Microsoft Office Outlook 권한 상승 취약점 주의 (CVE-2023-23397) Posted By gygy0101 , 2023년 3월 18일 개요 Microsoft는 Windows용 Outlook의 취약점이 NTLM 자격 증명을 탈취하는 데 악용되고 있음을 발견하였다. Microsoft는 해당 취약점을 CVE-2023-23397로 할당하고, 심각도를 평가하는 CVSS 점수는 이례적으로 높은 점수인 9.8점을 부여하였다. 취약점 내용 Outlook은 캘린더 내 약속을 알리는 ‘미리 알림’ 기능이 있다. 약속 기한이 지났을 때도 아래와 같은 알림이 발생한다. [그림 1] Outlook 미리 알림 기능 이때 MAPI의 PidLidReminderFileParameter 프로퍼티는 약속 기한이 지나, 지연 알림을 할 때 클라이언트가 재생할 사운드의 파일 경로(UNC)를 지정하는 데 사용된다. 또한 PidLidReminderOverride 프로퍼티는 위 PidLidReminderFileParameter 값을 신뢰할 것인지 설정하는 프로퍼티다. 메일(msg) 내 PidLidReminderFileParameter 값은 공격자가…
자산 관리 솔루션(TCO!Stream) 취약점 주의 및 업데이트 권고 Posted By ASEC , 2023년 3월 17일 취약 소프트웨어 및 개요 TCO!Stream은 국내 엠엘소프트사에서 제조한 자산 관리 솔루션이다. 서버와 클라이언트로 구성되며, 관리자는 콘솔 프로그램을 이용하여 서버에 접속해 자산 관리 업무를 수행할 수 있다. TCO!Stream은 자산 관리를 위해 다양한 기능을 제공하는데, 서버로부터 명령을 받기 위하여 클라이언트에 항상 상주하는 프로세스가 존재하며, 해당 프로세스를 통하여 명령을 수행한다. 이 프로그램을 악용하여 원격으로 코드를 실행할 수 있는 취약점 공격에 노출되어 있어 최신버전으로 업데이트가 필요하다. 취약점 설명 해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 TCO!Stream에서 원격 코드 실행 취약점(RCE)이 발생할…
공인 인증 솔루션(VestCert) 취약점 주의 및 업데이트 권고 Posted By ASEC , 2023년 3월 17일 취약 소프트웨어 및 개요 VestCert는 웹 사이트 이용 시 사용되는 공인인증서 프로그램으로, 국내 예티소프트사에서 제조한 Non-ActiveX 모듈이다. 이 프로그램은 시작 프로그램에 등록돼 있으며, 프로세스가 종료되더라도 예티소프트의 서비스(Gozi)에 의해 재실행되는 특징이 있어, 한 번 설치되면 프로세스에 항상 상주해 있으므로 취약점 공격에 노출될 수 있다. 따라서 최신 버전으로 업데이트가 필요하다. 취약점 설명 해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 VestCert에는 원격 코드 실행 취약점(RCE)이 발생할 수 있다. 패치 대상 및 버전 VestCert 2.3.6 ~ 2.5.29 버전 …
은폐형 악성코드 PurpleFox 감염여부 확인 및 치료 Posted By ASEC , 2022년 2월 14일 PurpleFox 악성코드는 2018년에 처음 발견되었다. 당시에는 자체 개발한 드라이버를 이용해 악성코드를 은폐하였지만, 2019년부터 오픈소스 ‘Hidden’을 커스터마이즈하여 이용하였으며, 2020년 중반부터는 공격자가 다양한 기능을 추가하기 위해 테스트 하는 것이 포착되었다. PurpleFox는 최종적으로 코인 마이너 악성코드지만 추가 악성코드를 설치하는 다운로더 역할을 수행하며 연결된 다른 PC에 전파하는 기능도 가지고 있다. 현재까지 알려진 유포 방법은 브라우저 취약점을 이용하거나 특정 프로그램으로 사칭, 피싱메일을 이용한 방법 등이며, 2022년 1월 해외에서는 ‘Telegram’ 설치 프로그램으로 사칭해 유포되고 있음이 확인되었다. 루트킷을 이용한 악성코드는 특정 파일나 특정 프로세스 혹은 레지스트리 키…
엑셀 4.0 매크로 악성코드 실행 예방 가이드 – Microsoft Office 365 제품 Posted By ASEC , 2021년 12월 30일 엑셀 4.0 매크로 (XLM) 악성코드는 마이크로소프트 오피스 엑셀 문서 파일을 이용한 공격 방식으로, VBA (Visual Basic Application)을 뒤이어 새로운 문서 악성코드 흐름으로 자리 잡았다. 엑셀 4.0 매크로 악성코드는 엑셀 프로그램의 ‘매크로 시트’ 기능을 이용한다. 시트를 구성하는 각 셀이 실행 가능한 함수 흐름으로 되어 있는 것이 특징이다. 엑셀 4.0 매크로 악성코드는 최근 오피스 문서를 이용한 악성코드 유포 방식에서 가장 활발하게 쓰이고 있다. 매크로 코드가 저장되는 파일 바이너리의 특징과 코드 난독화 등을 이유로 안티바이러스 제품의 탐지가 VBA 방식에 비해 상당히 어렵다는 점을…