윈도우 RDG에서 발견된 두 가지 취약점, 개념증명 익스플로잇 등장

원격 데스크톱 프로토콜의 라우팅 서비스를 담당하는 RDG...메모리 변형 취약점 나와

MS가 배포한 패치 적용하는 게 최우선이나, 특정 UDP를 비활성화 해도 도움돼

[보안뉴스 문가용 기자] 최근 패치된 원격 데스크톱 게이트웨이(Remote Desktop Gateway, RDG) 취약점 두 가지에 대한 개념증명 익스플로잇이 발표됐다. 이 두 가지 취약점을 성공적으로 익스플로잇 할 경우 원격 코드 실행이 가능하다는 것이 입증됐다.

원격 데스크톱 게이트웨이는 윈도우 서버의 구성 요소 중 하나로, 이전에는 터미널 서비스 게이트웨이(Terminal Services Gateway)라고 불렸다. 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP) 서비스를 직접 인터넷에 노출시키지 않게 하는 것으로, 이론상 공격 표면을 줄여주는 기능을 담당한다. RDP를 위한 일종의 라우팅 서비스라고도 볼 수 있다.

​ 

뉴욕, 랜섬웨어 공격자들에게 돈 내는 것 금지시킨다?

새로운 법안 발의...주에 소속된 시 기관들은 랜섬웨어 공격자들과 협상 금지

공격자들에게 ‘돈 주지 않겠다’고 선포한 것...그러나 후폭풍 예상되기도 해

[보안뉴스 문가용 기자] 미국의 뉴욕 주에 소속된 시 기관들은 이제 랜섬웨어 협박에 응할 수 없을 것으로 보인다. 뉴욕 주의 의원이 랜섬웨어 공격에 당했다 해도 범인들에게 돈을 줄 수 없게 하는 법안을 발의했기 때문이다.

최근 미국에서는 주와 시 기관을 노린 랜섬웨어 공격이 성행하고 있다. 여러 시장들이 모여서 돈을 내지 않겠다고 성명서까지 발표했지만, 많은 기관들이 돈을 내고 데이터를 복구하는 쪽을 선택하고 있다. 그래서 주 의원인 필 보일(Phil Boyle), 조지 보렐로(George Borrello), 수 세리노(Sue Serino)가 S7246 법안을 발의하게 되었다고 한다.

법안은 랜섬웨어 공격자들에게 돈을 지불하고 시스템을 복구한다는 선택지를 없애기 위한 것이지만, 사실상 랜섬웨어 공격자들에게 ‘너희는 받을 돈이 없다’고 선포하는 효과를 가질 것으로 보인다. 통과된다면 뉴욕 주 전체에 적용될 예정이다.

​ 

참조사이트  
 http://www.dailysecu.com
 http://www.boannews.com
 http://www.boan.com
 http://www.dt.co.kr/
 http://www.datanet.co.kr/
 http://www.itdaily.kr


 [패치 및 업데이트]
 Citrix 제품군 취약점 보안 업데이트 권고

□ 개요

 o Citrix 社는 자사 제품군의 취약점을 해결한 보안 업데이트 발표 [1]

 o 공격자는 취약점을 악용하여 피해를 발생시킬 수 있으므로, 해당 Citrix 제품을 사용하는 이용자들은 Citrix 홈페이지를 참고하여 조치 권고

□ 설명

 o Citrix의 ADC, Gateway 및 SDWAN WANOP Edition에서 공격자가 인증을 우회하여 임의코드를 실행할 수 있는 취약점(CVE-2019-19781) [1]

□ 영향을 받는 버전 및 패치 버전

 o Citrix ADC 및 Citrix Gateway

 o Citrix SD-WAN WANOP(4000, 4100, 5000, 5100)

  ※ Citrix 홈페이지를 참고하여 패치 적용 [2][3]

□ 기타 문의사항

 o 한국인터넷진흥원 사이버민원센터 : 국번없이 118

[참고사이트]

[1] https://support.citrix.com/article/CTX267027

[2] https://www.citrix.com/downloads/citrix-adc/

[3] https://www.citrix.com/downloads/citrix-gateway/

 [최신 바이러스 정보]

Trojan/Win32.RL_Kryptik.C3956000

최초 발견일: 2020-01-28

종    류: 트로이목마, 트로이목마(정보유출)

형    태: 실행파일

감염/설치경로: 파일실행, 메일, 다운로드

설   명: ​ Trojan/Win32.RL_Kryptik.C3956000는 원본파일을 숨김속성 한 뒤 사용자가 알기 힘든 경로에 자가복제한 파일을 드랍한다.

  ​

[보안TIP]

[긴급] ‘우한폐렴’ 공지 사칭 피싱 메시지 출현... 특정 카카오채널 홍보 노려

[보안뉴스 권 준 기자] 전 세계가 신종 코로나 바이러스 감염증 일명 ‘우한폐렴’ 공포에 휩싸인 가운데 우리나라도 네 번째 확진자가 발생하면서 감염 확산 우려가 커지고 있다.

중국 우한지역에서 시작돼 ‘우한폐렴’이라고도 불리는 신종 코로나 바이러스 감염증의 경우 중국에서만 3천명에 육박하는 환자가 발생했고, 우리나라는 물론 미국, 유럽, 아시아 등 전 세계 각지에서 확진 환자가 늘어나면서 급속히 확산되고 있다.

이러한 와중에 우한폐렴과 관련한 가짜뉴스가 횡행하고, 우한폐렴 공지를 사칭한 피싱 메시지까지 무작위로 유포되면서 사람들의 공포심을 부추기고 있다.

27일 유포된 것으로 추정되는 피싱 메시지의 경우 ‘[Web발신] 국내 우한폐렴 급속도확산 감염자 및 접촉자 신분정보 확인하기’라는 문구와 함께 ‘news.naver.com.xco.kr’ 웹사이트 주소가 함께 기재돼 있다.

보안전문가에 따르면 피싱 메시지에 포함된 해당 웹사이트는 특정 자산관리사의 카카오채널로 연결이 되며, 해당 채널은 ‘수익을 쉽게 내는 방법’으로 홍보를 하는 채널로 드러났다. 사용자의 카카오 계정이 자동 접속되어 있는 경우 자산관리사의 카카오채널로, 카카오 계정이 접속되어 있지 않은 경우는 카카오 로그인 페이지로 연결되는 것이다.

웹사이트 주소는 네이버 뉴스 페이지와 유사한데, 실제 연결되는 웹페이지는 특정 자산관리사의 카카오채널 페이지로 연결되는 식으로, 전 국민적 관심사를 악용해서 자기 채널 홍보에 급급하고 있는 것이다. 비록 계정탈취 피싱은 아니지만, 일종의 카카오채널 홍보용 광고형 피싱인 셈이다.

이렇듯 최근 ‘우한폐렴’ 공포가 확산되고 있는 상황을 노린 피싱 메시지나 악성 메일, 스팸 메일 등이 기승을 부리고 있는 만큼 네이버나 카카오(다음) 등의 포털 사이트를 비롯한 각종 웹사이트의 로그인 시에는 웹사이트 주소를 다시 한번 살펴보는 등 각별한 주의가 필요하다.

http://www.krcert.or.kr/data/secNoticeList.do
http://www.microsoft.com/korea/security/default.mspx
http://www.adobe.com/kr/downloads/updates/