내맘대로

그래도 리버싱 해봤네 정도..아닐까? ㅋㅋㅋ

자신은 없지만 앞으로 더 잘 해내가야지요~

진짜로 거의 2년..?만에 블로그 들어와서

뭐라도 글 써야되려나, 아니면 이젠 깃헙에서 블로그 비슷하게 하는거로 제대로 맘잡고 시작해볼까 하다가

일단 칼을 빼낸이상 뭐라도 써야겠다 싶어서 threatpost를 들어갔다.

들어가니까 메인에 Adobe Reader 제로데이 관련 소식이 떠서 읽고 써보기로 했다

(진짜 동향파악은 조금만 놓쳐도 훌쩍가버리는데..)

https://threatpost.com/temporary-patch-released-for-adobe-reader-zero-day/141701/

어쨌든 article을 보면, 이 취약점에 대한 temp-patch가 이루어졌으며, 

취약점을 이용해서 remote에서 NTLM 해쉬값을 탈취할 수 있다고 한다.

NTLM? 처음들어봤지만.. 검색해보니 인증 메커니즘 중 하나라 한다.

NTLM에 대해 찾아보니 Kerberos 방식에 대해서도 나오길래, 둘 다 많이들 (하나는 윈도우에서만..?) 

사용되는 방식이길래 더 자세히 알아보는 것도 좋을거 같다.

어찌되었건 NTLM hash값을 얻을 수 있다하니, 윈도우즈 시스템의 

굉장히 중요한 영역의 data를 얻을 수 있다는 의미로 받아들이면 될 거 같다.

그럼 좀 더 전문적인 내용을 얻기 위해 article에서 reference된 기술 블로그를 보자

https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

취약점 한줄 설명

-> pdf 파일을 열면, 공격자의 서버로 SMB request를 날리게 되어 user의 NTLM hash를 훔칠 수 있다!

우선 이전에 있었던 Bad-PDF (CVE-2018-4993) 취약점에 대해 설명하고 있다. 

이 취약점은 pdf 파일에 특정 element로 파일 open시에 trigger되어, remote share로

다른 pdf 파일을 load 할 수 있는 취약점이었다고 한다.

adobe는 이를 패치할 때, 근본적인 문제 해결이 아닌, remote share로 파일이 load 될 때,

warning alert가 뜨도록 기능을 추가했다고 한다.

그런데! 이걸 우회해서 XML stylesheet을 UNC path 에서부터 읽어들여오면 

이러한 alert가 뜨지 않는다고 한다.

UNC path는 공유폴더에 있는 resource를 나타내는 path라는데..

http로 load하면 alert가 뜬다고 하고.. 

뭔가 오래된 제품들은 이런거를 제대로 엎고 다시 개발하는데에는 무리가 있어서

뭔가 당장에 간단하게만 수습하나보다..

원론적인 문제 해결에 있어서 어려움이 있어보인다.

(아니면 내가 알못..이라 단편적으로 보면 그래보일수도 ㅎㅎ..)

근데 "phone home" 이란게 집에 전화하다.. 말고 다른 의미로 쓰이나보다

https://www.webopedia.com/TERM/P/phone_home.html

동의를 구하지 않고 프로그램을 설치해버리는 설치방법을 뜻하는 slang~

https://hackaday.com/2018/01/15/spectre-and-meltdown-how-cache-works/

facebook exploitwarelabs에서 공유했길래 한번 봤다.

쉬운 설명을 위해 위해 간략화 된 내용들이었다.

위키가 내용이 더 많을껄?

드디어..

배운거 가지고(혹은 배워 가면서)

뭐라도 만들고 싶은 마음에 프로젝트를 계획하게 되었다!

Back, Front 둘 다 처음부터 해보면서 Web Application을 만들어 보는게 좋을거 같았다.

식상한 것들보다 (블로그..) , 그냥 있으면 좋겠다 / 만들어보고 싶다 등 생각나는 것들 중에서 고르고 골라

Task Manager를 만들기로 계획했다

개인프로젝트로 할 예정이고 ( 힘들면 주변 친구 끌어다가..), 소스는 오픈할 예정이다(깃헙에 올릴게요)

일단, 이번주 내에 concept 제대로 잡고, 기능 정의 하고

개발환경 설정하고 하면 될거 같다.

백앤드는 무조건 파이썬 쓸거고, NoSQL도 써보고 싶고(연동만 쉽게 된다면..)

나중에 구체적인거 나오면 포스팅해야겠음

google keep메모 정리하던중에

이런걸 발견함

그래서 toc-tou에 대해 알아보기로 했다

친구가 예전에 알아보라고 알려준 건데..

tic-tou(Time of Check to Time of Use)

 > 위키백과와 CWE를 본 후

저 toc-tou 풀어쓴거 직역한거랑 의미 비슷함

어떠한 자원이나 기능을 사용하는 것에 있어서, 이에 대해 확인(인증) 후 사용 할 때, 그 사이에 대상을 수정한다든지

영향을 줘서 의도치 않은 동작을 하게 만드는 것! 이다.

race(경쟁) condition에 속하고, 버그클래스로 취급된다

예제를 하나 보도록 하자

공격이 성공하려면, 타이밍이 맞아떨어져야 한다.

보통 원하는 파일을 같은 이름으로 symbolic link 생성해서 접근한다고 한다.

> 리눅스에서는 이를 통해, 파일로 취급되는 소켓과 같은 것들에 접근이 가능함

공격 방식은, 그냥 브루트포싱(..) 하는거랑, 매 연산(?)마다 실행되도록 설정하는(schedule) single-stepping 등이 있다고 한다.

다음 글에는 실습과 방어기법(예방법)을 알아보도록 노력..하겠ㄷr..

+ 잘 정리된 문서(번역된 문서라 약간 어색)

> https://wiki.kldp.org/HOWTO/html/Secure-Programs-HOWTO/avoid-race.html

정말 잘 번역된 글들이 있어서 감사한 반면

발..번역된 글은 원문 읽는게 더 빠르게 이해될 거 같다( 영어만.. )

흑흑죄송합니다