Offcanvas

������������������������

“솔라윈즈 공격 후 1년”··· 2021 네트워크 보안 사고가 남긴 교훈 4가지

2021년의 마지막 날이다. 보안 전문가들이 다가오는 2022년의 보안 문제를 전망하고 있다. 내년에 어떤 일이 일어날지 예측하는 것도 중요하지만 올 한 해를 달군 보안 위협을 뒤돌아보면서 교훈을 얻는 것도 중요하다.    솔라윈즈 공격: 벤더의 보안 태세를 알고 있어야 한다  솔라윈즈 소프트웨어 공급망 공격이 발생한 지 1년이 됐지만 아직도 이 공격 유형의 가능성을 완전하게 파악하지는 못했다. 공격자들은 은밀했고, 공격을 받은 회사 가운데 하나인 파이어아이(FireEye)가 침입을 모니터링하고 감지하는 역량이 뛰어났기 때문에 포착될 수 있었다.  기업들이 이러한 공격이 발생했는지 알 수 있는 도구와 리소스를 갖추고 있는지 의문이다. 이를 몰랐을 뿐만 아니라 알 수 있을 만한 리소스도 없는 회사가 많으리라 예상된다. 마이크로소프트에 따르면 공격자들은 높은 액세스 권한을 가진 계정을 포함해 조직의 기존 사용자 및 계정을 모방하는 SAML 토큰을 위조할 수 있었다.  이는 조직에 설치한 소프트웨어의 출처를 고려해야 한다는 뜻이다. 여기에 조직의 보안 프로세스는 말할 것도 없고, 소프트웨어 벤더와 해당 업체의 보안 프로세스까지도 신뢰할 수 있는지 확인해야 한다.  교훈: 소프트웨어 벤더와 (해당 업체의) 보안 프로세스를 검토하라. 특히 액세스 권한이 높은 계정의 비정상적인 행위를 찾아야 한다. 새 연합 트러스트를 생성하거나 메일읽기(mail.read) 또는 메일읽기/쓰기(mail..readwrite) 등의 작업을 수행하는 프로세스에 인증이 추가될 때도 조사해야 한다. 이 밖에 네트워크 경계 방화벽에서 알려진 C2 엔드포인트를 차단해야 한다.  익스체인지 서버 공격: 레거시 시스템을 보호하라  지난 3월 매우 파괴적인 공격이 발생했다. 로컬로 설치된 익스체인지 서버가 제로-데이 결함을 사용하는 직접적인 공격을 받은 것이다. 마이크로소프트는 처음엔 (이것이) 표적 공격이라고 밝혔지만, 이...

솔라윈즈 해킹 공급망 공격 보안 네트워크 보안 보안 위협 보안 사고 익스체인지 서버 공격 제로데이 취약점 프린트나이트메어 랜섬웨어 사이버 공격

2021.12.31

2021년의 마지막 날이다. 보안 전문가들이 다가오는 2022년의 보안 문제를 전망하고 있다. 내년에 어떤 일이 일어날지 예측하는 것도 중요하지만 올 한 해를 달군 보안 위협을 뒤돌아보면서 교훈을 얻는 것도 중요하다.    솔라윈즈 공격: 벤더의 보안 태세를 알고 있어야 한다  솔라윈즈 소프트웨어 공급망 공격이 발생한 지 1년이 됐지만 아직도 이 공격 유형의 가능성을 완전하게 파악하지는 못했다. 공격자들은 은밀했고, 공격을 받은 회사 가운데 하나인 파이어아이(FireEye)가 침입을 모니터링하고 감지하는 역량이 뛰어났기 때문에 포착될 수 있었다.  기업들이 이러한 공격이 발생했는지 알 수 있는 도구와 리소스를 갖추고 있는지 의문이다. 이를 몰랐을 뿐만 아니라 알 수 있을 만한 리소스도 없는 회사가 많으리라 예상된다. 마이크로소프트에 따르면 공격자들은 높은 액세스 권한을 가진 계정을 포함해 조직의 기존 사용자 및 계정을 모방하는 SAML 토큰을 위조할 수 있었다.  이는 조직에 설치한 소프트웨어의 출처를 고려해야 한다는 뜻이다. 여기에 조직의 보안 프로세스는 말할 것도 없고, 소프트웨어 벤더와 해당 업체의 보안 프로세스까지도 신뢰할 수 있는지 확인해야 한다.  교훈: 소프트웨어 벤더와 (해당 업체의) 보안 프로세스를 검토하라. 특히 액세스 권한이 높은 계정의 비정상적인 행위를 찾아야 한다. 새 연합 트러스트를 생성하거나 메일읽기(mail.read) 또는 메일읽기/쓰기(mail..readwrite) 등의 작업을 수행하는 프로세스에 인증이 추가될 때도 조사해야 한다. 이 밖에 네트워크 경계 방화벽에서 알려진 C2 엔드포인트를 차단해야 한다.  익스체인지 서버 공격: 레거시 시스템을 보호하라  지난 3월 매우 파괴적인 공격이 발생했다. 로컬로 설치된 익스체인지 서버가 제로-데이 결함을 사용하는 직접적인 공격을 받은 것이다. 마이크로소프트는 처음엔 (이것이) 표적 공격이라고 밝혔지만, 이...

2021.12.31

MS가 패치하지 않은(또는 못한) 취약점 6가지

모조리 패치를 완료했다. 이제 전적으로 안전하다! 그런데 과연 그럴까? 애석하게도 단정하기엔 이르다. 몇몇 마이크로소프트 관련 이슈는 패치가 등장하지 않을 수 있기 때문이다. 또 일부는 패치 할 수 없는 구성 문제이기도 하다.  깃허브(GitHub)에서 크리스토프 팔타는 마이크로소프트에서 아직 패치하지 않았거나 패치 할 예정이 없는 보안 문제 또는 해결하려면 수동으로 조정해야 하는 문제를 담은 ‘해결되지 않을’ 문제 목록을 시작했다. 이 목록에 오른 문제들을 살펴본다. 스풀샘플 팔타의 설명에 따르면 ‘스풀샘플(SpoolSample)’은 MS-RPRN(프린트 시스템 원격 프로토콜) 기능을 악용하여 표적 A로 하여금 공격자가 선택한 목적지(표적 B)로 인증하게 만든다. 이 목적지는 NTLM 릴레이 툴(예: ntlmrelayx 또는 inveigh)을 실행하는 또 다른 호스트인 경우가 보통이다. 이를 통해 표적 A가 최종 표적인 표적 C로 릴레이 된다. 스풀샘플 공격은 2018년 더비콘(DerbyCon)에서 리 크리스텐센, 윌 슈로더, 맷 넬슨이 최초로 제시했으며 ‘의도하지 않은 액티브 디렉터리(AD) 신뢰의 위험’이라고 불렸다.  션 멧캐프의 블로그에 지적된 바와 같이, 위임에 제한 없이 구성된 계정이 있고 컴퓨터에 프린트 스풀러(Print Spooler) 서비스가 실행 중인 경우 공격자는 그 컴퓨터의 인증 정보를 사용자로서 위임에 제한 없는 시스템으로 보내게 할 수 있다.  비슷한 문제가 2020년 5월 블로그에 ‘프린트 스푸퍼(Print Spoofer)’로 소개되었고 최근 게시물에도 비슷한 프로세스를 이용한 워크스테이션 테이크오버에 대한 내용이 올라왔다. 모종의 프린트 스풀러 프로세스와 AD를 사용하는 기지의 공격 중에는 나온 지 몇 년 되었을 뿐만 아니라 최근 프린트 스풀러 취약점의 결과로 새롭게 관심 받고 있는 것이 많다는 점이 눈에 띌 것이다. 프티포탬 공격 프티포탬(PetitPotam) 공격은 전형적인 NTLM 릴레이...

마이크로소프트 취약점 패치 스풀샘플 프티포탬 ADCS – ESC8 프린트나이트메어 리모트포테이토0 시리어스샘

2021.08.13

모조리 패치를 완료했다. 이제 전적으로 안전하다! 그런데 과연 그럴까? 애석하게도 단정하기엔 이르다. 몇몇 마이크로소프트 관련 이슈는 패치가 등장하지 않을 수 있기 때문이다. 또 일부는 패치 할 수 없는 구성 문제이기도 하다.  깃허브(GitHub)에서 크리스토프 팔타는 마이크로소프트에서 아직 패치하지 않았거나 패치 할 예정이 없는 보안 문제 또는 해결하려면 수동으로 조정해야 하는 문제를 담은 ‘해결되지 않을’ 문제 목록을 시작했다. 이 목록에 오른 문제들을 살펴본다. 스풀샘플 팔타의 설명에 따르면 ‘스풀샘플(SpoolSample)’은 MS-RPRN(프린트 시스템 원격 프로토콜) 기능을 악용하여 표적 A로 하여금 공격자가 선택한 목적지(표적 B)로 인증하게 만든다. 이 목적지는 NTLM 릴레이 툴(예: ntlmrelayx 또는 inveigh)을 실행하는 또 다른 호스트인 경우가 보통이다. 이를 통해 표적 A가 최종 표적인 표적 C로 릴레이 된다. 스풀샘플 공격은 2018년 더비콘(DerbyCon)에서 리 크리스텐센, 윌 슈로더, 맷 넬슨이 최초로 제시했으며 ‘의도하지 않은 액티브 디렉터리(AD) 신뢰의 위험’이라고 불렸다.  션 멧캐프의 블로그에 지적된 바와 같이, 위임에 제한 없이 구성된 계정이 있고 컴퓨터에 프린트 스풀러(Print Spooler) 서비스가 실행 중인 경우 공격자는 그 컴퓨터의 인증 정보를 사용자로서 위임에 제한 없는 시스템으로 보내게 할 수 있다.  비슷한 문제가 2020년 5월 블로그에 ‘프린트 스푸퍼(Print Spoofer)’로 소개되었고 최근 게시물에도 비슷한 프로세스를 이용한 워크스테이션 테이크오버에 대한 내용이 올라왔다. 모종의 프린트 스풀러 프로세스와 AD를 사용하는 기지의 공격 중에는 나온 지 몇 년 되었을 뿐만 아니라 최근 프린트 스풀러 취약점의 결과로 새롭게 관심 받고 있는 것이 많다는 점이 눈에 띌 것이다. 프티포탬 공격 프티포탬(PetitPotam) 공격은 전형적인 NTLM 릴레이...

2021.08.13

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5