Microsoft 日前發布 2022 年 7 月的例行性資安更新包(Patch Tuesday);在這次發表的資安更新包中,一共修復多達 84 個資安漏洞,包含 1 個 0-day 漏洞,更有 4 個漏洞屬於嚴重(Critical)等級。
各種 Microsoft 軟體產品的用戶與系統管理員,應立即按照指南進行更新,以減少遭駭侵者利用已知漏洞發動資安攻擊的風險。
這次 Microsoft Patch Tuesday 更新修復的漏洞,依漏洞類型區分如下:執行權限提升漏洞:52 個。資安防護功能跳過漏洞:4 個。遠端執行任意程式碼漏洞:12 個。資訊洩露漏洞:11 個。分散式服務阻斷攻擊(Distributed Denial of Service, DDoS)漏洞:5 個。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 NCC Group 旗下的資案專家,近日發現一種通用於無人機遙控器與機體間無線通訊的開源通訊協定 ExpressLRS 存有資安漏洞,可導致駭侵者跳過配對過程,直接挾持其他人所有的無人機。
據報告指出,ExpressLRS 是一種高效能的開源無線電控制連線公用程式,可透過 900MHz 與 2.4GHz 公眾無線頻道來控制各種無線電裝置,並且廣泛使用於各型無人機或無人遙控載具上。
研究人員說,在 ExpressLRS 進行控制器與遙控裝置的連線時,使用一種稱為「綁定短語」(binding phrase)的方式當做配對用的金鑰,而 binding phrase 金鑰的設計目的並非為了資安,而是要避免與其他無線控制裝置相互衝突。該金鑰係寫入於韌體中。
研究人員指出,他們找到一種方法用以破解該密鑰:先取得共享於控制器與遙控裝置之間的部分識別資訊,然後運用一種結合分析與暴力試誤法的軟體,找出完整的識別資訊後,即可跳過裝置間的配對過程,直接控制目標遙控裝置。
研究人員指出,一旦這種駭侵技術遭到大規模濫用,很可能造成無人載具隨時面臨被挾持的風險,甚至於失控墜毀。
為強化 ExpressLRS 的傳輸安全性,建議用戶不要在控制連線期間傳送任何 UID 資訊,以免遭到駭侵者攔截資料並算出連線金鑰;另外也建議無線遙控載具廠商強化其亂數產生器,以更安全的演算法計算出更難以破解的亂數,以增加暴力試誤的難度與所需時間。
twcert 發表在
痞客邦
留言(0)
人氣()
Google 日前發表的新版 Chrome for Windows 103.0.5060.114,修復了一個高度危險的 0-day 漏洞,已知該漏洞已遭駭侵者大規模濫用於駭侵攻擊。這是 Google Chrome 今年修復的第 4 個 0-day 漏洞。
這個得到修復的漏洞,編號為 CVE-2022-2294,是一個存於 WebRTC (Web Real-Time Communications)組件內的 heap 緩衝區溢位錯誤,由資安廠商 Avast Threat Intelligence 團隊旗下的資安專家 Jan Vojtesek 於日前發現並提報給 Google。
資安專家指出,該漏洞可用於造成程式崩潰,甚至可遠端執行任意程式碼;該漏洞的 CVSS 危險程度評分高達 9.8 分(滿分為 10 分);危險程度評級則為「嚴重」(Critical)等級。
Google 目前己經釋出的新版 Chrome for Windows 103.0.5060.114,已經修復此一漏洞,Google 表示目前已知有駭侵者利用該漏洞發動大規模攻擊,而在大多數用戶都更新到最新版本前,攻擊可能還會持續發生。
建議 Google Chrome 用戶應立即透過 Chrome 內部的自我更新或手動更新機制,儘速將 Chrome 版本更新到最新版本,以避免未修補的漏洞遭到駭侵者用於攻擊。CVE編號:CVE-2022-2294影響產品(版本):Chrome for Windows 103.0.5060.114 之前版本。解決方案:升級至 Chrome for Windows 103.0.5060.114 與之後版本。
twcert 發表在
痞客邦
留言(0)
人氣()
台灣專業網路儲存設備廠 QNAP(威聯通)推出各型網路儲存裝置(Network Attached Storage, NAS),近來發現一波新的 Checkmate 勒贖攻擊;該攻擊主要針對使用者密碼強度不足,且對外網啟用 SMB 連線服務的裝置進行攻擊。
在 QNAP 發表的資安通報中指出,Checkmate 勒贖攻擊主要針對如上所述,開啟了 SMB Windows 檔案分享服務,且裝置直接連上 Internet 的 NAS 裝置,發動字典檔暴力試誤登入攻擊;如果裝置使用預設登入帳號與弱密碼,就很可能遭到駭侵者成功登入,並將裝置上的檔案進行加密。
QNAP 在資安通報中表示,目前正在調查該駭侵事件;該通告也針對本駭侵攻擊的防範方式提出建議。
QNAP 各型 NAS 裝置用戶,應依 QNAP 資安通報與資安專家的建議,立即採取以下行動:避免直接讓裝置的 SMB 服務在外部 Internet 上曝露;如需自外網連線裝置的 SMB 協定,可參照該公司提供的操作指南,透過 VPN 連線來進行資料存取。停用 SMB 1。將使用中的 QNAP 裝置更新到最新版 QNAP 作業系統。立即審視所有 NAS 上的使用者帳號,確認密碼強度足夠。定期備份檔案並執行檔案快照作業。將系統預設的 admin 帳號停用,改用其他不容易被猜到的帳號設定為系統管理員專用帳號。在系統防火牆中設定規則,將多次嘗試登入失敗的 IP 列入黑名單,禁止再次連線。
twcert 發表在
痞客邦
留言(0)
人氣()
開源 Python 網路框架程式庫專案 Django,日前推出更新版本,修復一個嚴重資安漏洞 CVE-2022-34265,駭侵者可利用該漏洞來進行指令注入;由於使用 Django 的網站與網路應用程式多,用戶應立即更新以修補該漏洞。
CVE-2022-34265 由資安廠商 Aeye Security Lab 旗下的資安專家 Takuto Yoshikai 發現,漏洞係存於 Django 的主要分支、版本 4.1 beta、4.0 與 3.2 之中,該漏洞屬於 SQL 資料庫指令注入漏洞,駭侵者可透過傳入特定的 Trunc(kind) 和 Extract(lookup_name) 參數誘發此漏洞,並且注入指令進行攻擊。
該漏洞的 CVSS 危險程度評分高達 9.8 分(滿分為 10 分),危險程度評級則為「嚴重」(Critical)等級。
不過 Django 表示,就算用戶採用的是有此漏洞的版本,如果用戶的網站與應用程式有針對 lookup name 與 kind 選擇進行輸入檢查限制,就可能不受此漏洞的影響,因為駭侵者將無法傳送惡意參數。
Django 於近日推出的 Django 4.0.6、Django 3.2.14,已將此 CVE-2022-34265 漏洞修補完成;另外針對主要分支、4.1、4.0、3.2 等舊版也推出修補工具。
由於採用 Django 框架開發的網站和網路應用程式非常多,如果有駭侵者大規模利用此漏洞發動攻擊,可能帶來很大的損失;因此採用 Django 的開發者與網站管理者,應對上線產品進行徹底檢查與必要的升級或修補,以避免遭到攻擊,造成損失。CVE編號:CVE-2022-34265
twcert 發表在
痞客邦
留言(0)
人氣()
資安媒體 BleepingComputer 報導指出,該刊發現近來有駭侵者竊取經過官方驗證的 Twitter 帳號,然後利用這些帳號發送詐騙訊息,假稱用戶即將遭到停權,藉以騙取其 Twitter 帳號登入資訊。
這些被利用的官方驗證帳號,是經由 Twitter 官方審核過,可證明其真實存在,且具備一定程度社群影響力的帳號;在其帳號處會顯示一個特別的藍色勾勾標誌。
由於這類帳號並不容易取得,又有 Twitter 官方背書保證,通常會有較多的追蹤者,也容易取得大眾的信任,因此特別容易成為駭侵者的目標。
以這次事件來說,BleepingComputer 的記者 Sergiu Gatlan 在其 Twitter 帳號收到一封來自經驗證帳號的私訊,私訊內容假冒 Twitter 官方的支援團隊,指稱收訊人因為曾在 Twitter 上發表過仇恨言論,因此將於 48 小時內將該帳號予以停權;若用戶想要申訴以撤回停權處分,需點按訊息中的短網址連結。
該名記者為了追蹤這則釣魚假訊息,點按了訊息中的短網址連結,即被導向到一個看起來極為類似 Twitter 支援中心的登入畫面,但其呈現在瀏覽器中的網址,並非 Twitter 官方的 twitter.com 網域。
記者試著輸入該刊擁有的測試用 Twitter 帳號,該頁面就利用Twitter API 取得該帳號在 Twitter 使用的頭像,加強用戶的信任感,並進一步要求輸入登入密碼。
資安專家指出,這類盜用知名人士經驗證帳號進行的詐騙,近日有逐漸增加的趨勢;因此各種社群平台用戶收到這類可疑訊息時,務必再三確認真偽,切勿輕信內容而誤點連結。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 TrustWave 發現一個新的社群媒體攻擊行動,駭侵者利用聊天機器人假扮為客服人員,透過 Email 詐騙方式,意圖竊取粉絲專頁的登入資訊。
TrustWave 發表的監控報告指出,該公司觀察到一波透過垃圾釣魚郵件發動的聊天機器人詐騙攻擊;受害者接到的信件內容,有些偽裝成 Facebook 的內容管理團隊,詐稱受害者的 Facebook 粉絲專頁違反該公司的使用條款,受害者必須於期限內點按信中連接,否則將刪除該粉絲專頁。也有釣魚信件詐稱提供受害者工作機會,必須點按連結提出申請。
當受害者點按連結後,會進入一個由 Facebook Messenger 聊天機器人進行對話的聊天室,用戶會在聊天室中看到和收到的詐騙郵件類似的內容,然後會出現一個「提出申訴」的按鈕,按鈕按下後,用戶會被導到一個看似 Facebook 支援頁面的釣魚網頁,需填入多個用戶個資與密碼;該網頁甚至還會傳送假的二階段登入驗證碼給用戶,以降低用戶戒心。
報告也指出,在整個詐騙過程中存有許多破綻可供識別,例如釣魚信件的 header 中,寄件人的網域並非 Facebook 擁有的網域;此外用戶看到的 Facebook 申訴頁面,顯示在瀏覽器網址列中的 URL,也非 Facebook 網域。
建議用戶若收到這類威脅刪除粉絲頁面或個人帳號的訊息,萬勿驚慌,也不要立即點按其中的任何連結;應先仔細檢視 Email Header 中的寄件者詳細資訊,是否確實來自真正的寄件者網域,而非任何其他網域。進入需要填寫敏感資訊的網頁,也應再三確認網址確實屬實。
twcert 發表在
痞客邦
留言(0)
人氣()
Google 旗下的資安威脅分析小組(Threat Analysis Group, TAG)日前發表資安通報,指出有若干網際網路服務供應商(Internet Service Provider, ISP),涉嫌與間諜軟體業者合作,在用戶的 iOS 與 Android 手機中植入監控工具。
出現在 Google TAG 報告中的商用間諜軟體業者,是義大利的 RCS Labs;該公司與一些 ISP 業者涉嫌透過詐騙手法,在用戶的 iOS 與 Android 手機中以側載方式安裝惡意軟體。受害者主要是義大利與哈薩克用戶。
Google 指出,在某些案例中,發現涉案的 ISP 業者會先中斷目標用戶裝置的行動連線服務,接著駭侵者會將惡意連結發送到受害者的裝置上,假稱點按連結即可恢復行動連線服務,引誘受害者點按連結。
對 iOS 裝置,駭侵者發送的連結,可透過企業認證簽署來安裝惡意軟體;惡意軟體利用的都是在 2021 年以前發現的多個 iOS 漏洞,可用以提升執行權限,並自用戶的 iOS 裝置中竊取機敏資訊。
對 Android 裝置,駭侵者則直接發送一個惡意 Android App,沒有用到任何已知漏洞,而是直接透過 DexClassLoader API 來下載並執行額外的惡意程式碼。
駭侵者另外也製作假冒的支援網站,聲稱可以幫用戶回復其 Facebook、Instagram、WhatsApp 被停權的帳號,藉以誘使用戶安裝惡意軟體。
建議行動裝置用戶應避免在非 Apple、Google 官方的應用程式商店中下載安裝任何軟體,以避免遭到類似的詐騙訊息誘騙,在手機上安裝惡意程式碼。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Forescout 旗下的資安研究單位 Vedere Labs,近日發表研究報告,指出 10 家大型營運科技(Operational Technology, OT)大廠設備,一共存有 56 個各式資安漏洞;這些漏洞可造成多家採用該批設備的關鍵基礎設施生產裝置,遭到各式不同形態的駭侵攻擊。
報告提到的 10 家 OT 設備大廠,包括 Honeywell、Motorola、Omron、Siemens、JTEKT、Bentley、Nevada、Phoenix Contact、ProConOS、Yokogawa 等;而這些設備大廠產品被發現的 56 個資安漏洞,在該報告中合稱為「Icefall」。
報告指出,這 56 個資安漏洞可使駭侵者用以發動多種駭侵攻擊,依其比例如下:不當獲取各式登入資訊:38%;韌體操弄:21%;遠端執行任意程式碼:14%;組態設定操弄:8%;服務阻斷攻擊(DoS):8%;跳過驗證流程:6%;檔案操弄:3%;邏輯操弄:2%。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 PIXM 旗下的資安專家,發現現在正有一波透過 Facebook Messenger 散布的釣魚攻擊活動,會騙取用戶的 Facebook 登入資訊;該攻擊活動正在快速散布,現已有數百萬用戶受害,且人數還在快速增加中。
PIXM 的資安專家指出,這波攻擊最初是在 2021 年 9 月時偵測到,一直沒有停息的跡象;隨著遭到釣魚攻擊的人愈來愈多,專家估計總受害者將突破 1,000 萬人以上。
這波攻擊是典型釣魚攻擊手法,目標是騙取用戶的 Facebook 登入資訊。當用戶不慎點擊透過 Facebook Messenger 傳來的釣魚訊息內連結時,會看到一個假冒的 Facebook 登入頁面;用戶輸入自己的 Facebook 登入資訊後,該登入資訊會立即傳送到攻擊者手中,攻擊者再利用於登入受害者的 Facebook 帳號,並將相同的釣魚訊息一一傳送給受害者在 Facebook 上的朋友,擴大詐騙範圍。
受害者在釣魚網頁輸入自己的 Facebook 帳號密碼後,接著會看到大量的廣告和問卷頁面,藉以賺取廣告點擊瀏覽分潤;資安專家估計,光是在 2021 年第 4 季,攻擊者因為這些廣告瀏覽而賺到的不法所得,就高達 5,900 萬美元。
資安專家也指出,這波攻擊利用特殊手法,透過多次重新導向,巧妙躲過 Facebook Messenger 平台的資安防護機制, 所以才會導致大量用戶接收到釣魚訊息。
建議 Facebook 用戶如果收到久未連絡的朋友突然傳來訊息,且內含不明連結,務必提高警覺,切勿點擊;如不慎點擊,也不要在不明釣魚網頁上輸入任何登入資訊或個人機敏資料,以免駭客的釣魚攻擊得逞。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 F5 Labs 旗下的資安專家,近期發現一個新的 Android 金融惡意軟體 MailBot;資安專家指出,MailBot 會偽裝成加密貨幣挖礦軟體和 Chrome 瀏覽器,以多種管道誘騙用戶下載。
據 F5 Labs 的報告指出,MailBot 的控制伺服器位置設於俄羅斯,且其使用的 IP 位置與 2020 年 6 月起的多次惡意軟體散布攻擊活動有關。
目前觀察到的 MailBot 散布方式,以在各類與加密貨幣投資與應用相關的網站中「推廣」為主;用戶在這類網站上可以下載 APK 檔案並手動安裝;而這些惡意軟體外觀與可在 Google Play Store 下載的 TheCryptoApp 之類的應用軟體極為類似。
報告也指出,其中一種含有惡意程式碼的惡意軟體,透過一個名為 Mining X 的網站來散布;該網站宣稱用戶只要下載安裝該網站提供的挖礦程式,即可輕鬆透過手機挖掘加密貨幣。
該惡意軟體一旦安裝到 Android 裝置上,會先向用戶要求取得程式啟動器(launcher)權限,接著就會自己取得各種裝置與系統存取權限;目前 F5 Labs 指出 MailBot 可以擱截通知內容、簡訊與電話通話、擷取螢幕畫面、註冊開機啟動項目、透過 VNC 進行裝置遙控等等,甚至可以竊取 Google Authenticator 內產的的二階段驗證碼,並且自動填寫驗證碼。
目前 MailBot 主要感染義大利與西班牙的 Android 用戶,竊取其手機內部的機敏資訊,如金融服務登入資訊、加密貨幣錢包密碼等。資安專家指出,該惡意軟體很可能擴大其影響範圍。
建議 Android 手機用戶應避免自 Google Play Store 以外的地方下載安裝軟體,尤其切勿自行安裝 APK 檔案;遇到安裝時要求過多或過高權限的 App 時,也應拒絕給與權限並立即移除。
twcert 發表在
痞客邦
留言(0)
人氣()
國際刑警組織(INTERPOL)日前宣布一個全球社交工程犯罪逮捕行動,行動代號稱為「First Light 2022」,會同參與行動的國家高達 76 國,一共逮捕近 2,000 人,緝獲不法所得高達 5,000 萬美元。
First Light 2022 專案鎖定各種透過社交工程(Social Engineering)進行的各種網路或電話犯罪,包括詐騙電話、假戀情、企業 Email 攻擊(Business Email Compromise, BEC),以及相關的不法洗錢行為等。
據國際刑警組織表示,First Light 2022 相關追緝成果統計如下:在全球 1,770 處不同地點展開緝捕作業;鎖定近 3,000 名嫌犯身分;逮捕近 2,000 名參與的犯罪分子,包括電話詐騙通話人員、車手與洗錢分子;凍結近 4,000 個銀行帳戶;緝獲近 5,000 萬美元不法款項。
twcert 發表在
痞客邦
留言(0)
人氣()
