MITM13 Microsoft CHAP v2 프로토콜 취약점 주의 □ 개요 o 마이크로소프트(이하 MS)는 MS-CHAP v2 프로토콜의 암호화 취약점을 악용한 공격코드가 공개되었음을 확인함 [1] o 공격자는 해당 취약점을 악용한 MITM 공격 등을 통하여 사용자 자격증명을 획득할 수 있음 ※ MS-CHAP v2 프로토콜 : Microsoft Challenge Handshake Authentication Protocol version 2의 약어로 PPTP(Point-to-Point Tunneling Protocol) 기반 VPN에 일반적으로 사용되는 인증 방법□ 영향을 받는 환경 o PPTP 기반 VPN의 인증방법으로 MS-CHAP v2만을 사용하는 경우 해당 취약점에 영향을 받음□ 권장 해결방안 o MS는 PPTP 기반 VPN 인증으로 MS-CHAP v2 대신 PE.. 2012. 8. 21. 인증되지 않은 디지털 인증서 악용으로 인한 피해 주의 개요마이크로소프트(이하 MS) 인증 기관(Microsoft Certificate Authority)으로부터 인증되지 않은 디지털 인증서를 사용한 악용 사례가 발생함 공격자는 공인되지 않은 디지털 인증서를 이용하여, MS社에서 제작된 파일처럼 위장하거나, 피싱, M.I.T.M(Man-In-The-Middle)공격 등에 악용할 수 있어 사용자 주의가 요구됨 해당 시스템영향 받는 환경 - PC 및 모바일 기기에서 동작하는 MS社의 모든 Windows 운영체제 해결방안해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용하여 다음과 같은 3종의 인증서를 비신뢰 상태로 전환 - Microsoft Enforced Licensing Intermediate PCA 2종 - Microsoft Enforced Licens.. 2012. 6. 5. WebSploit Toolkit Version v1.5 WebSploit Is An Open Source Project For Scan And Analysis Remote System From VulnerabilityDescription :[+]Autopwn - Used From Metasploit For Scan and Exploit Target Service [+]wmap - Scan,Crawler Target Used From Metasploit wmap plugin [+]format infector - inject reverse & bind payload into file format [+]phpmyadmin - Search Target phpmyadmin login page [+]lfi - Scan,Bypass local file inclusion .. 2012. 3. 30. sslsniff v0.8 with iOS Fingerprinting Support! Some History:This tool was originally written to demonstrate and exploit IE'svulnerability to a specific "basicConstraints" man-in-the-middle attack. While Microsoft has since fixed the vulnerability that allowed leaf certificates to act as signing certificates, this tool is still occasionally useful for other purposes. It is designed to MITM all SSL connections on a LAN and dynamically generate.. 2011. 7. 27. SSL 인증서 릴레이 네트워크 중계 sslsniff Some History:This tool was originally written to demonstrate and exploit IE's vulnerability to a specific "basicConstraints" man-in-the-middle attack. While Microsoft has since fixed the vulnerability that allowed leaf certificates to act as signing certificates, this tool is still occasionally useful for other purposes. It is designed to MITM all SSL connections on a LAN and dynamically generat.. 2011. 4. 25. 이전 1 2 3 다음
