Security
-
aitm(adversary-in-the-middle) 공격Security 2023. 8. 8. 01:59
외국의 IT 보안 담당자에게 10시쯤 연락을 받았다. 우리 사이트에서 공격을 당했으니 누군지 찾아내고 조치를 취해야 한다는 것이다. 그래서 이게 무슨 일인가 해서 참조된 이미지를 봤더니 aitm(adversary-in-the-middle) 공격이었다. 이제 소속이 보안팀이 아니다 보니 권한도 없고 하니 관심이 떨어졌는데.. 이 공격이 뭐지 하고 여기저기 찾아보았다. 그런데 가장 오래된 기사를 보니 1년쯤 전에 나타났었다. 일단 이 공격의 동작원리와 목적이 무엇인지 차근차근 기록해 놓도록 해야겠다. 일단 사용자 PC에서 무슨 일이 일어났는지를 확인해 보기로 했다. 사용자 PC에는 MS Defender가 설치되어 있고 로그를 추적할 수 있다. 확인해 보니 생소한 도메인을 가지고 있다. 사용자는 edge 브라..
-
웹서버의 보안 강화를 위한 SSL / TLS 설정 프로그램 IIS CryptoSecurity 2023. 8. 7. 19:01
한때 SSL 3.0 TLS 1.0 등이 보안에 취약하다고 나타났을 때, 나는 수동으로 레지스트리를 수정하거나 웹서버의 설정에서 낮은 버전의 SSL / TLS를 Disable 시켜 보안을 강화했었다. 지금은 웹서버가 보안에서 취약하다는 이유로 밴더에서 지원 중단을 시켜서 사용할 일이 없지만, 가끔 다른 지역의 SSL / TLS 보안 강화를 위해 IIS Crypto를 사용한다. 이것을 사용하는 이유는, 간편하게 GUI에서 Cipher Suite 값과 Diffie Hellman 키값을 조절할 수 있다. 프로그램 다운로드는 아래 링크에서 가능하다. Link : https://www.nartac.com/Products/IISCrypto 설치하고 나면 6개의 메뉴가 있다. About은 쓸필요가 없을 것이므로 5개의..
-
Microsoft Defender 알림 설정Security 2023. 8. 4. 02:14
관리자 입장에서 수많은 유저에게 보안 문제가 생겼는지 항상 모니터링하고 있을 수는 없다. PC가 수백 대, 수천 대가량 된다면 더더욱 그럴 것이다. 그래서 엔드포인트에 설치된 MS Defender가 보안 이슈 발생 시 관리자에게 알림을 보내도록 설정할 예정이다. 생각보다 크게 어렵지 않다. MS Defender에 보안설정 관리 권한이 있는 계정으로 로그인해야 설정이 가능하다. 메뉴중에 설정 > 엔드포인트로 진입한다. 전자 메일 알림 > 알림 규칙 추가로 진입 규칙의 이름을 입력하고 다음 설정할 알림을 선택 및 경고 심각도 선택 후 다음 알림을 받을 사람의 이메일을 추가하고 다음 입력한 정보를 확인했다면 제출하여 규칙 생성을 마무리 참조 링크 : https://learn.microsoft.com/ko-kr..
-
CVE-2022-3786 CVE-2022-3602 취약점 해결 방법Security 2022. 11. 2. 12:52
아침에 온 메일을 확인하는 도중에 인증서를 유지보수하는 업체에서 온 메일을 확인했는데, CVE-2022-3786 CVE-2022-3602 취약점에 대한 내용이었고 운영하는 서버에서 취약점이 있는지 확인해야 한다는 것이다. 그래서 이 메일을 읽는 즉시 내용을 읽어보고 서버에 대한 정보를 확인해 보았다. 다헹이 나는 해당사항이 없지만, 어떻게 하면 해결할 수 있는지 알아보자. CVE-2022-3786 CVE-2022-3602 두개의 취약점은, OpenSSL 3.0.0 - 3.0.6에서 발견된다고 되어 있다. 이메일 주소 버퍼 오버플로우가 발생할 수 있다고 되어 있다. 그리고 해커가 이를 악용하여 DoS(Denial of Service)를 일으킬 수도 있다고 되어 있다. 서비스에 DoS공격을 받으면 서비스를 ..
-
macOS 7000번 포트는 어디에 사용하는 것일까?Security 2022. 11. 1. 13:38
얼마 전에 글로벌 보안팀에서 특정 PC의 7000번 포트가 누군가에 의해 접근되고 있으며, 인증에 실패하여 접속하지 못한 것으로 보인다고 연락이 왔다. 그리고 문제를 일으킨 장치는 새로 설치한 mac이었다. 그렇다면 macOS 7000번 포트는 어디에 사용 중인 것일까? 애플 홈페이지에서 기본적으로 애플 장비들이 사용하는 포트를 확인해봤다. 7000번은 공식적으로 기록되어 있는것이 없다. 그래서 기타 애플 관련 포럼과 discussions.apple.com 페이지에서 이 정답을 찾을 수 있었다. 7000번 포트는 AirPlay에서 사용하는 포트였다. Wireshark로 진단한 결과값을 보여주었는데, TCP 7000번이었다. 굳이 이 맥에서 AirPlay를 사용할 일이 없으므로, AirPlay 수신 기능을..
-
Samba 4.0 일부 버전 취약점Security 2022. 10. 18. 13:46
감사가 다가오니 다시 취약점 스캐닝을 열심히 당하는 중이다. 1년에 한 번 감사이지만 감사일에 가까워 올수록 더욱 압박이 심해진다. 내 사무실은 늘 문제가 없고 해외 사무실의 스캐닝 결과를 받았고 그중에 Samba 4.0 취약점이 발견되었다. 그래서 이 문제를 해결하기 위해 참조 문서를 보았다. 그리고 이것과 관계되어 있는 3개의 CVE 코드는 권한 상승 및 트래픽 가로채기 등 굉장히 위험한 취약점이다. 이 문제를 해결하려면 간단하게 Samba를 업데이트하면 된다고 되어 있다. 상당히 위험한 취약점 이기 때문에 사용하는 프로그램 및 애플리케이션에서 펌웨어 업데이트 등을 통해 진행될 것이다. 나는 QNAP NAS에서 취약점이 있다고 나타났고 QNAP에 확인해보니 펌웨어 업데이트를 통해 문제가 해결된다는 것..
-
Built-in Guest Account Not Renamed at Windows Target System 취약점 해결 방법Security 2022. 7. 21. 03:36
계속해서 Proxy PC의 취약점을 체크받는 중인데 이번에는 처음 보는 취약점이 나타났다. Built-in Guest Account Not Renamed at Windows Target System이라는 취약점이다. 해석해보면, 기본 게스트 계정의 이름을 바꾸지 않은 것이 문제라는 것인데 이미 게스트 계정을 사용안함을 해 놓았지만 이것이 왜 취약점인지는 잘 이해가 되지 않는다. 게스트 계정의 기본 이름을 사용하지 않음으로써 접근을 좀 더 어렵게 하라는 것으로 보인다. 이 PC는 윈도우10 PC이고 로컬 그룹 정책 편집기에서 변경이 가능하다. Windows + R(실행)을 눌러 gpedit.msc를 입력하면 로컬 그룹 정책 편집기로 진입할 수 있다. 컴퓨터 구성 > Windows 설정 > 보안 설정 > 로..
-
Microsoft Edge Chromium 취약점 해결 방법Security 2022. 7. 20. 02:17
Proxy PC를 설치하고 보안 담당자에게 점검을 받았다. 스캐닝을 한 레포트를 받아봤더니 Microsoft Edge Chromium 취약점이 발견되었다. 그리고 이 취약점을 해결하는 방법 간단하지만 적어놓는다. 검색해보니 꽤 위험한 등급의 취약점으로 보여진다. Edge 103.0.1264.44 미만을 사용하는 경우에 취약하다고 되어 있다. 그리고 주 내용은 권한 상승 취약점이 있다고 되어 있었다. 해결 방법은 Edge 브라우저를 업데이트를 하면 된다. 이미 취약점이 개선되어 배포된 Security Update가 존재한다. 나는 Edge를 재설치 하였다. 그리고 다시 체크하니 문제가 사라졌다. 쉽게 해결되지만 위험한 취약점이므로 어서 업데이트 하도록 하자.