출처 : https://blog.alyac.co.kr/2329?category=750247
원문 : https://securityaffairs.co/wordpress/85973/hacking/south-korea-activex-controls-flaws.html
https://www.riskbasedsecurity.com/2019/05/critical-vulnerabilities-discovered-in-south-korean-activex-controls/
https://www.boannews.com/media/view.asp?idx=79783&kind=
Risk Based Security의 보안 전문가들이 한국의 액티브X 컨트롤 10개에서 치명적인 취약점 수 십 개를 발견했습니다.
액티브X 컨트롤과 관련된 많은 위험 요소들이 있음에도 정부 사이트 다수를 포함한 많은 한국 웹사이트에서 아직도 해당 기술을 사용하고 있습니다.
그 이유는 사용자에게 인터넷 익스플로러 및 액티브X 컨트롤 실행을 요구하는 20년 된 오래된 법 때문인 것으로 나타났습니다.
한국 정부는 이에 대한 문제점을 인식하고 2014년 액티브X 사용을 없애기 위한 활동을 이어나갔으며, 2018년부터 적극적으로 액티브X 제거를 위한 TF를 구성하고 2020년까지 전부 제거하는 것을 목표로 하고 있습니다.
또한, 마이크로소프트가 더 이상 마이크로소프트 엣지(Edge) 브라우저에서 액티브X를 지원하지 않기 때문에 액티브X는 전 세계적으로 사용하지 않는 추세입니다.
IssueMakersLab 전문가들의 연구에 따르면, 2007년부터 2018년까지 북한과 관련된 공격에 액티브X 제로데이 취약점이 다수 악용된 것으로 나타났습니다.
2014년, 한국 정부는 액티브X 컨트롤의 필수 사용을 폐지했으나, 아직 많은 사이트가 액티브X를 사용하는 것으로 조사되었습니다.
한국은 모든 정부 사이트에서 2020년까지 액티브X를 제거하는 것을 목표로 하고 있습니다.
Risk Based Security는 2019년 초, 제로데이 공격에 악용되었던 한국의 액티브X 컨트롤에 대한 조사를 진행하였고, 그 결과 완전하게 수정되지 않은 것을 발견했습니다.
조사 과정에서 Risk Based Security는 한국에서 사용되는 액티브X 컨트롤 100개 가량의 레포지토리를 확보했다고 밝혔습니다.
보안 연구원들은 2019년 1월부터 액티브X 컨트롤 취약점을 찾기 시작해, 가장 인기 있는 컨트롤 10개에서 중요 취약점 40개를 발견했습니다.
전문가들은 심층적 리버스 엔지니어링(Reverse Engineering) 및 퍼징(Fuzzing)을 통해 이 결함을 발견했다고 전했습니다.
발견된 취약점은 사용자의 시스템에서 임의 코드 실행을 허용하는 다양한 버퍼 오버플로우 및 보호장치 없이 노출된 기능 등 매우 기본적인 것들이었습니다.
취약한 액티브X 컨트롤은 은행, 주요 금융 회사, 주요 기술 회사, 대학, 정부 기관을 포함한 많은 조직의 웹 사이트에서 사용되고 있습니다.
해당 연구원은 KISA(Korea Internet & Security Agency) 측에 지난 2월 초 이를 제보했습니다.
KISA 측은 영향을 받는 기관에 해당 사실을 알렸으며 취약점을 수정하고 취약한 액티브X를 제거하도록 권고했습니다.
취약한 Active X 정보 : https://www.riskbasedsecurity.com/researchadv/
끼약~!!!!! ㅋㅋㅋㅋ
조사 과정에서 Risk Based Security는 한국에서 사용되는 액티브X 컨트롤 100개 가량의 레포지토리를 확보했다고 밝혔습니다.제작사가 공개한게 아니라 확보한건가요?
아직도 국내 웹 환경은 이 지경인지 참 절망적이네요.
언제쯤 없어질까요
이 문제는 액티브X를 안 쓰면 사라지는 게 아니라 아무개 중소기업이 만든 프로그램을 10개나 깔 필요가 없어야 사라집니다.
정부가 '국산' '중소기업 상생' 중독을 끊을 수 있을까요? 그 대가가 우리 모두의 보안이라는 것만 알면 됩니다.
인터넷 환경을 더럽히는 해충같은 존재들인데 본인들 제대로 인식하는지...
정부가 할 수 있는 일은 까는 프로그램의 수를 줄이고 권한을 제한하는 것이고요.
정부가 해야 될 일은 국제화시대에 고립된 방식을 쓰는 비표준 방식 보안을 절대적으로 지양해야 하는 겁니다.
영문 OS에서 작동안되는 그런 허접한 프로그램들을 잔뜩 양상하고 있으니..
Windows 루트 폴더 안에 파일로 설치되지 않나.
어떤건 윈도우 자체 숨김 폴더 (AppData) 안에 들어가 있고.
삭제프로그램 실행하면 캡챠코드 입력하게 만들고..
최소 3~4개 되는 보안 프로그램들이 다 제각각 업체에서 만들어서
서로 충돌나고 아주 그냥 썡쇼들을 하질 않나..
그 자체가 악성프로그램 수준이죠.
이슈가 되야 ... 윗 님들이 움직입니다
맨날 보안 보안 하는데 보안의 보자나 아는지 모르겠습니다.
국민의 세금으로 일하는 이런 기관들 일하는 거 보면 기가 차네요.
vm으로 분리수거하시면 그나마 조금 덜합니다. vm이라 프린터 제한되는 문제는 '모두의 프린터'로 해결했구요.
뭐 2년이 지나도 뭐가 바뀐건가요???
검토부터 들어가야 되고 예산 확보도 되어야 합니다.
예산 승인받으려면 야당과 협의도 되어야 하고요.
절차가 제대로 되어야 좋은 결과를 기대할 수 있어요.
.
서명/ 삼성이 자유당, 일베/메갈과 같은점은?
아직도 써먹더군요. 징한놈들
한명이 백명을 먹여 살린다는 엘리트주의 사회가 이룩해낸 카르텔입니다
성장은 최대치로 끌어 올려 놓고 분배 없이 자기들끼리 해쳐먹고 세습해줘야 하는데 더 팔아 먹을게 없으니
국가의 인프라를 팔아 먹는겁니다 지난 10년동안 아주 훌륭히 모범을 보여줬구요
가장 큰 문제는 가능성에 투자하는게 아니라 되는것만 해야 하니 엑티브 엑스 같은게 전체를 장악하게 된다는 겁니다
최선과 일등이 아니면 차선은 실패로 낙인 찍으니까요 결국 우리도 대안이 없게됬습니다
진짜 ㅂㅅ같은건 대문자+특수문자 섞인 공인인증서 14자리 비밀번호를 마우스로만 누르게 만든 인간들..
공인인증서 로그인시도(1회)→인증서등록안되있음→인증서등록(2회)→회원가입 안되있음→회원가입하는데 본인인증 요구(3회)→이미 가입된 회원이라고 나옴→아이디찾기 본인인증(4회)→비밀번호찾아서 겨우 인증서 등록(5회)→최종 로그인(6회)
마우스로 *랄을 하고나니 진이 빠지고 정말 스트레스가 머리 끝까지 뻗치더라구요..
사이트 한군데에 평균 4~6개의 엑티브x를 깔아야하는데, 같은 회사의 보안어플인데 지들끼리 버전 안맞는다며 브라우저를 재시작하라고 하질않나, 뭐 좀 하려고 하면 응답없음 뜨면서 탭이 아니라 브라우저 자체의 프로세스가 다 죽어버리고....
모니터 키보드 샷건 치는 스트리머 심정이 이해가 가더라구요..