackers can steal data from Air-Gapped PCs with microphones & speakers

Vulnerability Patches/Software Updates

Summaries

• 마이크로소프트^(Microsoft)에서 3월 정기 보안업데이트를 릴리즈했다. 마이크로소프트가 Patch Tuesday에서 15개의 Critical 취약점을 수정했다. 전체적으로는 75개의 취약점이 수정되었다. 패치가 적용된 제품에는 Microsoft 브라우저 및 마이크로소프트의 자바스크립트 엔진인 Chakra와 같이 브라우저에 관련된 기술들이 포함되었다.
• 어도비^(Adobe)에서 보안 패치를 릴리즈했다. 윈도우, 맥, 리눅스, 크롬OS 용 플래시 플레이어 29.0.0.113에서 28.0.0.161 및 이전 버젼에 영향을 미치는 두가지 critical 취약점을 수정했다. 취약점은 use-after-free 버그 CVE-2018-4919와 type confusion issue CVE-2018-4920이다. 둘다 모두 원격 코드 실행^{(remote code execution)} 공격이 가능한 취약점이다. 그외 Dreamweaver CC 및 Adobe Connect도 패치되었다.
• 삼바^(Samba) 프로젝트에서 두가지 취약점에 대한 패치를 릴리즈했다. 권한이 없는 원격의 공격자가 삼바서버에 대한 DoS 공격을 할 수 있는 취약점과 임의의 사용자의 비밀번호를 변경할 수 있는 취약점을 수정했다. 이 취약점들은 삼바 버젼 4.7.6, 4.6.114, 4.5.16 릴리즈와 함께 수정되었다. DoS 취약점은 CVE-2018-1050으로 RPC spoolss 서비스가 external daemon으로 실행되도록 설정되었을 때 공격당할 수 있다. 두번째 취약점인 CVE-2018-1057은 권한이 없는 사용자가 LDAP을 통해 관리자를 포함한 아무 사용자나 비밀번호를 변경할 수 있다. LDAP을 통한 비밀번호 변경 요청에서 Samba가 사용자의 권한을 적절하게 검증하지 않아 발생한다.

Detailed News List

• Microsoft
  • _[Threatpost]
    Microsoft Patches 15 Critical Bugs in March Patch Tuesday Update
  • _[Cisco]
    Microsoft Patch Tuesday – March 2018
  • _[TripWire]
    VERT Threat Alert: March 2018 Patch Tuesday Analysis
  • _{[DarkReading]}
    Microsoft Patch Tuesday: Prioritize Browser Updates
  • _{[SecurityWeek]}
    Microsoft Patches Over Dozen Critical Browser Flaws
  • _{[KrebsOnSecurity]}
    Flash, Windows Users: It’s Time to Patch
  • _[ZDNet]
    March security updates expand Meltdown-Spectre protection for Windows
  • _[US-CERT]
    Microsoft Releases March 2018 Security Updates
  • _{[TheRegister]}
    It’s March 2018, and your Windows PC can be pwned by a web article (well, none of OURS)
  • _[MSRC]
    March 2018 security update release
• Adobe
  • _[US-CERT]
    Adobe Releases Security Updates
  • _{[SecurityWeek]}
    Adobe Patches Critical Code Execution Flaws in Dreamweaver, Flash
• Samba
  • _[US-CERT]
    Samba Releases Security Updates
  • _{[SecurityAffairs]}
    Samba fixed two critical vulnerabilities, update your version as soon as possible
  • _{[TheHackerNews]}
    Update Samba Servers Immediately to Patch Password Reset and DoS Vulnerabilities
  • _[Threatpost]
    Samba Patches Two Critical Vulnerabilities in Server Software

Internet of Things

Summaries

• 사물인터넷^{(IoT, Internet of Things)} 카메라 해킹과 관련된 기사들이 이어졌다. 카스퍼스키랩의 Vladimir Dashchenko에 따르면 한화의 스마트캠에서 다수의 취약점이 발견되었다. 취약점은 펌웨어 업데이트나 상호작용을 위해 사용하는 HTTP 프로토콜을 가로챌 수 있으며, 웹 기반의 사용자 인터페이스를 조작하거나 루트 권한으로 원격 명령을 실행할 수 있고 서비스 거부 공격, 관리자 계정에 대한 브루트포스 공격, 인증 우회 등이 가능하다. 전문가들은 인터넷이 노출되어 있는 대략 2,000개 정도의 카메라의 IP를 확인했다. 그러나 이 취약점들이 인터넷에 직접적으로 연결되어 있지 않아도 스마트캠 클라우드 인프라의 취약점으로 인해 공격받을 수 있어, 실질적으로 훨씬 더 많은 수의 장비들이 취약할 것으로 보고있다. (13일에서 이어짐)

Detailed News List

• Smart Camera
  • _[CSOOnline]
    Severe flaws could turn your smart camera into someone else’s surveillance tool
  • _{[ITSecurityGuru]}
    Your smart camera could go rogue: Here’s how it becomes a data-stealing spy tool
  • _[ZDNet]
    Researchers find security flaws in popular smart cameras
  • _{[ITSecurityGuru]}
    Smart camera vulnerabilities could allow criminals to spy on victims
  • _{[SecurityAffairs]}
    13 Vulnerabilities in Hanwha SmartCams Demonstrate Risks of Feature Complexity