Created: January 9, 2022 9:22 PM
1. CVE-2021-44024
Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44024
Trend Micro Apex One(On-premise와 클라우드 기반 소프트웨어(SaaS)) 및 Micro Worry-Free Business Security (10.0 SP1 and Services)에서 확인되었으며 로컬에서 공격자가 SYSTEM 권한으로 악의적인 파일 쓰기가 가능한 취약점이다. 취약점을 악용하기 위해서 공격자는 대상 시스템에서 low-privileged 코드 실행이 가능해야한다.
2. Google Docs의 주석 기능을 활용한 새로운 피싱 공격
Reference: https://www.boannews.com/media/view.asp?idx=103975
Google Docs의 comment 기능을 악용하여 악성 링크를 유포하는 공격이 확인되었다. 공격자는 단순히 지메일을 만들고 구글 독스 문서에 악성 링크가 포함된 주석을 붙임으로써 피싱이 가능해진다. @ 기호를 사용해서 공격 대상을 주석에서 언급하면 피해자는 구글로부터 직접 이메일 알람을 전송받게 된다. 이메일에는 악성 주석을 그대로 노출시키며, 구글이 직접 보내는 메일이기 때문에 걸려들기 쉬운 방식이다. Google Slides도 이론상 동일하게 재현이 가능하며 아직 패치가 이루어지진 않았다.
'깔짝할짝' 카테고리의 다른 글
| 2022-01-11 Tue (0) | 2022.01.11 |
|---|---|
| 2022-01-10 Mon (0) | 2022.01.10 |
| 2022-01-07 Fri (0) | 2022.01.07 |
| 2021-01-05 Wed (0) | 2022.01.05 |
| 2022-01-04 Tue (0) | 2022.01.04 |