Information Security

Dirty Pipe(CVE-2022-0847)는 2022년 3월에 공개된 리눅스 로컬권한상승 취약점이다. 권한이 필요한 파일을 무단으로 수정할 수 있는 Dirty COW 취약점과 유사하면서 리눅스 커널의 Pipe 기능에서 발생하기 때문에 Dirty Pipe이라는 별칭이 붙었다. 5.8 버전 이상의 리눅스 커널에서 발생하며, 계정 정보 파일을 변조하는 등의 방법으로 관리자 권한 획득이 가능하다. S/W 구분 취약 버전 Linux Kernel 5.8 이상 5.16.11, 5.15.25, 5.10.102 이하 버전 Dirty Pipe PoC 소스코드를 다운받았다. 해당 파일은 아래와 같다. 커널 버전은 5.15.0이 라는 것을 아래와 같은 명령어를 통해 알 수 있다. exploit2.c를 gcc 컴파일을 한다..

Git 리포지토리 관리 솔루션 GitLab에서 임의 파일 읽기 취약점이 발견됐다. 해당 취약점은 경로 탐색 취약점을 호라용해 서버의 임의의 파일을 읽거나 다운로드할 수 있기 때문에 인증되지 않은 공격자가 공개 프로젝트의 첨부파일 다운로드 경로를 조작해 잠재적으로 서버 주요 데이터 파일인 구성 세부 정보, 기업의 소스코드, 민감한 사용자 데이터 등에 접근할 수 있어 주의가 필요하다. S/W 구분 취약 버전 GitLab CE(Communiyt Editoion)/EE(Enterprise Edition) 16.0.0 역할 구분 공격자 Ubuntu 22.04.2 (192.168.0.25) 피해자 Kali Linux 2023.2 (192.168.0.26) 우분투 서버에 docerk 설치 docker에서 지원하는 G..

해당 취약점은 Microsoft MSHTML에서 입력 값을 제대로 처리하지 않아 발생하는 취약점으로 악용할 경우 공격자가 사용자의 PC에서 임의의 코드를 실행할 수 있다. 공격자는 브라우저 렌더링 엔진을 호스팅 하는 Microsoft Office 문서에서 사용되는 악성 ActiveX 컨트롤을 제작할 수 있습니다. 그다음 공격자는 사용자가 아 악성 문서를 클릭하도록 유도해야 합니다. 시스템에서 더 낮은 사용자 권한을 가지도록 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자보다 영향을 덜 받을 수 있습니다. S/W 구분 취약 버전 Windows Server 2008 서비스팩 2, 2008 R2 서비스팩 1 2012, 2012 R2 2016, 2019, 2022 version 2004, 20H2 Win..

PrintNightmare 취약점은 윈도우의 Print Spooler를 이용한 권한 상승 및 원격 코드 실행 취약점이다. Print Spooler는 윈도우 설치 시 기본적으로 설치되며, 컴퓨터가 부팅될 때 자동으로 실행되는 서비스다. CVE-2021-1675는 권한 상승 취약점이고, 후에 발견된 CVE-2021-34527은 원격 코드 실행 취약점이다. CVE-2021-34527을 이용하여 시스템 권한 획득 후 일반 사용자의 권한을 상승시키거나, 새로운 계정을 생성하거나, 기밀정보 유출이 가능하며, 프로그램 설치 혹은 악성 파일을 업로드할 수 있다. 프린트를 사용할 때 필수적으로 사용되는 서비스이기 때문에 각별한 주의를 기울여야 한다. S/W 구분 취약 버전 Windows Server 2008(R2 포함)..

로컬 사용자가 인증 없이도 Unix 계열 OS에서 루트 권한을 획득할 수 있는 SUDO 취약점이 발견되어 수정되었습니다. SUDO는 시스템 관리자가 Sudoers 파일에 나열된 일반 사용자에게 제한된 루트 권한을 제공하는 동시에 그들의 활동 로그를 저장할 수 있도록 하는 유닉스 프로그램입니다. 해당 프로그램은 시스템의 전체 보안을 해치지 않고 사용자에게 일하는데 충분한 권한만을 부여하는 최소 권한 원칙(Principle of Least Privilege)을 기반으로 합니다. 유닉스 기반 OS에서 명령을 실행할 때, 권한이 없는 사용자는 sudo(superuser do) 명령을 사용하여 권한이 있거나 루트 사용자의 비밀번호를 알고 있는 경우 명령어를 root로 실행시킬 수 있습니다. Root는 시스템의 슈..

Netlogon은 도메인 내 사용자를 인증하는 Windows Server의 서비스 중 하나로 컴퓨터와 도메인 컨트롤러 간 보안채널을 생성한다. CVE-2020-1472는 공격자가 MS-NRPC(Netlogon Remote Protocol) 취약점을 이용해 도메인 컨트롤러(DC)에 취약한 보안 채널 연결을 설정하여 발생하는 권한상승 취약점이다. 공격자는 도메인 컨트롤러에 별도의 권한 없이 네트워크 연결만으로도 취약점을 악용할 수 있어 위험도가 매우 높다. S/W 구분 취약 버전 Windows Server 2008 ~ 2019 역할 구분 공격자 Kali-linux-2020.3 피해자 Windows Server 2019 취약점 테스트 파이썬 네트워크 프로토콜 작업을 위해 impacket을 다운로드하였다. Im..

1. 주요내용 구분 내용 영향도 SMB 3.1.1 프로토콜에서 조작된 압축 패킷을 압축 해제하는 과정에서 Buffer Overflow가 발생한다. 클라이언트/서버 모두 공격이 가능하며, 공격자는 이를 통해 블루스크린(Blue Screen of Death, BSOD)을 발생시킨다. 취약대상 Ø Windows 10 Version 1903 for 32-bit Systems Ø Windows 10 Version 1903 for x64-based Systems Ø Windows 10 Version 1903 for ARM64-based Systems Ø Windows Server, version 1903 (Server Core installation) Ø Windows 10 Version 1909 for 32-bi..

SSL 통신을 위해 apt-transport-https와 ca-certificates를 설치한다. apt-transport-https는 apt 명령어를 실행할 때 https로 변환해주는 패키지이고, ca-certificates는 인증 기관(CA) 인증서이다. 다음으로 dirmngr을 설치한다. dirmngr은 'X.509 인증서의 폐기 목록(CRLs)'이나 인증서를 다운로드하기 위한 서버이다. apt에서 인증키를 관리하는 도구인 apt-key 명령어로 key 서버에서 key를 받는다. Docker를 다운로드받기 위해 Docker 저장소를 칼리 리눅스에 추가한다. 칼리 리눅스 apt-get update 업데이트를 했다. 저장소를 업데이트하고, docker-engine을 설치한다. docker를 이용해 취약..