보안 현장에 관심이 있으시다면 이번 달에 발견된 다양한 보안 문제에 대한 많은 소문을 눈치채셨을 것입니다. 즉, MS16-039 게시판에 설명된 대로 Microsoft 그래픽 구성 요소의 치명적인 취약점, Badlock 버그라고 하는 것에 대한 이야기 및 소문, Firefox 애드온 사용과 관련된 위험이 있습니다. 클릭 베이트 과대 광고 넌센스에 지나지 않는다는 점을 제외하고는 모두 훌륭합니다.
기사를 읽으면서 분노가 최고조에 달해 이 기사를 쓰기까지 하루나 이틀을 기다려야 했습니다. 그렇지 않으면 독과 욕설에 불과했을 것입니다. 그러나 이번 달에 생성된 무의미하고 아마추어적이고 선정적인 해커 지망생 보안 설사의 급류로부터 자신을 표현하고 인터넷 사용자를 보호하는 것이 중요합니다. 나를 따르라.
당신의 모든 라그나로크는 우리의 것입니다.
Noscript 및 기타 추가 기능으로 수백만 명이 새로운 공격에 노출됨
디지털 염소 축제라고만 설명할 수 있는 것으로 트래픽을 유도하지 않기 위해 문제의 기사에 링크하지 않겠습니다. 본질적으로 이 기사는 모든 Firefox 부가 기능이 동일한 네임스페이스를 공유하기 때문에(예:메모리 격리가 없음) 잠재적으로 악의적인 부가 기능이 다른 부가 기능을 스누핑할 수 있음을 알려줍니다. 그 이야기입니다. Firefox 사용자에게 엄청난 보안을 제공하는 매우 유용하고 중요한 추가 기능인 Noscript는 아이러니하게도 이 기사에서 선정되었습니다.
넌센스를 완료하십시오.
문제는 물론 트래픽을 운전하는 것 외에 좋은 두려움과 같은 페이지 조회수를 생성하고 생성하는 것은 없으며 기사는 독자에게 유용하고 실행 가능한 정보를 한 조각도 제공하지 않는다는 것입니다. 강조 표시된 문제는 사용자가 악성 애드온을 직접 설치하는 경우에만 문제가 될 수 있기 때문입니다. 예, 맞습니다. 자신을 감염시키면 감염될 수 있습니다. 이런 젠장, 셜록. 자, 어떻게 이런 일이 일어날 수 있습니까:
서명되지 않은 추가 기능을 직접 설치합니다. 스스로 감전시키십시오.
Mozilla 리포지토리에서 추가 기능을 검사, 테스트 및 디지털 서명한 후 설치합니다. 즉, 애드온 서버가 해킹된다면 다른 확장을 노리는 확장보다 사용자의 문제가 훨씬 더 커질 것이다.
그런 다음 그러한 공격의 유효성이 있습니다. 시스템에 대한 권한 있는 액세스 권한을 얻을 수 있는 경우 다른 확장 프로그램에 대한 도청은 가장 유용하지 않은 작업입니다. 누군가의 전화를 도청한 다음 침대 밑에 숨어 통화를 듣는 것과 같습니다. 또는 그러한 비유. 무슨 상관이야.
즉, 이 잠재적인 보안 문제는 전혀 문제가 되지 않습니다. 시스템을 손상시키려는 사용자의 능동적이고 의도적인 상호 작용이 필요합니다. 그 문제에 대해 어떤 맬웨어로 컴퓨터를 감염시킬 수 있습니다. 단일 네임스페이스가 있는 다른 항목이 무엇인지 아십니까? 당신의 커널.
Microsoft 게시판 MS16-039
이것은 흥미로운 것입니다. 이 특정 항목에 대한 상위 20개 결과는 모두 한 가지 공통점이 있습니다. 즉, 단일 독창적인 생각이나 가치 있는 의견을 제공하지 않고 실제 조언을 한 단어씩 복사하여 붙여넣은 것입니다. 그것이 저널리즘이라면 저는 셰익스피어입니다.
이 20개의 웹 사이트 중 단 하나의 출처에서만 악용에 대한 탁월한 보호 기능을 제공하는 Microsoft에서 개발한 매우 유용하고 중요한 완화 프레임워크인 EMET를 언급했습니다. 하지만 이봐, 그건 충분히 극적이지 않아! 그리고 보안 관련 블로그 중 단 한 곳만이 문제를 설명하고 문제가 어떻게 해결될 수 있는지 설명하는 데 어느 정도 시간이 걸렸습니다.
4개의 개별 취약점이 있으며 그 중 3개는 로컬입니다. 많은 사람들이 조직에서 일하는 회사가 아니면 지루합니다. 하나는 사용자가 특별히 제작된 문서를 열거나(직접 감전시키십시오) 악성 글꼴이 포함된 페이지를 방문하는 경우 원격 실행 문제일 수 있습니다.
이 보안 업데이트는 Microsoft Windows, Microsoft .NET Framework, Microsoft Office, 비즈니스용 Skype 및 Microsoft Lync의 취약성을 해결합니다. 가장 심각한 취약성은 사용자가 특수 제작된 문서를 열거나 특수 제작된 내장 글꼴이 포함된 웹 페이지를 방문하는 경우 원격 코드 실행을 허용할 수 있습니다.
자, 이 시점에서 제가 묻고 싶습니다. 좋습니다. 문제를 적어 두셨습니다. 다음은 무엇입니까? 익스플로잇은 실제로 어떻게 작동합니까? 사용자는 실제로 이로부터 자신을 어떻게 보호합니까?
아무것도 아님. 고요. 이 모든 드라마를 불평하고 쓰는 사람들은 실제로 돕고 싶지 않기 때문입니다. 그들은 관심을 끌고 두려움과 선전으로부터 이익을 얻고 싶어합니다. 그리고 실제로 도움을 주는 데 필요한 기술 전문 지식이 없을 가능성이 큽니다. 그것들을 쓸모 없게 만듭니다.
적절한 분석
그래서 무엇을 주는지 봅시다. 먼저 Microsoft에서 제공하는 보안 업데이트를 실제로 설치할 수 있습니다. 별거 아니야. 즉, 어떤 특정 조언도 특별한 언급을 보장하지 않습니다. 그러나 기술적인 측면을 살펴보고자 하는 경우 Microsoft는 이에 대해 작성하는 블로그와 달리 이 주제에 대한 많은 유용한 정보를 제공합니다.
4개의 취약성 중 3개는 권고 CVE-2016-143, -165 및 -167로 식별된 다중 Win32k 권한 상승 취약성 범주에 속합니다. 그들은 모두 로컬이며 이들 중 두 개는 활성 익스플로잇을 가지고 있습니다. 대다수의 가정 사용자에게는 흥미롭지 않습니다.
네 번째인 그래픽 메모리 손상 취약점 CVE-2016-0145는 임베디드 글꼴에 관한 것입니다. 현재는 공개되거나 악용되지 않았습니다. 그러나 그것은 실제로 당신을 위로하거나 걱정해서는 안됩니다. 모든 것이 교육에 관한 것이기 때문입니다. 우리는 오늘 패치되는 것에 대해 걱정하고 싶지 않습니다. 우리는 스포트라이트를 받는 순간이 있든 없든 관계없이 유사한 성격의 잠재적인 미래의 모든 취약점을 해결할 수 있기를 바랍니다.
즉, 포함된 글꼴에 집중해야 합니다. 이것이 문제의 원인입니다. 악성 임베디드 글꼴이 웹 페이지에 존재하고 사용자가 해당 페이지를 방문하면 시스템 글꼴 라이브러리가 미쳐버리고 임의의 코드 실행이 허용될 수 있습니다.
즉, 포함된 글꼴을 중지하고/하거나 불법적인 방식으로 글꼴 라이브러리를 호출하는 브라우저를 중지하려고 합니다. 이러한 벡터 중 하나 또는 둘 다 중지되면 악용을 방지할 수 있습니다.
첫 번째는 포함된 글꼴을 허용하지 않음으로써 해결할 수 있습니다. 일반적으로 포함된 글꼴은 @font-face CSS 규칙을 사용하여 표시됩니다. 즉, 페이지가 로드될 때 이 특정 CSS 규칙이 구문 분석되지 않도록 하면 포함된 글꼴이 로드되지 않고 잠재적인 악용이 실행되지 않습니다.
이제 Noscript와 이전에 어떻게 비방을 받았는지 기억하십니까?
Noscript는 신뢰할 수 없는 페이지에서 실제로 @font-face를 차단합니다!
따라서 실제로 Noscript는 수백만 명을 위험에 빠뜨리지 않을 뿐만 아니라 실제로 수백만 명이 포함된 글꼴의 잠재적인 문제에 노출되지 않도록 도와줍니다. 실제 정당성없이 얼마나 많은 과대 광고와 드라마가 있는지 보여줍니다. 하지만 이제 막 시작했을 뿐입니다.
두 번째 벡터는 불법적인 방식으로 글꼴 라이브러리를 호출하여 미쳐가는 브라우저입니다. 이것이 바로 Enhanced Mitigation Experience Toolkit의 용도입니다. 매우 멋진 보안 도구입니다. 제로 발자국, 말도 안됩니다. 좋은 응용 프로그램과 나쁜 응용 프로그램을 구분하지 않습니다. 날개 아래에서 실행되는 프로그램에서 감지할 수 있는 모든 불법 명령을 중지합니다.
그런 다음 실용적이고 유용한 질문은 브라우저 중 하나를 사용하여 EMET에서 포함된 글꼴 익스플로잇을 테스트한 사람이 있습니까? 아니면 사무용 도구나 Skype 등이 있습니까? 불법 명령을 유발하는 내장 글꼴 트릭을 시도한 사람이 있습니까?
완화에 대해 말하자면, Microsoft는 신뢰할 수 없는 글꼴 차단에 대한 전체 페이지를 보유하고 있습니다! GDI가 %windir%/Fonts 디렉터리 외부의 글꼴을 로드하지 못하도록 하는 완화 옵션을 추가하는 방법에 대해 설명합니다. 이것이 바로 이 경우에 원하는 것입니다. 즉, 이러한 성격의 악용으로 인해 문제가 발생하지 않습니다. 따라서 그 모든 선정적인 기사는 순수한 볼록입니다.
이 문서는 Windows 10에 적용되며 이 기능을 훌륭하게 보완하는 EMET 5.5에 대해서도 언급합니다. Windows 7 및 Windows 8.1 사용자도 정확히 동일한 수준의 보안으로 혜택을 받을 수 있을지는 모르겠지만, 확실히 지금보다 더 나빠지는 일은 없을 것입니다.
신뢰할 수 없는 글꼴 차단
어쨌든 신뢰할 수 없는 글꼴을 차단하는 방법은 다음과 같습니다. regedit.exe를 실행한 후 다음으로 이동합니다.
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\
이 하이브에서 MitigationOptions 키를 찾습니다. 존재하지 않는 경우 QWORD(64비트) 값을 생성하고 그에 따라 이름을 바꿉니다. 이 문서에서는 64비트 아키텍처를 가정하므로 32비트 시스템에서 DWORD(32비트) 값을 원한다고 생각합니다. 올바른 값을 할당합니다. 신뢰할 수 없는 글꼴을 차단하려면 긴 숫자(1000000000000)가 필요합니다. 이미 있는 다른 완화 값에 이것을 추가하십시오. 이 숫자는 실제로 필터입니다.
그리고 그것은 아이들입니다. 아기가 만들어지는 방식입니다!
기타 항목
더 일반적인 scaremongering이 있습니다. 플래시. 음, 지루해. 다시 말하지만, 실제로 자신을 보호할 수 있는 방법에 대한 합리적인 단서가 없는 다른 무의미한 것입니다. 이번 달에 트럭이 당신을 칠지도 모른다는 말과 같습니다. 예, 하지만 도로 한가운데 서 있지 않으면 그런 일이 발생할 가능성을 크게 줄일 수 있습니다. 해결 방법을 귀찮게 하거나 알거나 언급하고 싶어하는 사람은 아무도 없습니다. 20개의 상위 검색 중 총 1개만이 사용자에게 실질적인 도움을 제공했으며, 그럼에도 불구하고 EMET 및 작동 방식에 대한 정보가 너무 많지 않았습니다.
왜 이 모든 과대 광고, 기도?
데도이메도, 왜 다른 사람들은 돕지 않는 거죠? 그들은 왜 그렇게 보안을 과장하고 있습니까? 모든 좋은 질문입니다. 이에 대한 몇 가지 답변이 있습니다. 첫 번째이자 분명한 것은 유니콘과 무지개를 팔아 부자가 된 사람은 아무도 없다는 것입니다. 사람들은 드라마를 좋아합니다. 둘째, 더 좋고 실질적인 콘텐츠가 없기 때문에 보안 게시판을 다시 해싱하는 것은 순금으로 만든 빵을 굽는 것과 같습니다. 그러나 가장 중요한 것은 ...
군 복무
전부는 아니더라도 대부분의 서구 보안 블로거인 re:California는 어떤 종류의 군 복무를 즐기는 기쁨을 누리지 못했습니다. 적극 추천합니다. 가슴에 머리카락을 추가하고 무에 겨자를 추가합니다. 성격을 형성하고, 사회화하도록 강요하고, 규율을 배우지만, 가장 가까운 바이오 메타 우유 커피숍으로 세그웨이를 가는 동안 Spotify를 듣는 동안 일반적으로 듣는 것과는 다른 삶의 관점을 제공합니다.
따라서 빈곤, 기근, 질병, 노예 제도, 인신매매, 폭동, 혁명, 전쟁 및 이 세상의 다른 즐거움과 같은 인간 존재의 덜 모호한 측면에 삶이 노출되지 않았다면 QWERTY 또는 DVORAK을 사용하십시오. 운영 체제에서 감지된 보안 문제가 갑자기 흥분의 크림 드 라 크림이 됩니다.
다음 보안 권고를 진행 중인 블로거.
다시 말해 폭발이 오렌지색이고 병약한 녹색과 검은색 터미널 창에서 해킹이 발생하는 할리우드 블록버스터 사고방식에 너무 깊이 빠져 있다면 현실에 대한 이해를 쉽게 잃고 갑자기 단순한 글꼴 취약점이라고 생각할 수 있습니다. 사스(SARS)와 에볼라(Ebola)를 합친 것보다 못지 않게 중요하며, 블로그에 글을 올리면 지부티 해안에 갓 상륙한 프랑스 군단(French Legion) 연대만큼이나 바보가 됩니다.
결론
요컨대 4월입니다. 새로운 것은 없다. 흥미로운 것은 없습니다. 가치있는 것은 없습니다. 그와 반대로, 드라마와 충격을 불러일으키기 위해 고안된 많은 유해한 넌센스는 화면에 계속 붙어 있게 하고 책을 읽게 하며 자신을 보호하는 방법을 가르쳐 주지도 않고 겁을 먹게 합니다. Noscript, EMET, 데이터 백업은 어떻습니까? 아무것도 아님.
제가 소프트웨어 보안에 대해 어떻게 생각하는지 여러분 모두 이미 알고 계실 것입니다. 그것은 완전히 과대 평가되었습니다. 그리고 실제로 사용자를 교육하지 않고 그것에 대해 블로그를 작성하는 사람들은 그들이 설교하는 적이라고 생각되는 것보다 나을 것이 없습니다. 기여할 가치가 없다면 애초에 아무 것도 쓰지 않는 것이 좋습니다. 누구나 Microsoft 게시판을 읽을 수 있습니다. 그들은 정확히 같은 정보를 반복할 필요가 없습니다. Firefox 확장과 같은 기본 기능이 작동하는 방식을 모른 채 FUD 및 선전을 퍼뜨리는 것도 아닙니다. 그런데 그게 우리가 사는 세상이잖아요. 정말 중요한 건 사이트들이 다 모바일 친화적이라 순위가 잘 나온다는 거죠. 오른쪽? 결국 귀중한 정보.
참고:모든 오래된 사진은 공개 도메인에 있습니다.
건배.