Google 日前發表 Android 2023 年 12 月資安更新修補包,一共修復多達 85 個漏洞,其中有一個嚴重漏洞 CVE-2023-40088,可在無需使用者互動的情形下遠端執行任意程式碼。
CVE-2023-40088 這個漏洞係存於 Android 系統元件之內,為一個免點按 RCE 漏洞,無需任何額外權限即可執行,是這批 85 個已修復漏洞中最嚴重的一個。Google 雖然沒有在資安通報中透露是否已有駭侵者利用該漏洞發動攻擊,但因為本漏洞可在無需使用者互動的情形下進行濫用,因此相當危險。
在這次修復的 85 個漏洞中,另有三個嚴重漏洞 CVE-2023-40077、CVE-2023-40076、CVE-2023-45866,是存於 Android Framework 與系統元件中的權限提升與資訊洩露漏洞。還有一個嚴重漏洞 CVE-2022-40507 則是存於 Qualcomm 閉源元件中。
和過去的 Android 資安修補推出方式類似,Google 也是分為兩波來推出其 12 月份 Android 資安更新;第二波更新除了包括前一波更新的所有修復之外,還外加第三方閉源元件與 Android 核心元件的修復更新;並非所有 Android 裝置都會需要第二波更新中的新增修補內容。
資安專家指出,由於 Android 生態系的複雜性,加上各品牌裝置原廠未必會在第一時間推出包含最新資安更新的韌體更新服務,甚至一些較小的品牌很少推出更新,因此使用者除了應在有更新可升級時立即更新外,也應加強對裝置的資安防護。
除 Google 自行推出與少數品牌 Android 裝置可立即更新外,建議其他品牌裝置應在原廠推出新版韌體後立即更新。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 The ShadowServer Foundation 日前發表研究報告指出,有數萬台負責 Email 收發的 Microsoft Exchange Server 被發現曝露於外網上,可能因未修補的資安漏洞而輕易遭到攻擊。
The ShadowServer Foundation 在報告中指出,該單位掃瞄網際網路,發現近 20,000 台仍在執行舊版 Microsoft Exchange Server 曝露在公開網路之下;這些版本的 Exchange Server 都已來到其生命周期(end-of-life, EOL),不受資安更新支援,內含多種無法修補的資安漏洞。
報告指出,掃瞄結果顯示有一半以上的這類舊版主機位於歐洲,數量高達 10,000 台以上,在北美有 6,038 台,亞洲則有 2,241 台。
另一家資安廠商 Macnica 提出的數字更為驚人;該公司使用 Shodan 服務掃瞄的結果顯示,曝露於外部網路上的舊版 MS Exchange Server 數量高達 30,635 台;其中有 275 台執行的是 Exchange Server 2007,4,062 台執行 Exchanger Server 2010,26,298 台執行 Exchanger Server 2013。
Macnica 的報告也指出,使用者將舊版 Exchange Server 汰舊換新的速度和數量都明顯不足;數據顯示自今年 4 月以來,全球舊版 Exchange Server 遭到淘汰下線的比例僅有 18%。
The ShadowServer Foundation 的報告也指出,這些舊版 Exchange Server 內含多個嚴重資安漏洞如 CVE-2021-26855(ProxyLogon)、CVE-2021-27065 等,駭侵者可藉以遠端執行任意程式碼。
建議系統管理者應即檢查系統內所有已無法獲取資安更新的老舊系統,並予以汰換為較新版本,以避免遭駭侵者以已知漏洞發動攻擊得逞。
twcert 發表在
痞客邦
留言(0)
人氣()
Apple 近日推出緊急資安更新,修復 2 個存於 iPhone、Pad 與 Mac 設備中新發現的 2 個 0-day 漏洞 CVE-2023-42916 與 CVE-2023-42917,使用者應立即套用更新。
CVE-2023-42916 與 CVE-2023-42917 都是存於 WebKit 瀏覽器引擎,屬於越界讀取漏洞;駭侵者可利用特製的網頁來誘發記憶體崩潰,藉以竊取使用者的機敏資訊,甚至執行任意程式碼。
Apple 也在對外發表的資安更新通報中指出,該公司已獲悉這兩個漏洞已遭駭侵者用於駭侵攻擊之中的情報;遭到攻擊的是執行 iOS 16.7.1 先前版本的 iOS 設備。
Apple 也列出受到影響的各種設備型號,受影響裝置範圍相當廣泛:
twcert 發表在
痞客邦
留言(0)
人氣()
Eurocom 旗下的資安專家,近日發現針對藍牙連線通訊的全新攻擊方法 BLUFFS;這些攻擊手法可以介入裝置間的藍牙加密通訊,除可假扮成連線對象裝置外,還可發動各種中間人攻擊(Man-in-the-middle attacks)。
BLUFFS 一共包括六種攻擊手段,其運作原理係應用四個不同的藍牙標準漏洞(其中兩個是未被發現的新漏洞);這些漏洞發生於裝置間進行藍牙連線時的連線階段解密金鑰的交換流程。
利用這些漏洞的組合,BLUFFS 可以產生出長度較短、較易預測出來的 SKC 金鑰,接著再利用暴力試誤法來試圖解碼藍牙通訊的內容,以便假扮藍牙通訊中的通訊方,進而發動後續的中間人攻擊。
Eurocom 的研究人員不只發展出理論上的攻擊手法,同時也開發出概念驗證工具,可實際進行模擬攻擊;由於該漏洞存於藍牙通訊的基礎架構上,因此不分硬體製造商,所有從 Bluetooth 4.2 到 2023 年 2 月方才發布的最新版本 Bluetooth 5.4,都含有此漏洞。
Eurocom 在研究報告中也提供了對多種市售藍牙晶片與裝置的攻擊結果,各大廠牌推出的各種產品中的藍牙晶片幾乎無一倖免,全部可以使用 BLUFFS 中的六種攻擊手法加以攻擊得逞。
藍牙標準制定者 Bluetooth SIG 已接獲 Eurocom 的通報,並建議廠商在實作藍牙連線時提高加密金鑰長度限制,並使用 Mode 4 Level 4,並在裝置配對時使用 Secure Connection Only 模式,即可避免遭到 BLUFFS 攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
歐洲刑警組織(Europol)、歐洲檢察官組織(Eurojust)日前會同七國執法單位,在烏克蘭境內多處同步執行搜索,成功破獲一個大型勒贖集團,遭該集團攻擊的受害者多達 1,700 個,分布遍及全球 71 國。
超過 20 名來自挪威、法國、德國、美國的調查人員,在行動開始前夕於烏克蘭首都基輔會合,並在荷蘭設立協調行動用的虛擬指揮中心,會同烏克蘭警方於該國境內 30 處以上地點,於 2023 年 11 月 21 日同步展開執法行動。展開搜索行動的城市包括 Kiev、Cherkasy、Rivne、Vinnytsia 等地。
警方行動大有斬獲,不只成功逮捕該勒贖集團的 32 歲首腦,同時也逮捕其他四名集團成員,並扣押多種犯罪相關工具與證物,包括電腦系統、多片 SIM 卡與大量電子犯罪記錄等。
據 Europol 發表的新聞稿指出,該勒贖團體同時利用多種不同的勒贖工具進行攻擊,使用的惡意軟體包括 LockerGoga、MegaCortex、HIVE、Dharma 等;在進行攻擊後,該團體會要求受害企業以比特幣將贖款匯款到指定的加密貨幣交易所帳號,以換取解密用的金鑰。
Europol 也指出,該團體通常先透過暴力試誤法與 SQL 注入攻擊,以及夾帶惡意軟體附檔的釣魚信件,來取得受害企業系統的登入資訊,之後再利用 TrickBot、Cobalt Strike、PowerShell Empire 等惡意軟體來操控受害企業的內網,再啟動勒贖軟體。所有受害企業合計有超過 250 台伺服器遭到加密攻擊,損失高達數億歐元。
建議各公私單位必須強化資安防護與人員教育訓練,避免勒贖團體利用資安漏洞或釣魚成功,因而遭到攻擊,蒙受重大損失。
twcert 發表在
痞客邦
留言(0)
人氣()
Google 於近日針對 Chrome 瀏覽器中的一個 0-day 漏洞 CVE-2023-6345 發表緊急更新,廣大 Google Chrome 使用者均應立即更新瀏覽器。這是 Google Chrome 今年第六個被發現的 0-day 漏洞。
這個 0-day 漏洞 CVE-2023-6345 存於 Skia 開源 2D 繪圖程式庫中,屬於整數溢位錯誤;駭侵者可利用此漏洞來誘發系統崩潰,進而執行任意程式碼。該漏洞所在的 Skia 繪圖引擎程式庫,同樣也使用於多種軟體如 ChromeOS、Android 與 Flutter 中。
該漏洞是由 Google Threat Analysis Group (Google TAG) 旗下的資安專家所發現;Google TAG 長期以來就擅於發現各種 0-day 漏洞;而該單位發現的 0-day 漏洞,經常會遭到駭侵團體用於攻擊各種重要人士。
Google 也在相關資安通報中指出,該公司已接獲 CVE-2023-6345 已遭駭侵者廣泛用於攻擊活動的情資。這個漏洞的 CVSS 危險程度評分為 8.8 分(滿分為 10 分),危險程度評級為「高」(High)。
這個漏洞對所有平台的 Google Chrome 都造成影響,包括 Windows、macOS 和 Linux 平台;Google 也已在 Stable Desktop channel 中推出更新,使用應立即在 Chrome 中選取更新功能,將其 Chrome 瀏覽器更新到 Windows 版 119.0.6045.199/.200、macOS 與 Linux 版更新至 119.0.6045.199。
建議 Chrome 使用者應立即將 Chrome 瀏覽器更新到 Windows 版 119.0.6045.199/.200、macOS 與 Linux 版更新至 119.0.6045.199。
twcert 發表在
痞客邦
留言(0)
人氣()
東歐國家斯洛維尼亞最大電力公司 Holding Slovenske Elektrarne (HSE),日前遭到勒贖攻擊,導致該公司部分系統與檔案遭到破壞;但該公司表示供電並未受到影響。
HSE 的電力供應,占斯洛維尼亞國內電力消費的 60% 以上,因此算是該國關鍵基礎設施之一。該公司係於 2001 年由斯洛維尼亞政府設立,目前屬於政府持有的國營企業;其發電方式相當多樣,包括水力發電、火力發電、太陽能發電,甚至還擁有煤礦。HSE 同時也在義大利、賽爾維亞與匈牙利設有分支機構。
據當地媒體報導,攻擊事件係發生於 2023 年 11 月 22 日,該公司於 11 月 24 日發現攻擊事件後,隨即通報斯國資安主管機關,並與警察單位、第三方資安業者與專家合作處理,避免災情擴大到斯洛維尼亞其他機構與系統。
據 HSE 在官方聲明中表示,該公司尚未接獲任何支付贖款的要求,且受到影響的系統,目前侷限於 Sostanj 火力發電廠與 Velenje 煤礦;該公司的供電能力與供電系統運作保持正常。
當地的資安專家指出,這次攻擊事件很可能與 Rhysida 勒贖團體有關;美國資安主管機關 FBI 與 CISA 日前曾針對 Rhysida 勒贈團體的攻擊技術、策略與手段發布資安警訊。
資安專家表示,由於 Rhysida 在攻擊後,通常只會以 Email 來通知受害者,要求受害者以信內提供的密碼,到該團體在暗網設立的網站登入以「協商」贖款,在 Email 中不會有贖金相關金額的資訊。
建議各關鍵基礎設施應加強各類資安防護能力,避免因勒贖或其他型態的資安攻擊,而導致資料外洩,甚至無法正常運作。
twcert 發表在
痞客邦
留言(0)
人氣()
資安媒體報導,近日一次勒贖攻擊造成獨立遊戲 Ethyrial: Echos of Yore 中所有 17,000 玩家的帳號資料,以及帳號中儲存的遊戲中寶物與進度全部遭到刪除。
Ethyrial: Echos of Yore 是由獨立遊戲開發廠商 Gellyberry Studios 開發的多人線上角色扮演遊戲,提供使用者免費遊玩;但玩家也可以選擇每月付費以支持遊戲開發。該遊戲仍在早期開發階段,最近開始在 Steam 遊戲平台上開始提供「搶先體驗」版,提供玩家嘗鮮體驗,然而卻在近日遭到勒贖攻擊。
在遭到攻擊後,Gellyberry 於官方 Discord 聊天室發表公告,指出該遊戲在上周五清晨突然遭到不明來源攻擊,伺服器中所有的資料和備份檔都遭到加密鎖定,駭客並要求支付數額不明的比特幣贖金;該公司鑑於多個案例在支付贖金後仍無法取得解鎖密鑰,因此決定不予支付,並且將手動重建伺服器,並且建立新的帳號與遊戲角色資料庫。
Gellyberry 表示,受到影響的 17,000 名玩家,其帳號與儲存的遊戲進度、遊戲內寶物都將復原,並且還會獲得一個進階版的遊戲寵物,以感謝玩家對這段期間不便之處的支持與體諒。
Gellyberry 也表示,為防範這類攻擊再度影響玩家權益與遊戲開發運作,今後會提高遊戲資料庫的離線備份頻率,同時要求所有連線到開發伺服器時必須使用 P2P VPN,並且限制可存取的 IP 網段。
受到影響的玩家須註冊一個新帳號,然後要求平台進行手動資料復原。
服務大批用戶的平台營運者,必須強化資安防護措施,以免因各類攻擊造成服務中斷,或是使用者機敏資訊外洩。
twcert 發表在
痞客邦
留言(0)
人氣()
美國國家安全局(National Security Agency, NSA)與網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)於今年 10 月時,聯名公布該單位旗下紅隊與藍隊共同歸納出的 10 大最常見網路資安設定錯誤,以供各公私單位參考並解決問題。
最常見資安錯誤設定第一名為使用軟體與應用程式的預設組態,包括使用預設登入資訊、使用預設的服務存取權限設定等;駭侵者只要用簡單的搜尋,就能找到各種軟硬體的預設登入帳密,並取得系統的存取權限,甚至進行進一步的駭侵攻擊。
第二名為未適當區隔使用者與管理者權限,這會造成一般低階使用者擁有太多不必要的管理權限,駭侵者只要利用釣魚攻擊等手法取得一般使用者存取權,即可進行各種進階操作,甚至提升己身權限以執行進階駭侵攻擊。
第三名為內部網路監控能力不足,許多單位未對主機和內部網路的流量進行充分的監控,可能導致偵測不到駭侵攻擊活動,或是缺少足夠的資料用以分析或應對資安威脅。
第四名為缺少網路分段作為,這可能導致未經授權的使用者或駭侵者,可以輕易存取關鍵內部網路資源;這種錯誤特別易使勒贖攻擊者輕易取得單位機敏資訊。
第五名為資安漏洞修補不充分,導致系統存有已知漏洞,容易遭致駭侵者用於攻擊;第六名為可略過的系統存取控制,這將使駭侵者或未經授權者可輕易存取系統,甚至提升執行權限。
第七名為不夠強或錯誤設定的多重登入驗證,包括設定錯誤的智慧卡或代碼產生器,或是缺少能抵抗釣魚攻擊的多重登入驗證程序,都將使取得登入資訊的駭侵者極易入侵系統。第八名是對網路分享資源與服務存取限制不足,駭侵者可輕易使用共享資料夾,或使用未關閉的服務來存取系統。
第九名是密碼管理強度不足,包括易於猜測破解的密碼,甚至是以明文儲存的密碼,都無法有效抵擋駭侵者攻擊;第十名則為未限制的程式碼執行,這使駭侵者只要掌握登入資訊,即可執行各種攻擊用程式碼酬載,嚴重危及系統安全。
建議各公私單位可以參考此指南,檢視並加強現存的資安防護設定錯誤,以提高資安攻擊的防護能力。
twcert 發表在
痞客邦
留言(0)
人氣()
加拿大政府日前發表資安通報,指出兩家為加拿大政府處理員工轉調手續的外包廠商,日前遭到勒贖攻擊,致使加拿大政府雇員的多種個資外洩。
據加拿大政府的通報指出,兩家協助該國政府員工轉調手續的廠商,分別是 Brookfield Globla Relocation Services (BGRS) 與 SIRVA Worldwide Relocation & Moving Services,兩家公司自 1999 年起即承辦加拿大政府員工調任的相關事宜。
加拿大政府雖然沒有在通報中詳細說明兩家公司遭駭的詳情,但勒贖團體 LockBit 在其官網中表示是該組織犯下對 SIRVA 公司的勒贖攻擊;LockBit 也揚言已經取得該公司多達 1.5TB 的資料,並向該公司要求高達 100 萬美元的贖金,但 SIRVA 並未支付,因此該批被竊資料就遭到 LockBit 公開在暗網中。
另一方面,加拿大政府於 2023 年 10 月 19 日接獲兩家外包廠商遭駭的通報後,立即向該國資安主管機關加拿大資安中心(Canadian Centre for Cyber Security)與隱私保護官辦公室(Office of the Privacy Commissioner)通報事故。
在加拿大政府對外公開的資安通報中,並未提供本次事件的受害人相關資訊,包括潛在的加拿大政府雇員受害者人數在內;不過由於 BGRS 和 SIRVA 兩家公司自 1999 年開始就承接相關業務,因此包括個人資訊財務資訊遭竊的受害者人數可能不在少數。包括加拿大皇家警察(Royal Canadian Mounted Police)、加拿大空軍與多個政府單位從業人員都受到影響。
加拿大政府表示,已針對受害者提供信用監控服務,並對有需要的人員重新核發有效護照等證件;加拿大政府也將在案件調查告一段落後盡快公布調查報告。
建議各政府單位協力外包廠商,應加強資安防護能力,避免政府所屬各種機密文件與人員相關資料遭竊。
twcert 發表在
痞客邦
留言(0)
人氣()
美國聯邦通訊委員會(Federal Communication Commission, FCC)日前推出新規定,強制要求各家電信業者強化 SIM 卡補發或攜碼轉換電信業者作業申請的安全驗證流程,以保護消費者免於日益嚴重的 SIM-swap 攻擊。
FCC 旗下的「隱私與資料保護工作小組」(Privacy and Data Protection Task Force)在 2023 年 7 月研擬推出新規定,以強化消費者與電信業者對 SIM-swap 攻擊的防護能力。所謂 SIM-swap 攻擊是指駭侵者假冒消費者要求補發手機 SIM 卡或申請攜碼至其他電信業者以取得新 SIM 卡,藉以竊取消費者的手機門號控制權。
駭侵者取得新 SIM 卡後,即可以該門號來進行進一步的攻擊活動,例如配合竊得的用戶登入資訊,以該門號接收二階段登入驗證簡訊,取得消費者各種社群與金融服務帳號的控制權,或是假冒消費者身分使用或申請各種服務,以散布惡意連結或惡意軟體等,為害甚大。
FCC 本次新規定修改了與「消費者專屬網路資訊」(Customer Proprietary Network Information,CPNI)與「本地門號可攜性」(Local Number Portability)的相關規定,強制要求電信業者在接獲消費者進行新 SIM 補發或攜碼至其他電信業者服務時,必須進行額外的使用者身分驗證,並且明確通知用戶。
FCC 表示,新規定強化了電信業者對消費者的安全保護責任,期可大幅提高 SIM-swap 的攻擊難度,減少這類攻擊的得逞。
由於在台灣申請這類電信服務均需出示雙證件,因此國內的 SIM-swap 攻擊較為少見;但消費者如果擁有國外電信門號,務必提防這類攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
全球大型財經媒體彭博新聞(Bloomberg News)所屬的加密貨幣子頻道,其在 X 平台上官方帳號日前遭竊,稍後該官方帳號即遭駭侵者用於進行詐騙,將讀者導向至釣魚網站,以騙取受害者的 Discord 平台登入資訊。
根據加密貨幣詐騙觀察家 ZachXBT 指出,駭侵者在該帳號的個人檔案中,放入了一個原本就有 14,000 個成員的 Telegram 聊天頻道連結;該連結會將點按者導向到一個有 近 34,000 名成員的假冒 Bloomberg Discord 聊天室。
據 ZachXBT 指出,Bloomberg 原本的 Telegram 頻道,其使用者名稱為 @BloombergNewsCrypto;在 2023 年 10 月時,該頻道更名為 @BloombergCrypto,但原先使用的舊名因不明原因遭到駭侵者取得,並用來發動釣魚攻擊。
受害者如果進入該舊 Telegram 頻道後,會看到由機器人自動發送的訊息,要求使用者前往其在 Discord 上的聊天室;而使用者在點按該連結後,會先被導到一個假冒的 Discord 使用者身分驗證服務釣魚網站,要求使用者輸入其 Discord 登入資訊,從而竊取使用者的帳密。
資安專家指出,由於許多加密貨幣投資者都使用 Discord 社群服務,因此 Discord 帳號資訊經常成為駭侵者的攻擊目標;駭侵者可利用竊得的 Discord 帳號來推廣加密貨幣詐騙或釣魚攻擊,甚至竊取使用者的加密貨幣資金。
為防範釣魚攻擊,建議加密貨幣投資人避免點按任何不明連結,並採用多階段登入驗證,不在任何可疑網站中提供任何帳密等個人資訊。
twcert 發表在
痞客邦
留言(0)
人氣()
