【資安週報】2022年5月30日至6月2日

在5月底到6月初這週的資安新聞裡,與Office有關的零時差漏洞CVE-2022-30190,引起許多資安人員關注,因為這項漏洞很可能讓攻擊者有機會繞過Office本身的防護機制,使用Windows檔案總管的預覽功能就能觸發。且公布不久已經開始有人用於攻擊行動。

而這項漏洞在微軟的資安通告裡,指出與Windows支援診斷工具(MSDT)有關,他們也提出緩解措施,建議IT人員停用電腦的ms-msdt的URI協定來予以防範。

但這種與URI有關的漏洞,接下來也有研究人員發現類似的弱點。攻擊者可透過惡意Office檔案,搭配Windows搜尋的URI協定search-ms,列出共享資料夾的內容。

另一個與漏洞有關的攻擊行動則是殭屍網路EnemyBot。駭客運用了VMware Workspace ONE漏洞CVE-2022-22954、F5 BIG-IP漏洞CVE-2022-1388、Java框架Spring漏洞SpringShell等應用系統的重大漏洞,在受害組織植入殭屍網路病毒。

與資料庫有關的資安事故也相當值得一提。其中又以駭客針對1,200個Elasticsearch資料庫進行勒索的情況最值得注意。雖然駭客勒索的金錢並不高,但很有可能付了贖金也無法復原。

【攻擊與威脅】

去年9月微軟的Office軟體出現MSHTML重大漏洞CVE-2021-40444,而可能讓攻擊者透過內含ActiveX元件的Office檔案觸發漏洞,最近有研究人員找到類似的RCE漏洞,即使用戶關閉巨集也難以防範駭客的攻擊。

資安研究團隊Nao_sec在調查上述的MSHTML漏洞時,意外在惡意軟體分析平臺VirusTotal看到惡意Word檔案,一旦使用者開啟,該檔案就會經由外部連結載入HTML檔案,並使用MSProtocol URI Scheme(ms-msdt)架構載入程式碼,進而執行PowerShell。資安專家Kevin Beaumont指出,Nao_sec的發現揭露了未知的Office漏洞,雖然使用者可透過受保護的檢視(Protected View)機制,來防止惡意檔案在開啟時就執行巨集,但若是駭客改用RTF格式的文件檔案發動攻擊,則因為Windows的檔案總管就能預覽內容,有可能在不需受害者開啟檔案就能利用漏洞發動攻擊。

Kevin Beaumont將這項漏洞稱為Follina,並指出Office 2013至2021版都可能受到影響。微軟於5月30日將其登錄為CVE-2022-30190列管,並指出該漏洞與Windows支援診斷工具(MSDT)有關,CVSS評分為7.8分。目前尚未有修補程式,但微軟提出了停用相關通訊協定的緩解措施。

微軟Office的零時差漏洞Follina(CVE-2022-30190)引起資安人員高度關注,也很快有駭客運用於攻擊行動。資安業者Proofpoint、資安研究團隊MalwareHunterTeam發現已有駭客將上述漏洞用於攻擊行動。Proofpoint的研究人員於5月30日發現,中國駭客組織TA413假冒西藏流亡政府的婦女權益服務處(WED),利用ZIP壓縮檔挾帶利用上述漏洞的Word檔案,一旦對方開啟,駭客就能在受害電腦上執行惡意程式碼。MalwareHunterTeam則是看到有人使用含有簡體中文檔名的Word檔案,發動Follina漏洞攻擊。

最近幾天,有研究人員揭露與Windows支援診斷工具(MSDT)有關的零時差漏洞CVE-2022-30190,駭客一旦利用這項漏洞,可藉由惡意的Word檔案啟動ms-msdt的通訊協定,進而執行PowerShell命令,但現在又有人發現其他Windows元件的通訊協定可被濫用。

根據資安新聞網站Bleeping Computer的報導,資安教育訓練業者Hacker House發現新的攻擊手法,能結合新發現的微軟Office元件OLEObject漏洞,以及search-ms通訊協定,受害者只要開啟駭客為此手法而特製的的Word檔案,就可能中招。

研究人員錄製概念性驗證攻擊(PoC)影片,當使用者開啟駭客提供的Word檔案,該檔案就會執行search-ms通訊協定的命令,開啟Windows搜尋視窗,當中列出共享資料夾上的內容。研究人員呼籲,使用者應考慮刪除相關機碼來因應。

WordPress惡意外掛程式氾濫,經過研究人員長期分析,他們發現就算從官方市集取得這些軟體,仍可能會買到有問題的外掛程式。喬治亞理工學院旗下的網路鑑識發展實驗室(CyFI Lab)近日發表論文,他們耗費長達8年的時間,針對WordPress市集進行大規模調查,並利用他們製作的檢測工具Yoda對外掛程式進行與網站進行調查。

結果發現,他們在410,122個網站伺服器裡,找到24,931個網站存在惡意外掛程式,它們總共被部署了47,337個有問題的元件,且其中有3,685個外掛程式還在合法市集上銷售。

研究人員指出,他們看到WordPress的惡意外掛程式不斷增加,並於2020年3月達到最高峰,令他們意外的是,8年來這些受害網站上部署的惡意外掛程式,94%迄今仍非常活躍。

 

駭客鎖定配置較不安全的Elasticsearch資料庫下手,並向所有者勒索的情況,最近再度出現事故。資安業者Secureworks指出,他們看到有人針對超過1,200個Elasticsearch資料庫發動攻擊,清空內容並留下勒索訊息,要求對方一個星期內支付0.012個比特幣(約620美元)來復原資料,若是沒有在期限內付錢,贖金將會加倍。

研究人員確認至少有450筆付款請求(相當於28萬美元),但駭客的兩個錢包目前似乎沒有收到任何贖金。雖然上述攻擊行動似乎不算成功,駭客拿不到錢,但對於受害組織來說,即使向對方支付贖金,可能仍無法恢復Elasticsearch資料庫的狀態,因為,存放1,200個資料庫資料所需的成本相當可觀,駭客極有可能不會備份。研究人員呼籲,用戶應對於資料庫做好相關防護。

資料庫曝露於網際網路上,很有可能成為駭客攻擊的目標,但採取這種配置的資料庫有多氾濫?根據網路安全研究機構Shadow Server基金會的檢測,他們找到360萬臺MySQL伺服器,不只能在網際網路上公開存取,同時管理者保留預設連接埠TCP的3306埠配置,而很有可能成為駭客鎖定的目標。這些公開在網際網路上的MySQL伺服器,還會向來源請求發出伺服器問候(Server Greeting)回應。

上述的伺服器裡,有230萬臺透過IPv4連接網際網路,130萬臺則是透過IPv6。從MySQL伺服器所在的國家分布來看,美國超過120萬臺最多,中國、德國、新加坡、荷欄、波蘭次之。研究人員表示,雖然他們沒有針對個別MySQL伺服器調查資料庫曝露的程度,但這種以預設連接埠曝露於網際網路的組態,將可能成為組織潛在的攻擊面,他們呼籲組織應避免將資料庫曝露於網際網路,並應該調整存取的連接埠,以及進行相關的狀態監控,來保護資料庫的安全。

研究人員發現航空公司因AWS儲存桶配置不當,而使得機組人員的個人資料與航班文件曝光,有可能影響飛行安全。防毒軟體評測網站SafetyDetectives研究人員發現,土耳其廉價航空公司Pegasus Airlines的AWS儲存桶,約自2月28日公開,內有近2,300萬個檔案,大小約6.5 TB。

這些資料包超逾300萬個與飛行資料有關的檔案、160萬個機組人員的個資檔案。其中,引起研究人員高度關注的是,內有該公司開發的電子飛行文件包(Electronic Flight Bag,EFB)系統的原始碼,並包含明文密碼等機密資料。研究人員指出,一旦攻擊者從儲存桶取得相關密碼,就有可能用來航班資料而影響飛行安全。在3月1日通報後,該公司約在3星期後修復儲存桶相關配置。

殭屍網路EnemyBot在3月被發現,,如今駭客更進一步針對應用系統的重大漏洞下手。

電信業者AT&T的資安團隊近期找到EnemyBot變種,該殭屍網路病毒共針對24種漏洞下手,但與過往EnmeyBot不同的之處,在於駭客利用的漏洞裡,多半為應用系統的重大漏洞,包含了VMware Workspace ONE漏洞CVE-2022-22954(CVSS風險評分9.8分)、F5 BIG-IP漏洞CVE-2022-1388(CVSS風險評分9.8分)、Java框架Spring漏洞SpringShell,除此之外還有部分是沒有CVE編號的漏洞,這使得IT人員更難防範EnemyBot的威脅。

而對於部署該殭屍網路的攻擊者身分,研究人員指出是Keksec,該組織過往曾散布Tsunami、Gafgyt、DarkHTTP、DarkIRC、Necro等惡意軟體。

最近針對Linux主機而來的攻擊行動不時傳出,但也有人鎖定Windows作業系統提供的Linux子系統(Windows Subsystem for Linux,WSL)而來。資安業者Lumen於去年秋季開始,發現駭客針對WSL下手,迄今已散布逾100種惡意程式。

在這些惡意程式當中,有些特別引起研究人員注意。例如,他們發現以程式語言Python開發的鍵盤側錄工具Keyjeek,攻擊者透過Windows的機碼使其常駐受害電腦,並將收集到的帳密資料回傳到特定的Gmail信箱,研究人員將其上傳到惡意軟體分析平臺VirusTotal,結果60個防毒引擎僅有1個識別有害。

另一個該公司特別提到的惡意程式,則是會從遠端下載Shell Code,並在受害電腦注入與執行,研究人員指出,這種能夠下載惡意程式並完全在記憶體內(In-Memory)執行的工具,很有可能日後駭客會用於投放更為複雜的軟體,如Cobalt Strike或是其他滲透測試框架。再者,研究人員也看到能同時於Windows與Linux作業系統執行的代理程式Lee,攻擊者不只能透過該代理程式上傳或下載檔案,還能執行任意命令。

除此之外,研究人員也發現多個會利用即時通訊軟體Discord的惡意軟體,像是木馬程式DiscordRAT、竊密程式Discord Token Grabber、Discord-Keylogger等,再者,也有濫用加密通訊軟體Telegram木馬程式Telegram-RAT。該公司建議採用WSL的使用者,應透過Sysmon等系統監控工具進行監控,來找出WSL環境是否出現異常。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

最熱情、專業有口碑的網頁設計公司讓您的網站改頭換面。

網頁設計公司推薦不同的風格,搶佔消費者視覺第一線

透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗,所以不用擔心有手機版網站兩個後台的問題,而視覺效果也是透過我們前端設計師優秀的空間比例設計,不會因為畫面變大變小而影響到整體視覺的美感。

隨著武漢肺炎疫情延燒,許多人必須居家隔離,透過餐點外送平臺取得三餐所需,有駭客假借這樣的名義來散布惡意軟體。、指出,他們看到有人佯稱是Blot Food的餐點外送業者,製作冒牌網站來散布安卓竊密軟體Ermac 2.0,一旦使用者從該網站下載檔案並進行安裝,該冒牌App將會要用戶開放43項權限,進而竊取467種應用程式的帳密,當中包含全球各地的銀行機構、加密貨幣錢包,以及資產管理應用程式。研究人員呼籲用戶,應從從Google Play市集下載App。

隨著疫情升溫與烏克蘭戰爭的進行,弱勢民眾很可能更加倚賴食物銀行才能溫飽,但這類組織如今也遭到網路攻擊波及。根據英國廣播公司(BBC)的報導,一家位於英國基德明斯特鎮的食物銀行近日被騙走5萬歐元(相當於新臺幣156.6萬元),所幸銀行及時將款項追回。

針對這起事故,資安業者Malwarebytes進一步公布細節。他們看到駭客先是佯稱英國衛生局(NHS)的名義,向食物銀行的經營者透過網釣簡訊與釣魚郵件發動攻擊,宣稱受害者曾與確認者接觸,必須付錢進行PCR檢測。對方線上付款後驚覺有異,正打算打電話給銀行,但這些駭客竟假冒銀行行員,向受害者打電話,藉此取得對方的銀行帳戶詳細資料,進而將存款轉走。

研究人員警告,英國取消免費的PCR後,民眾可能收到需要進行相關檢測並進行付費的通知時,難以辨別是來自政府還是駭客,而有可能落入駭客的圈套。他們呼籲在接到銀行打來的電話時,不要透露任何個人資料,並透過網站上的電話號碼回撥。

勒索軟體駭客REvil似乎再度發動攻擊,但並非透過加密檔案的方式進行,而是以DDoS攻擊來癱瘓受害組織網路。雲端服務業者Akamai於5月12日接獲客戶通報,他們發現聲稱是REvil的駭客進行DDoS攻擊,駭客要脅受害組織必須移轉指定數量的比特幣(BTC),並暫停特定國家的業務,來換取駭客停止發動DDoS攻擊,駭客揚言若是不從,他們將會讓該組織的全球業務受到衝擊。

研究人員指出,這起DDoS攻擊背後似乎存在政治動機,與REvil的行事風格完全不同,他們認為很有可能是他人假借REvil的名號對受害組織進行勒索。

過往惡名昭彰的勒索軟體駭客組織,在沉寂一段時間幾乎沒有活動後,再度大舉發動攻擊的情況,近期時有所聞。例如,資安業者NCC Group揭露他們針對2022年4月勒索軟體攻擊的態勢,當中特別提及勒索軟體Clop(亦稱Cl0p)的攻擊行動,在整個月出現了21個受害組織,主要目標是工業,占45%,其次是IT產業,占27%。

但為何突然出現這麼多攻擊行動?資安新聞網站Bleeping Computer認為,這些駭客很有可能像Conti,目的是避免關閉Clop基礎設施的時候,成員後續受到執行單位追捕,因此,刻意發動這些攻擊來掩人耳目。

自勒索軟體駭客組織Conti於4月中旬對哥斯大黎加發動攻擊後,該國政府機關再度成為勒索軟體的目標。哥斯大黎加衛生服務部(亦稱哥斯大黎加社會安全基金,CCCS)於5月31日晚間證實,他們在當天凌晨遭到駭客攻擊,目前正在恢復關鍵服務與受影響的系統,但無法確定何時能恢復運作。而針對受影響的範圍,該單位表示,數位健康統合系統(EDUS)、稅務集中統合系統(SICERE),以及該單位員工的薪資與退休金資料庫等,沒有遭到入侵,除此之外沒有透露更多細節。

根據資安新聞網站Bleeping Computer的報導,CCCS員工在攻擊發生的時候,發現內部網路的印表機開始印出許多ASCII亂碼,他們接收到關閉電腦並拔除網路線的命令。至於攻擊者的身分,有人向Bleeping Computer提供勒索訊息的螢幕截圖,該新聞網站從而得知攻擊者使用的工具是勒索軟體Hive。Bleeping Computer認為,攻擊者很有可能是從Conti跳槽Hive的駭客。

臺灣高科技產業海外工廠遭到勒索軟體攻擊的事故,最近再添一例。根據資安新聞網站SecurityWeek的報導,鴻海集團在美墨邊境設立的液晶電視生產工廠,傳出遭到勒索軟體LockBit攻擊,駭客揚言:若未在6月11日前付錢,他們將會公布竊得的資料。

,本次受攻擊廠區目前正逐漸恢復正常中,所受影響預計可由後續產能調整因應,對集團整體營運影響不大。

企業面臨的資安威脅不只是來自外部,別有居心的內部員工、離職員工因為了解公司業務流程運作方式,或已經或曾經被授予高權限,也可能因故而傷害目前或先前任職的公司。

根據中央社報導,三立電視臺吳姓、曾姓工程師皆曾擔任網路影音平臺Vidol網站程式設計、部署業務,離職後於民國106年2月,使用洋蔥網路(Tor)隱匿真實IP位址,登入公司系統並刪除該網路影音平臺部分帳號,關閉存放於AWS的網頁程式,然後刪除會員資料。一審判2人各10月徒刑,5月31日二審結果出爐,法官考量2人已履行賠償110萬元,改判6個月徒刑。

微軟於5月24日發布Windows 11、Windows Server 2022的預覽版更新程式,但很可能導致防毒軟體無法正常運作。趨勢科技於5月26日發布資安通告指出,使用者若是在執行Windows 11與Windows Server 2022的電腦上,安裝微軟近日發布的KB5014019更新套件,將會導致該公司旗下多項企業端點防護產品的User Mode Hooking(UMH)元件失效,而使得勒索軟體防護等進階功能無法發揮作用。

受到影響的產品包括Apex One 2019、Apex One as a Service 2019、Worry-Free Business Security Services 6.7、Worry-Free Business Security Advanced 10.0,以及Deep Security 20.0。由於上述Windows更新套件改善多項使用者操作流程,趨勢科技正著手調查,並在微軟向所有用戶推送相關更新前解決上述問題。若是用戶已安裝上述預覽版更新套件,趨勢科技建議用戶應先移除,以免防護層級降低。

 

【漏洞與修補】

電信業者為了在手機上提供專屬服務,很可能會運用廠商提供的軟體框架,對旗下品牌手機進行客製化,一旦這種框架系統出現漏洞,很可能影響相當廣泛。微軟於5月27日公布在去年9月發現的數個漏洞──CVE-2021-42598、CVE-2021-42599、CVE-2021-42600,以及CVE-2021-42601,這些漏洞存在於mce Systems推出的行動裝置應用程式框架,CVSS風險評分從7.0分至8.9分,一旦攻擊者加以利用,就有可能從這些透過上述行動裝置應用程式框架製作的App,藉由其提供可瀏覽功能(Browsable)的服務,進而在受害裝置植入後門程式並取得控制權,安卓與iOS版應用程式都有可能受到影響。研究人員通報後,mce Systems與相關電信業者已著手修補漏洞,目前尚未出現利用相關漏洞的攻擊行動。

隨著遠距工作、線上學習的情況越來越常見,能存取電腦視訊鏡頭的軟體也變得熱門,但在此同時這類軟體一旦出現漏洞,很有可能會被攻擊者用來擷取視訊鏡頭的影像。研究人員Wladimir Palant在2月中旬,通報名為Screencastify的Chrome外掛程式存在漏洞,但該名研究人員指出,當時開發者僅修補了部分跨網站指令碼(XSS)漏洞,其他漏洞仍未獲得修補,使得使用者面臨與Screencastify合作的其他平臺曝露相關風險。

研究人員指出,該外掛程式會向用戶要求Google Drive的永久OAuth憑證,以便該外掛程式能自動上傳、下載影片檔案,一旦攻擊者搭配上述修補不完全的XSS漏洞,就有機會透過上述的OAuth憑證來存取受害者Google Drive其他檔案。研究人員透過概念性驗證攻擊來啟動受害電腦的視訊鏡頭,過程無須使用者互動。對此,該開發者表示,他們將透過更為嚴謹的內容安全政策,來防堵用戶可能曝險的情況。

 

【資安產業動態】

隨著疫情趨緩、各國邊境陸續解封,預計在今年8月11日至14日於美國拉斯維加斯舉辦的DEF CON CTF(駭客搶旗攻防賽)即將重新以實體比賽的方式進行。而在5月28日至5月30日舉辦的CTF線上資格賽,臺灣聯隊戰隊最終順利取得預賽第二名的資格,而這個結果也等於確認該隊可以參加8月的DEF CON CTF,和資格賽前十五名,以及去年DEF CON CTF第一名隊伍Katzebin,總計16隊網路好手現場較勁。

值得一提的是,從2018年起,本項搶旗攻防賽都是由主辦單位O.O.O.(Order-of-the-Overflow)負責出題,今年適逢DEF CON屆滿30週年,命題的工作將交由新團隊Nautilus Institute負責。

美國晶片製造商博通(Broadcom)於5月26日宣布,將斥資610億美元買下VMware,該公司將以現金及股票支付上述金額,並預計在2023年10月31日前完成。在併購完成後,博通的軟體部門Broadcom Software Group將更名為VMware,並納入該公司現有的基礎設施與安全軟體解決方案。

根據VMware於5月20日收盤價95.71美元來推估,博通約溢價44%買下VMware。自併購的消息傳出後,VMware股價一路上漲,至26日收盤價來到120.54美元。博通指出,本交易案將讓該公司日後能提供企業更為兼具效通與安全的解決方案。

 

【資安防禦措施】

安卓惡意軟體FluBot自2020年底,多次大肆透過網釣簡訊(Smiphing)散播,這樣的情況使得歐美多個國家聯手,阻斷其基礎設施。歐洲刑警組織(Europol)於6月1日宣布,他們與荷蘭、瑞士、瑞典、西班牙、芬蘭等11個國家的執法單位聯手,切斷FluBot的攻擊行動,並指出荷蘭警方於5月初切斷其基礎設施。荷蘭警方表示,他們將一萬名受害者斷開與FluBot的網路連結,並阻止逾650萬個用來發動攻擊的網釣簡訊。

來源鏈接:https://www.ithome.com.tw/news/151282

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!

以設計的實用美學觀點,規劃出舒適、美觀的視覺畫面,有效提昇使用者的心理期待,營造出輕鬆、愉悅的網站瀏覽體驗。

想知道最厲害的網頁設計公司嚨底家!

RWD(響應式網頁設計)是透過瀏覽器的解析度來判斷要給使用者看到的樣貌

網頁設計公司推薦不同的風格,搶佔消費者視覺第一線

透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗,所以不用擔心有手機版網站兩個後台的問題,而視覺效果也是透過我們前端設計師優秀的空間比例設計,不會因為畫面變大變小而影響到整體視覺的美感。