Microsoft 近日推出 2021 年 10 月份例行性資安更新修補包「Patch Tuesday」,一共修復多達 74 個資安漏洞,其中更包括 4 個 0-day 漏洞,用戶應立即套用更新。
這次的 Patch Tuesday 資安漏洞修補包,除了上述的 74 個更新外,還有另外 7 個屬於 Microsoft Edge 的資安更新;以修補完成的漏洞類型來看這 81 個漏洞,分別如下:執行權限提升漏洞:21 個;資安功能跳過漏洞:6 個;遠端執行任意程式碼漏洞:20 個;資訊外洩漏洞:13 個;服務阻斷漏洞:5 個;詐騙假冒漏洞:9 個。
twcert 發表在
痞客邦
留言(0)
人氣()
荷蘭警方日前發函給近三十個涉嫌利用網路攻擊服務,意圖發動 DDoS 攻擊的「客戶」,告知如果繼續發動網路攻擊,將面臨司法控訴。
荷蘭警方日前發函給近三十個涉嫌利用網路攻擊「服務」網站,意圖針對特定目標發動分散式服務阻斷攻擊(Distributed Denial of Service, DDoS)攻擊的「客戶」,告知如果繼續發動網路攻擊,將面臨司法控訴。
荷蘭警方發送給這些攻擊者的信件內文指出,警方已經將這些攻擊者登錄在案,如果未來持續發生類似的攻擊事件,警方將會正式將攻擊者移送法院偵辦;攻擊者如不立即停止攻擊行動,將面臨後續的司法行動,包括正式定罪、留下犯罪記錄、攻擊工具(如電腦或/及筆電)將遭沒入等。
所有接獲荷蘭警方通知的「客戶」,都使用 minesearch.rip;該網站提供這些客戶各種發動 DDoS 攻擊的「服務」和工具,可以讓攻擊者選擇要攻擊的對象;目前該網站已經停止運作,警方也正在調查該網站涉及的攻擊事件。
多名攻擊發動者,過去曾透過該網站的「服務」,對多個公私部門的目標發動 DDoS 攻擊得逞。去年 7 月 30 日,荷蘭警方搜索兩個 19 歲嫌疑人的住處,這兩人疑為該網站的關係人。荷蘭警方於去年 10 月一口氣查緝並下線了 15 個用以發動 DDoS 攻擊的網站。
警方說,採用這種先行警告的方式,是希望給予這些可能十分年輕的攻擊發動者一個改過向善的機會;有些年輕人只是想要證明自己的技術能力,荷蘭警方同時提供多種類似白帽駭客的計畫,包括電腦軟硬體、遊戲與網路犯罪的白帽駭侵活動,以期導正這些年輕駭侵者,將其技能用於正途之上。
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft Azure 雲端服務發表資安通報,指出該服務於今(2021年)8 月時遭到破記錄強大 DDoS 攻擊,瞬間最大資料流量高達每秒 2.4Tbps。
Microsoft Azure 雲端服務日前發表資安通報,指出該服務於今(2021年)8 月時遭到破記錄的強大分散式服務阻斷(Distributed Denial of Service, DDoS)攻擊,瞬間最大資料流量高達每秒 2.4Tbps;所幸系統成功抵擋這波攻擊,客戶的網站和數位服務並未受到影響。
Microsoft Azure 的網路架構資深主管指出,這波攻擊是同時由超過 70,000 個主要位於亞太地區的僵屍網路節點同步發動攻擊,這些攻擊節點分布於馬來西亞、越南、台灣、日本、中國與美國境內,主要的攻擊目標為 Microsoft Azure 在歐洲地區的某個客戶。
該主管指出,這次 DDoS 攻擊行動主要分為三波攻擊,首先是瞬間流量高達 2.4Tbps 的第一波攻擊,之後的兩波攻擊,其瞬時流量則略有降低,分別為 0.55Tbps 與 1.7Tbps;該主管說 Azure 的攻擊抵禦架構成功擋下這三波攻擊,Microsoft Azure 服務並未因攻擊而發生阻斷。
先前 DDoS 攻擊的瞬間最大流量記錄,是發生在 2020 年 2 月;一次針對 Amazon AWS 系統的攻擊,該次攻擊的瞬間最大流量為 2.3Tbps。
在這次高達 2.4Tbps 的大流量攻擊發生數日後,發生了另一次同樣打破記錄的攻擊活竻;該攻擊係由一個稱為 Meris 的僵屍網路發動,目標是一家將銀行金融服務託管於 Yandex 雲端服務的俄羅斯銀行;其最大同時連線要求數量高達每秒 2,180 萬次。
twcert 發表在
痞客邦
留言(0)
人氣()
Apache HTTP web server 遭發現已大規模用於駭侵攻擊的嚴重 0-day 資安漏洞,可能有超過十萬台網頁伺服器曝露於攻擊風險中;Apache 已緊急修復此漏洞。
廣獲全球網站管理者採用的開源網頁伺服器軟體 Apache HTTP web server,日前遭發現已大規模運用於駭侵攻擊的嚴重 0-day 資安漏洞;可能有超過十萬台網頁伺服器曝露於攻擊風險中;Apache 已緊急修復此漏洞。
存有此 0-day 漏洞的 Apache web server 版本為 2.4.49,該漏洞為一種路徑穿越與檔案洩露漏洞;駭侵者可以利用此漏洞來存取指定 root 路徑之外,且未設定為禁止存取的檔案;這可能會造成駭侵者取得網站的各種機密檔案,例如原始碼或 CGI 程式碼等等。
這個 0-day 漏洞據報已遭駭侵者大規模濫用於攻擊活動。據 Shodan 的研究報指出,在整個 Internet 上有超過 112,000 台安裝存有漏洞 Apache web server 的網站,曝露於攻擊風險之中,而這些網站遍布全球各地。
Apache 在發現 CVE-2021-41773 與 CVE-2021-42013 漏洞後,先是緊急推出 Apache HTTP Server 2.4.50,但很快發現這個新版本的修補能力不夠完整,駭侵者還是可透過類似的方法來發動攻擊,取得指定路徑外的檔案;Apache 很快又推出了更新的 Apache HTTP Server 2.4.51 版,以完全解決該漏洞造成的風險。
採用 Apache HTTP Server 的網站管理者,應立即採取行動,將使用中 Apache HTTP Server 的版本,更新至 2.4.51 及其後版本,以避免遭到駭侵者利用此 0-day 漏洞發動攻擊。CVE編號:CVE-2021-41773、CVE-2021-42013影響產品/版本:Apache HTTP Server 2.4.49 與 2.4.50解決方案:升級至 Apache HTTP Server 2.4.51 及之後版本
twcert 發表在
痞客邦
留言(0)
人氣()
一名匿名駭客宣稱駭入遊戲直播平台 Twitch,取得該站網站、應用程式等所有原始碼、影音直播主付款記錄、專屬開發工具等重要資料。一名匿名駭客宣稱成功駭入全球最大遊戲社群直播平台,數年前被 Amazon 收購的 Twitch,取得該站網站、應用程式等所有原始碼、影音直播主付款記錄、專屬開發工具等重要資料。
該名駭侵者在美國鄉民網站 4chan 貼出一個容量高達 125GB 的 torrent P2P 檔案分享連結,該批檔案經多家媒體與多位資安專家證實,確實是自 Twitch 內部流出的檔案。
這批外洩檔案的詳細內容,包括 Twitch 整個網站的原始程式碼、可追溯至開站初期的所有程式碼變更記錄、自 2019 年起支付給影音直播主的付款記錄、Twitch 在各桌機、手機與電視遊樂器平台的應用程式、內部專用的開發工具、內部使用的 Amazon Web Services 服務、包括 IGDB 與 CurseForge 等 Twitch 旗下所有產品與頻道、Amazon Game 服務尚未推出上市的 Steam 競爭產品 Vapor、Twitch 為了防駭使用的 「紅隊」駭侵模擬測試工具等。
許多人透過 torrent P2P 下載工具取得該批檔案後,也發現這批資料中甚至包括已加密的用戶登入密碼。
Twitch 在接受媒體採訪時表示,該公司確實知道所有資料全部遭外洩一事,並指出駭侵事件可能發生於 2021 年 10 月 4 日;該公司正在緊急調查整起事件的原因與過程,並將隨時公告最新調查結果。
資安專家指出,鑑於用戶密碼也已遭竊,建議所有 Twitch 用戶,務必盡速變更登入密碼,並且啟用二階段登入驗證,以防止帳號遭到取得外洩資訊的不明駭侵者利用於資安攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
Google 近期推出 Android 2021 年 10 月資安更新,一共修補 41 個各種資安漏洞,其中有三個屬於嚴重等級。
Google 近期推出 Addroid 2021 年 10 月資安更新,一共修補 41 個各種資安漏洞,其中有三個屬於嚴重等級,其他的漏洞則屬於高等級。
在這次的例行資安漏洞修補更新中,三個屬於「嚴重」(critical)等級的漏洞分別是:CVE-2021-0870:存於 Android 系統中,可導致駭侵者在具有系統權限的執行程序中,遠端執行任意程式碼;CVE-2020-11264:存於高通(Qualcomm)無線網路子系統的嚴重資安漏洞;CVE-2020-11301:同樣存於高通的無線網路子系統內,在安全的網路內可接受未加密(純文字)的資料。
twcert 發表在
痞客邦
留言(0)
人氣()
全球第二大的加密資幣交易所 Coinbase,發生駭侵者利用該公司多階段登入驗證錯誤,致使六千多名顧客存在該交易所中的加密貨幣遭竊事件。
全球第二大的加密資幣交易所 Coinbase,日前發生駭侵者利用該公司多階段登入驗證錯誤,致使六千多名顧客存在該交易所中的加密貨幣遭竊的事件。
在 Coinbase 發送給受害用戶的說明中指出,這次攻擊事件發生在 2021 年 3 月與 5 月之間;駭侵者透過先前取得的用戶帳號與個人資料,包括 Email 地址、登入密碼、電話號碼來存取受害者的帳戶,並且竊走存在帳戶內的加密貨幣。
Coinbase 表示,駭侵者係利用該公司的簡訊帳號存取權取回系統的漏洞,透過簡訊取得回復帳號所需的二階段登入驗證碼。
至於這次駭侵事件中,駭侵者是如何先行取得受害用戶的各項帳戶內個資,Coinbase 並未確認原因;但 Coinbase 認為這些用戶曾經遭到駭侵者以釣魚攻擊手法騙取相關登入資訊與個資的可能性相當高;在今年(2021) 1 月時,也曾發生過駭侵者透過釣魚郵件與假冒 Coinbase 登入網站的攻擊事件。
由於駭侵者可以存取受害用戶的 Coinbase 帳戶,因此除了加密貨幣被竊之外,這些受害用戶存於 Coinbase 的各種資料,包括全名、Email 地址、住家地址、出生年月日、帳號活動使用的連線 IP、交易記錄、持有資產與帳戶餘額等資訊,也都全部遭駭侵者掌握。
這起駭侵事件中,遭受損失的六千多名 Coinbase 用戶被竊的加密貨幣總額有多少,Coinbase 並未對外公開,而在寄發給受害用戶的道歉信件中,Coinbase 表示會全額賠償用戶被竊的損失。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現新的 APT 駭侵團體,長期系統化的方式,攻擊俄羅斯、美國、印度、尼泊爾、台灣、日本等國家的政府機關、能源產業、航空業與其他製造業。
資安廠商 Positive Technologies 旗下的資安研究團隊 Positive Technologies Expert Security Center(PT ESC),日前發表研究報告,指出該單位的資安專家,近來發現新的進階持續威脅(Advanced Persistent Threat, APT)駭侵團體,長期以系統化的方式,持續攻擊俄羅斯、美國、印度、尼泊爾、台灣、日本等國家的政府機關、能源產業、航空業與其他製造業。
PT ESC 的資安專家指出,雖然俄羅斯等國的能源產業和航空產業,原本就是駭侵團體經常攻擊的目標,但該單位這次發現的攻擊行動,對這些產業造成嚴重的損害;去年發生的攻擊案件中,84% 的攻擊行動,其目標為資料竊取;這些企業的防護措施無法有效提供保護能力,以致駭侵者成功入侵的機率高達九成以上。
PT SEC 進一步指出,該團體每次成功的駭侵攻擊,不但可以竊走重要的公司機密資料,包括客戶、上下游協力廠商和員工的機敏資訊、郵件通訊內容與內部文件之外,還能取得重要伺服器與基礎設施裝置的控制權。
這個新發現的 APT 駭侵團體稱為「ChamelGang」,在一次攻擊活中,該團體利用一個早就由 RedHat 在四年前修補完成的老舊 RCE 漏洞 CVE-2017-12149,先入侵子公司用的開源軟體,再以極快的速度,在兩周後成功入侵母公司系統,自目錄伺服器中取得密碼字典檔與管理者權限,在系統中活動長達三個月,竊取各種資料而未遭發現。
其他攻擊案例也包括使用 Microsoft Windows Server 日前被發現的嚴重漏洞 ProxyShell 發動攻擊,躲過多數防毒防駭系統的偵測,成功攻破受害公司的郵件伺服器。
twcert 發表在
痞客邦
留言(0)
人氣()
美國資安主管機關 CISA 與 NSA 聯合發布 VPN 資安強化指引,幫助各公私單位加強 VPN 對抗外國勢力駭侵攻擊的能力。
美國資安主管機關網路安全暨基礎設施安全局(Cybersecurity & Infrastructure Security Agency, CISA) 與國家安全局(National Seurity Agency, NSA),近日聯合發布 VPN 資安強化指引,旨在協助各公私單位加強 VPN 對抗外國勢力駭侵攻擊的能力。
CISA 與 NSA 在新聞稿中指出,VPN 伺服器是進入各種重要受保護網路的入口,因此經常成為各種駭侵團體攻擊的首選;過往有許多受國家力量資助的「進階持續威脅」(Advanced Persistent Threat, APT)駭侵團體,利用各種 VPN 解決方案的資安漏洞與不當設定,不但可以竊取人員登入資訊、遠端執行任意程式碼、破解經由加密傳輸的資訊、攔截破譯傳輸內容、竊取機敏檔案等等。
該指引詳細列舉了如何選擇安全的 VPN 連線服務,以及強化連線安全性的設定方式,以避免 VPN 遭到駭侵攻擊成功;包括選用由「國家資訊保障伙伴」(National Information Assurance Partnership)經過測試驗證通過的 VPN 產品、導入例如多階段登入驗證以強化登入驗證機制、隨時即時套用各種資安修補更新,以及停用非 VPN 相關功能等方法,以盡力強化 VPN 對抗駭侵攻擊的能力。
新聞稿說,這份指引係提供給美國政府旗下各單位如國防部、國家安全體系(National Security Systems)與各種國防工業基地等單位參考遵循之用,
在這份指引列出的 VPN 合格產品列表中,列出一共 225 種合格產品與服務,包括硬體產品型號、其作業系統或韌體版本等資訊,以供意欲提升資安防護等級的公民營單位參考採購。
twcert 發表在
痞客邦
留言(0)
人氣()
有一個 Mozilla Firefox 上的惡意外掛程式 Safepal Wallet,會竊取用戶的加密貨幣;目前已造成用戶損失。
有一個 Mozilla Firefox 上的惡意外掛程式 Safepal Wallet,會竊取用戶的加密貨幣;不但在 Mozilla 外掛程式網站上存在已久,也已造成用戶損失。
一位暱稱為 Cali 的 Mozilla Firefox 用戶,日前在 Mozilla 支援討論區上發文,指出自己在 Mozilla Add-ons 外掛程式網頁中安裝了這個叫做 Safepal Wallet 的外掛加密貨幣錢包後,不久就發現自己存放在錢包內的所有加密貨幣餘額變成 0;檢查轉帳記錄後,發現有高達 4,000 美元的加密貨幣,都被私下轉帳到其他錢包位址之中。
據資安專業媒體 BleepingComputer 報導指出,Safepal Wallet 外掛程式存在 Mozilla Add-ons 網頁中已長達 7 個月,最初上架日期為 2021 年 2 月 16 日。
據 Mozilla 的規定,任何要上架到 Mozilla Add-ons 的瀏覽器外掛程式,「都必須接受 Moziila 不定期的審查」;但 Mozilla 並未明確指出是否會審查所有外掛程式的安全性,也沒有透露審查方式或標準。
BleepingComupter 報導指出,Safepal Wallet 的行動裝置應用程式,在 Apple App Store 與 Google Play Store 均有上架,都是由官方上架且經過審核,屬於安全且正常的 App,因此上架到 Mozilla Add-ons 的外掛程式,很可能是駭侵者上傳的假冒外掛程式。
BleepingComputer 旗下的資安研究人員,也發現了一個可能與此詐騙外掛程式相關的網域名稱,其網站會假冒為 Safepal Wallet 的支援網頁,要求用戶輸入 Safepal Wallet 的 12 詞帳號恢復密語;當用戶輸入恢復密語後,該網站不會有任何反應,很可能已將恢復密語偷偷傳送到駭侵者的資料庫中。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發表研究報告,2020 年全年統計數字指出,91% 全球製造業均曝險於各式資安攻擊的危險之下,攻擊次數較 2019 年增加達 51%。資安廠商 Positive Technologies 發表研究報告,2020 年的全年統計數字指出, 91% 全球製造業均曝險於各式資安攻擊的危險之下,且不重覆的攻擊事件次數,較 2019 年增加高達 51%。
twcert 發表在
痞客邦
留言(0)
人氣()
資安研究人員發現一個基於 Microsoft Exchange Autodiscover 協定設計與實作錯誤的駭侵方法,可以輕易取得十萬個 Windows 用戶登入資訊。
資安廠商 Guardicore 的研究人員,日前發現一個基於 Microsoft Exchange Autodiscover 協定設計與實作錯誤的駭侵方法,可以輕易取得全球十萬個以上 Windows 用戶登入資訊。
據研究人員指出,Microsoft Exchange Autodiscover 的功能,可以根據企業內部預先定義好的設定值,自動組態設定用戶的 Email 應用程式;用戶在其 Email 應用程式(例如 Outlook)中輸入帳號密碼後,應用程式會把登入資訊傳送到多個 Exchange Autodiscover URL,以進行驗證與組態,並將結果傳回使用者的 Email 應用程式;但如果使用者的應用程式無法驗證上述 URL,就會根據一些預先定義的規則,創造一些可能存有 Exchange Autodiscover 機制的 URL,例如 http://Autodiscover.com/Autodiscover/Autodiscover.xml。
研究人員指出,問題就出在這些由 Email 應用程式自行產生的 URL,可能是不被信任的網域伺服器;因此擁有這些網域的控制者,就有可能收到由 Email 應用程式傳來要求驗證的用戶登入資訊。
Guardicore 為此註冊了多個網域,例如 Autodiscover.com.br、Autodiscover.com.cn、Autodiscover.com.co、Autodiscover.es、Autodiscover.fr、Autodiscover.uk 等,看看可以攔截到多少由 Microsoft Exchante 用戶 Email 應用程式誤傳來的登入資訊;結果在 2021 年 4 月 20 日到 2021 年 8 月 25 日的四個多月間,收集到來自全球近 10 萬個不重覆 Windows 用戶的登入帳號與密碼。
資安專家建議,在微軟正式推出更新程式前,各企業應在防火牆或 DNS 伺服器中阻斷任何 autodiscover.[tld] 的對外連線,以免 Email 應用程式向外輸出用戶登入帳密,並遭駭侵者取得以發動攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
