내맘대로

그래도 리버싱 해봤네 정도..아닐까? ㅋㅋㅋ

자신은 없지만 앞으로 더 잘 해내가야지요~

진짜로 거의 2년..?만에 블로그 들어와서

뭐라도 글 써야되려나, 아니면 이젠 깃헙에서 블로그 비슷하게 하는거로 제대로 맘잡고 시작해볼까 하다가

일단 칼을 빼낸이상 뭐라도 써야겠다 싶어서 threatpost를 들어갔다.

들어가니까 메인에 Adobe Reader 제로데이 관련 소식이 떠서 읽고 써보기로 했다

(진짜 동향파악은 조금만 놓쳐도 훌쩍가버리는데..)

https://threatpost.com/temporary-patch-released-for-adobe-reader-zero-day/141701/

어쨌든 article을 보면, 이 취약점에 대한 temp-patch가 이루어졌으며, 

취약점을 이용해서 remote에서 NTLM 해쉬값을 탈취할 수 있다고 한다.

NTLM? 처음들어봤지만.. 검색해보니 인증 메커니즘 중 하나라 한다.

NTLM에 대해 찾아보니 Kerberos 방식에 대해서도 나오길래, 둘 다 많이들 (하나는 윈도우에서만..?) 

사용되는 방식이길래 더 자세히 알아보는 것도 좋을거 같다.

어찌되었건 NTLM hash값을 얻을 수 있다하니, 윈도우즈 시스템의 

굉장히 중요한 영역의 data를 얻을 수 있다는 의미로 받아들이면 될 거 같다.

그럼 좀 더 전문적인 내용을 얻기 위해 article에서 reference된 기술 블로그를 보자

https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

취약점 한줄 설명

-> pdf 파일을 열면, 공격자의 서버로 SMB request를 날리게 되어 user의 NTLM hash를 훔칠 수 있다!

우선 이전에 있었던 Bad-PDF (CVE-2018-4993) 취약점에 대해 설명하고 있다. 

이 취약점은 pdf 파일에 특정 element로 파일 open시에 trigger되어, remote share로

다른 pdf 파일을 load 할 수 있는 취약점이었다고 한다.

adobe는 이를 패치할 때, 근본적인 문제 해결이 아닌, remote share로 파일이 load 될 때,

warning alert가 뜨도록 기능을 추가했다고 한다.

그런데! 이걸 우회해서 XML stylesheet을 UNC path 에서부터 읽어들여오면 

이러한 alert가 뜨지 않는다고 한다.

UNC path는 공유폴더에 있는 resource를 나타내는 path라는데..

http로 load하면 alert가 뜬다고 하고.. 

뭔가 오래된 제품들은 이런거를 제대로 엎고 다시 개발하는데에는 무리가 있어서

뭔가 당장에 간단하게만 수습하나보다..

원론적인 문제 해결에 있어서 어려움이 있어보인다.

(아니면 내가 알못..이라 단편적으로 보면 그래보일수도 ㅎㅎ..)

근데 "phone home" 이란게 집에 전화하다.. 말고 다른 의미로 쓰이나보다

https://www.webopedia.com/TERM/P/phone_home.html

동의를 구하지 않고 프로그램을 설치해버리는 설치방법을 뜻하는 slang~

https://hackaday.com/2018/01/15/spectre-and-meltdown-how-cache-works/

facebook exploitwarelabs에서 공유했길래 한번 봤다.

쉬운 설명을 위해 위해 간략화 된 내용들이었다.

위키가 내용이 더 많을껄?

드디어..

google keep메모 정리하던중에

이런걸 발견함

그래서 toc-tou에 대해 알아보기로 했다

친구가 예전에 알아보라고 알려준 건데..

tic-tou(Time of Check to Time of Use)

 > 위키백과와 CWE를 본 후

저 toc-tou 풀어쓴거 직역한거랑 의미 비슷함

어떠한 자원이나 기능을 사용하는 것에 있어서, 이에 대해 확인(인증) 후 사용 할 때, 그 사이에 대상을 수정한다든지

영향을 줘서 의도치 않은 동작을 하게 만드는 것! 이다.

race(경쟁) condition에 속하고, 버그클래스로 취급된다

예제를 하나 보도록 하자

공격이 성공하려면, 타이밍이 맞아떨어져야 한다.

보통 원하는 파일을 같은 이름으로 symbolic link 생성해서 접근한다고 한다.

> 리눅스에서는 이를 통해, 파일로 취급되는 소켓과 같은 것들에 접근이 가능함

공격 방식은, 그냥 브루트포싱(..) 하는거랑, 매 연산(?)마다 실행되도록 설정하는(schedule) single-stepping 등이 있다고 한다.

다음 글에는 실습과 방어기법(예방법)을 알아보도록 노력..하겠ㄷr..

+ 잘 정리된 문서(번역된 문서라 약간 어색)

> https://wiki.kldp.org/HOWTO/html/Secure-Programs-HOWTO/avoid-race.html

source

> https://motherboard.vice.com/en_us/article/hackers-unlock-samsung-galaxy-s8-with-fake-iris

내용

적당히 가까운 거리에서 야간 모드로 찍은 사진으로 눈 부분을 적외선 이미지 처리한 후, 이미지에 depth(명암?)을 주고 렌즈에 붙여서 했더니 인식 성공!

삼성 프린터로 했더니 결과가 잘 나왔다고..

처음에 들었을 때는 무조건 인증되는 만능 키를 얻은줄로만 알았었는데, 다행이 그거보단 덜한 이슈라 다행이라 느꼈다

S8에서 직접 인식할 때 적당한 거리(책상위에 손 올리고 허리 핀 정도..?)에서 인식하는 걸로 보아 엄청 세밀하게 처리하는 것은 

아닌것 같았다(그래도 잘 만들었겠죠)

더 강화되어야 하지 않을까..? 하는 생각이 든다. article 들 보면 "laughably easy" 라 할 정도로 쉽게 뚤렸다 평가한다

홍채 인식은 아직 실제적으로 사용할 단계가 아니다 / 생체인식 인증 방법 중 유일성에서 큰 장점이 있다

이렇게들 평가하던데, 솔직히 사용성이 늘면 안전(보안)성이 낮아지고, 보안에 신경을 쓰면 사용성이 떨어지고..

적당한 선을 찾는데 있어서 좋은 해결구를 찾기를 바란다 ㅜㅠ 그런 사람이 될 수 있도록