이번 주 보안 다이제스트에서는 오픈 소스 프로젝트와 Windows에서 발견 된 다양한 문제와 취약점에 대해 논의 할 것입니다.
리눅스 커널은 넷필터 서브시스템에서 무료로 사용할 수 있습니다.
Linux 커널 넷필터 하위 시스템 내에서 사용 후 무료 쓰기 취약점이 확인되었습니다. 이 문제를 트리거하려면 시스템에 사용자/net 네임스페이스를 만들 수 있는 권한이 필요하며 이 취약점을 악용하여 영향을 받는 시스템에서 루트로 권한 에스컬레이션을 달성할 수 있습니다.
이 약점은 표현식을 파괴하기 전에 집합의 바인딩 목록에서 표현식을 제거하지 못하는 것과 관련이 있습니다. 이것은 여러 표현식에 영향을 미치지 만 최소한 "조회"및 "dynset"표현식에 영향을 미치는 것으로 나타났습니다.
이 작업은 집합 바인딩 목록을 나중에 사용하면 링크 포인터 주소를 이미 해제되어 재할당될 가능성이 있는 슬래브 개체에 쓰는 상태가 됩니다. 이 취약점에 대한 자세한 내용은 연구원의 원래 공개를 참조하십시오. 취약점을 완화하기 위한 패치 는 2022년 5월 26일에 커밋되었습니다.
"ctx"와 "phpass"를 사용한 소프트웨어 공급망 공격
두 개의 악성 Python PHP 패키지는 오픈 소스 생태계를 겨냥한 소프트웨어 공급망 공격을 수행하는 것으로 밝혀졌습니다. 패키지 중 하나는 "ctx"입니다. Python PyPi 저장소에서 사용할 수 있는 모듈입니다. 다른 하나는 악성 업데이트를 배포하기 위해 GitHub에서 분기 된 PHP 패키지 인 "phpass"와 관련이 있습니다.
악성 업데이트가 2022년 5월 21일 "ctx"에 도입 되었습니다. 두 패키지 모두 2014 년 12 월 19 일에 릴리스되는 "ctx"에 대한 마지막 합법적 인 업데이트와 2012 년 8 월 31 일에 "phpass"의 경우 유지 관리되지 않습니다. 핵심에서, 수정은 유출되도록 설계되었습니다. AWS Heroku URL에 대한 자격 증명을 사용하면 가해자가 모든 환경 변수를 가져 와서 Base64에서 인코딩하고 가해자의 통제하에 웹 앱으로 데이터를 전달하려고하는 것으로 보입니다.
책임있는 개인은 만료 된 도메인을 구입하고 암호 재설정 링크를 보내 유지 관리자의 버려진 PyPi 계정을 납치 할 수있었습니다.
Follina – Windows의 Microsoft Support Diagnostic Tool (MSDT)의 RCE 취약점
Word와 같은 호출 응용 프로그램에서 URL 프로토콜을 사용하여 MSDT를 호출할 때 원격 코드 실행 취약점이 존재합니다. 이 악성 문서는 Word 원격 템플릿 기능을 사용하여 원격 웹 서버에서 HTML 파일을 검색하고, 원격 웹 서버는 ms-msdt MSProtocol URI 스키마를 사용하여 일부 코드를 로드하고 일부 PowerShell을 실행합니다. CVE-2022-30190은 제로 데이로 Office 제품에서 코드를 실행할 수 있습니다.
이 취약점 악용에 성공한 공격자는 호출 응용 프로그램의 권한으로 임의 코드를 실행할 수 있습니다. 그런 다음 공격자는 프로그램을 설치하거나, 데이터를 보거나, 변경하거나, 삭제하거나, 사용자의 권한에서 허용하는 컨텍스트에서 새 계정을 만들 수 있습니다.
Microsoft는이 결함이 여전히 보안 업데이트를받는 모든 Windows 버전 (Windows 7 + 및 Server 2008 +)에 영향을 미친다고 말합니다. 공급업체에 따르면 관리자와 사용자는 악의적인 행위자가 문제 해결사를 시작하고 취약한 시스템에서 코드를 실행하는 데 사용하는 MSDT URL 프로토콜을 사용하지 않도록 설정하여 CVE-2022-30190을 악용하는 공격을 차단할 수 있습니다. Windows 장치에서 MSDT URL 프로토콜을 사용하지 않도록 설정하려면 Microsoft의 보안 지침을 참조하세요. Microsoft에서 패치를 릴리스한 후 해결 방법을 실행 취소하고 권장 패치를 적용할 수 있습니다.
내용