台灣資安廠商研究員在近期的一場學術會議上發表關於 Microsoft Exchange 的資安漏洞相關報告後,即有駭侵者開始利用這些漏洞進行掃瞄,意圖利用這些漏洞發動攻擊。
台灣資安廠商 DEVCORE 研究員蔡政達(Orange Tsai),在近期的一場學術會議 Black Hat talk 上發表關於 Microsoft Exchange 的資安漏洞相關報告後,即有駭侵者開始利用這些漏洞,針對網路上的 Microsoft Exchange Server 進行掃瞄,意圖利用這些漏洞發動攻擊。
駭侵者掃瞄並欲加以利用的一組三個 MS Exchange Server 漏洞,被合稱為 ProxyShell 漏洞,分別是 CVE-2021-34474、CVE-2021-34523 與 CVE-2021-31207,這三個漏洞的組合,可讓駭侵者不需要經過登入驗證,即可在 Microsoft Exchange Server 上遠端執行任意程式碼。
台灣資安廠商 DEVCORE 的首席研究員蔡政達,因為發現這三個漏洞而獲得今年四月 Pwn2Own 2021 駭侵測試的大獎,而這些漏洞也在今年四月到五月之間,由 Microsoft 官方發布的資安修補程式予以修復。
在蔡政達於在 Black Hat talk 上發表研究成果,並解釋 ProxyShell 漏洞可以如何運作後,另有兩位資安研究專家發表了相關技術研究報告,指出如何實作該漏洞的攻擊後,就有另一位資安專家 Kevin Beaumont 發現有駭侵者試圖偵測他設立的 Microsoft Exchange Server 是否有該漏洞可入侵,在進一步追查後,發現有駭侵者開始大規模掃瞄網路上的 Microsoft Exchange Server,以利用 ProxyShell 漏洞發動攻擊。
Kevin Beaumount 指出,雖然微軟早在四月就針對 ProxyShell 相關漏洞發表更新,但據信整個 Internet 上還有 50% 的 Microsoft Exchange Server 尚未套用這些更新。
twcert 發表在
痞客邦
留言(0)
人氣()
網通大廠旗下的資安研究團隊,發現一個出現在多廠牌路由器的嚴重資安漏洞,可導致駭侵者跳過登入驗證過程,直接取得路由器的控制權;該漏洞且已遭駭侵者大規模用於攻擊。
全球網通大廠 Juniper 旗下的資安研究團隊,近日發現一個出現在多廠牌路由器的嚴重資安漏洞,可導致駭侵者跳過登入驗證過程,直接取得路由器的控制權;該漏洞且已遭駭侵者大規模用於攻擊。
資安專家指出,該漏洞出現在各廠牌路由器採用的公版 Arcadyan firmware,目前更多現有駭侵者利用此漏洞跳過路由器登入驗證程序,取得路由器控取權限後,在路由器內安裝名為 Mirai 的僵屍網路惡意軟體。
該漏洞的 CVE 編號為 CVE-2021-20090,發生在 Arcadyan 公版路由器韌體程式的 web 控制界面;攻擊者可以利用這個漏洞,在被攻擊的路由器中啟動 telnet 連線,以命令列方式控制受到感染的路由器。
這個 CVE-2021-20090 漏洞的 CVSS 分數高達 9.9 分(滿分為 10 分);據資安專家表示該漏洞存於 Arcadyan 公版韌體至少有 10 年以上。
據該團隊發表的研究報告指出,目前已知有 17 個廠牌,20 種以上的各廠牌路由器產品內含此一漏洞,其中包括在台灣比較暢銷的品牌 4 款路由器在內(DSL-AC88U、DSL-AC87VG、DSL-AC3100、DSL-AC68VG)。
值得注意的是,Juniper 是在發表了該漏洞的概念驗證攻擊方法後 2 天,開始觀察到有駭侵者利用此漏洞大規模發動攻擊。
由於含有此漏洞路由器的廠牌極多,用戶應隨時注意原廠發表的更新訊息,在原廠發表的韌體更新程式推出後,應立即進行更新。CVE編號:CVE-2021-20090
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商日前發表一份關於雲端 SaaS(Software as a Service,軟體即服務)的資安調查報告,發現高達 44% 的用戶資安設定是錯誤的,不當給予過高的操作權限,對 SaaS 用戶的資安造成嚴重潛在風險。
資安廠商 Varonis 日前發表一份關於雲端 SaaS(Software as a Service,軟體即服務)的資安調查報告,發現多種 SaaS 使用者帳號資安設定的錯誤。
Varinos 是利用 DatAdvantage Cloud 服務,收集該公司客戶在使用各種 SaaS 服務,如 Amazon Web Services、Box、GitHub、Google Drive、Jira、Okta、Salesforce、Slack、Zoom 等知名常見 SaaS 服務的資料,經由分析後得到此 SaaS 資安研究報告的統計數字。
在這份報告列舉的多項統計數字中,其中有高達 44% 的 SaaS 用戶,其資安設定是錯誤的;管理者經常不當給予組織成員過高的操作權限,使其可以存取超過其職務所需範圍的資料,或進行不必要的操作;這可能對該 SaaS 使用單位的資安造成嚴重潛在風險。
另外有高達 75% 的約聘工作者使用的 SaaS 帳號,在該約聘人員離職之後,並未立即由管理員進行關閉歸檔的操作,反而持續能夠使用;這種錯誤也很容易造成潛在的資安風險,因為不只是約聘人員可能被駭侵者以各種方法攻擊,造成登入資訊被竊,約聘人員本人也可能竊取之前工作上獲得的資訊。
報告也指出,有 15% 的 SaaS 企業用戶員工,會將自己 SaaS 帳號中的資料或檔案,轉存到個人擁有的裝置或個人雲端服務帳號中。
統計數字也說,在所有 SaaS 雲端服務中,有高達 43% 的帳號處於被放棄的狀態;這些帳號久未使用,但也沒有被各 SaaS 企業用戶的負責管理者將之移除或回收,就此棄之不顧;這對駭侵者來說充滿可趁之機,也對 SaaS 用戶本身造成極大的資安風險。
twcert 發表在
痞客邦
留言(0)
人氣()
美國資安主管機關 CISA 日前公布一項計畫,結合公部門與民間力量防制勒贖攻擊等資安威脅;首波民間合作單位包括 Amazon、Google、Microsoft 等多家企業。
美國資安主管機關資訊安全與基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA),日前公布一項名為「聯合資安防護協作」(Joint Cyber Defense Collaborative,JCDC)的合作計畫;該計畫旨在結合公部門與民間力量,共同防制勒贖攻擊等各種資安威脅。
該專案的目的,是讓 CISA 可以發展各種資安協同防護計畫,結合美國各級政府(聯邦、州與地方政府)以及民間企業或組織的力量,以發揮整體防護戰力,對抗日益猖獗的資安攻擊,保護可能遭到攻擊的各種關鍵基礎設施。
在 JCDC 發表的首波民間合作單位,即包括 Amazon Web Services、Google Cloud、Microsoft、AT&T、Crowdstrike、FireEye Mandiant、Lumen、Palo Alto Networks、Verizon 等多家企業,其業務範圍包括資安防護、雲端服務、電信服務等資安相關的重要關鍵基礎設施。
已經加入 JCDC 計畫的美國各級政府單位,則包括美國國防部、國家安全局、司法部、聯邦調查局、美國網路作戰司令部、國家情報總監辦公室(Office of the Director of National Intelligence)等。
CISA 總監 Jen Esterly 在 JCDC 的新聞稿中指出,同意加入 JCDC 的產業合作伙伴,將與 CISA 和各相關政府單位並肩作戰,共同對抗各種針對美國發動的資安攻擊事件,並且同步發展新的解決方案。
twcert 發表在
痞客邦
留言(0)
人氣()
國內網通設備大廠於2021年7月13日接獲HITCON ZeroDay漏洞通報平台之資安漏洞通報,修復其無線路由器DIR-819之遠端程式碼執行(Remote Code Execution, RCE)漏洞。廠商已於2021年8月5日釋出beta版韌體來修正此資安漏洞;擁有這類裝置的用戶,應立即進行更新,以免遭有心人士利用已知的漏洞發動攻擊而造成損失。
twcert 發表在
痞客邦
留言(0)
人氣()
群暉科技Synology近日接獲數起使用者詢問,觀察到有異常數量IP企圖嘗試登入NAS產品,經產品安全團隊調查,確認為駭客使用暴力密碼破解手法,而非利用特定系統安全性弱點。Synology也呼籲使用者毋須恐慌,同時建議使用者持續加強帳號權限與密碼設定,以阻斷駭客入侵的可能。經Synology產品安全團隊分析攻擊樣本,這次事件為知名惡意程式StealthWorker的攻擊,該駭客組織利用暴力密碼破解手法登入受害裝置,植入惡意程式後進行資料加密勒索,再利用受害裝置進一步探索並攻擊更多弱密碼裝置,可能被攻擊的對象包括一般Linux主機及市面上各廠牌NAS。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商日前發表研究報告,指出 Google Play Store 内建的 Google Play Protect 惡意軟體偵防機制,僅能偵測到 31% 的 Android 追蹤監控惡意軟體,比例遠低於市售商業防毒防駭軟體。
資安廠商 Atlas VPN 旗下的資安研究人員日前發表研究報告,指出 Google Play Store 内建的 Google Play Protect 惡意軟體偵防機制,在測試中表現不佳,僅能偵測到 31% 的 Android 追蹤監控惡意軟體(Stalkerware),成功偵測的比例,遠低於市售商業防毒防駭軟體的一般表現。
Atlas VPN 的資安專家說,該單位會同獨立研究機構 AV-Test,以常見的 29 種 Stalkerware 來測試市售常見的 18 種 Android 專用防毒防駭軟體,結果 Google Play Protect 的表現敬陪末座,29 種追蹤監控惡意軟體,只能成功偵測出 9 種,比例為 31%。
同樣表現不佳的 Android 防毒防駭軟體,還包括由 Norton 推出的 NortonLifeLock Norton 360;29 種惡意軟體中僅偵測出 17 種,成功偵側比例僅為 58.6%。
表現最佳的 Android 防毒防駭軟體有三款,分別是 Antiy AVL、Bitdefender Mobile Security、Trend Micro Mobile Security;這三種軟體都 100% 偵測出全部 29 種追蹤監控惡意軟體。
兩種來自知名資安廠商 ESET 與 Kaspersky 的産品 SET Mobile Security 與 Kaspersky Internet Security for Android,表現也相當優秀,僅有 1 支惡意軟體沒有偵測到,成功率達 96.6%。
有鑑於 Android 平台上的惡意軟體為數眾多,建議 Android 手機用戶務必安裝實際有效的防毒防駭軟體,以降低各種遭到駭侵攻擊的風險。
twcert 發表在
痞客邦
留言(0)
人氣()
雖然日前微軟針對 PrintNightmare 0-day 嚴重漏洞進行修復,但資安專家日前再度發現嚴重漏洞,可透過一個特製的印表機驅動程式,讓任何人輕易取得 Windows 系統權限。
雖然日前微軟針對 PrintNightmare 0-day 嚴重漏洞進行修復,但資安專家日前再度發現與 Windows 列印子系統相關的嚴重資安漏洞;駭侵者可透過一個特製的印表機驅動程式,讓任何人輕易取得 Windows 系統權限。
資安專家 Benjamin Delpy 最近針對 Windows 列印子系統中的多項資安漏洞,陸續發表研究報告;最新的一份報告是可以藉由一個特製的印表機驅動程式,進而提升受限 Windows 用戶的權限至系統權限。
Delpy 展示了一種概念證實攻擊方式。他設置了一個放在網路上的列印服務,任何人都可以點擊該連結,然後在其 Windows 系統上安裝一個特製的印表機驅動程式;該驅動程式執行後,會觸發一個漏洞,自動以系統權限執行一個 DLL 檔;該 DLL 即可用系統權限於 C:\Windows\System32 寫入一個必須擁有系統權限才能寫入的 log 檔。
之後 Delpy 稍稍修改該 DLL,只要安裝他提供的特製印表機驅動程式,即可執行該DLL,並且以系統權限叫出命令列輸入行;因此任何人都可以透過這個漏洞,直接取得系統權限並執行任意程式碼。
資安媒體 BleepingComputer 測試該特製的印表機驅動程式時,發現該 DLL 可以關閉 Windows 内建資安防護軟體 Windows Defender,因此能順利提升執行權限。
資安專家建議 Windows 用戶,在微軟針對此問題推出資安修補程式前,可暫時停止 Windows Print Spooler 的運作,或是在防火牆上設定,阻擋來自外部的 SMB 與 RPC 連線要求;也可以在 Windows Server 上設定 PackagePointAndPrintServerList 的群組原則,只允許擁有 admin 權限的用戶安裝印表機驅動程式。
twcert 發表在
痞客邦
留言(0)
人氣()
美國國家安全局於 2021 年 7 月 29 日發表最新的資安指南,針對遠距工作情境下各種無線連線裝置的使用,提供多個防範資安攻擊破壞的安全使用指引。
美國國家安全局(National Security Agency,NSA)於 2021 年 7 月 29 日,發表最新的資安指南;該指南針對遠距工作情境下各種無線連線裝置的使用,提供多個防範資安攻擊破壞的安全使用指引。
該局提供的指引,主要是提供給美國政府旗下如國家安全系統(National Security System)、國防部(Department of Defense)、國防工業與技術基礎(Defense Industry Base)等單位的遠距工作者遵循之用,但也適用於所有官方與民間單位的遠距工作者。
NSA 在指南中指出,駭侵者可以透過藍牙、公眾 Wi-Fi 無線網路、近場通訊(NFC)等方式攻擊各類資訊裝置,造成個人與組織資料、登入資訊與裝置的危害。
該指南要求遠距工作者如有可能,避免連線到任何公眾 Wi-Fi 無線網路,應盡量以企業組織或個人的 Wi-Fi 連線進行加密安全連線,以提高連線安全性;必須使用公眾 Wi-Fi 網路時,特別不需要密碼即可連線的無限制網路時,更應提高警覺。
NSA 指出,即使是需要密碼才能使用的公眾 Wi-Fi 無線網路,其資料傳輸也未必經過加密,且駭客很可能握有解密用的金鑰;因此在使用公眾 Wi-Fi 連線時,最好使用公私單位或個人的 VPN 連線,進一步對傳輸資料進行加密,以提高安全性。
此外,裝置上開放的藍牙連線與 NFC 近場傳輸功能,也有可能遭不肖人士用於駭入裝置並竊取資訊,遠距工作者也應特別注意不明裝置的連線要求。
NSA 在指南中建議用戶,應保持裝置上作業系統與各種軟體更新至最新版本、使用有效的防毒防駭軟體,並在各項服務上使用多階段登入驗證;如果是經常必須連線到無法信任的網路服務(特別是行動裝置),應該經常重新開機。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現一個全新的 Android 惡意軟體,會透過可遠端進行遙控操作的 VNC 協定,記錄用戶在手機上的一切操作,同時竊取鍵盤輸入字元與密碼。
荷蘭資安廠商 ThreatFabric 旗下的資安專家,日前發現一個全新的 Android 惡意軟體 Vultur,會透過可遠端進行遙控操作的 VNC 協定,記錄用戶在手機上的一切操作,同時竊取鍵盤輸入字元與密碼。
Vultur 最早是於 2021 年 3 月時被 ThreatFabric 的資安專家觀察到其活動。ThreatFabric 在報告中說,Vultur 變種自其他 Android 惡意軟體;原先的惡意軟體會在用戶開啟其他正常軟體進行登入時,覆蓋一層假冒的登入頁面,藉以騙取用戶輸入的帳號與密碼。
Vultur 的作法則有所有不同。它會在受感染的 Android 手機上開啟一個 VNC 伺服器,並於背景執行;由於 VNC 原本的功能,就是將電腦設備的畫面傳到另一台電腦上,並使用另一台電腦進行遠端遙控,因此感染 Vultur 的手機,其操作畫面就會被傳送到駭侵者設立的控制伺服器錄製下來,Vultur 幕後的駭侵者即可取得各種 app 的登入帳號與密碼。
據 ThreatFabric 的分析,目前遭到 Vultur 感染的 Android 手機,多為先前遭到另一支惡意軟體 Brunhilda malware 感染的受害者;Brunhilda malware 過去曾出現在 Google Play Store 軟體商店中若干 app 之中,其功能之一就是「酬載」其它的惡意軟體程式碼。
用戶的 Android 裝置若是感染 Vultur,Vultur 會試圖欺騙用戶給予完整的手機控制權限;一旦成功,Vultur 即可取得完整的手機控制權。另外,當用戶想要移除内含 Vultur 惡意程式碼的 app 時,Vultur 會自動按下「回上頁」按鈕。
用戶如果在 Android 的通知面板中看到一個執行中的螢幕分享程式,名為「Protection Guard」的話,就是遭到 Vultur 的感染;另外,Vultur 也會在受害者的手機中,透過 VNC 遠端遙控功能,安裝更多惡意軟體。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現,新版 LockBit 勒贖軟體,可透過 Windows Server 設定的群組原則,自動加密整個 Windows 網域下的所有電腦。使用 Windows Server 的企業網域管理員,應特別提高警覺。
資安專家發現,新版 LockBit 勒贖軟體 2.0 版多出數項新功能,其中一項可透過 Windows Server 設定的群組原則,自動加密整個 Windows 網域下的所有電腦。使用 Windows Server 管理旗下所有電腦的企業網域管理員,應特別提高警覺。
LockBit 勒贖軟體出現於 2019 年 9 月,是一個「勒贖軟體即服務」(Ransomware as a service),想要發動勒贖攻擊的人,可以「租用」他們的服務,並且設定要攻擊的對象。
一旦勒贖攻擊成功令受害者支付贖款,租用服務的人可以得到 70%~80% 的贖金,LockBit 的開發團隊則會收取其餘的贖款做為佣金。
近年來,LockBit 的勒贖攻擊相當猖獗,其團隊成員為了「促銷」,也在許多駭侵相關論壇主動提供各種「支援」;在許多駭侵相關論壇紛紛禁止勒贖相關主題貼文後,LockBit 的活動便轉到該團體自己設立的資料洩露網站中。
在該團體網站中,最近公布的 LockBit 2.0 最新功能中,即包括可利用群組原則,自動感染 Windows 網域控制站旗下所有 Windows 電腦的功能;攻擊者不必自行撰寫程式碼進行勒贖軟體「布署」,只要取得 Windows Server 網域控制器的存取權,就會自動進行布署。
執行時,LockBit 2.0 會自動産生新的群組原則設定檔,並且禁用 Microsoft Defender 的即時防護功能,避免布署活動遭到阻斷。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商的調查報告指出,各家廠商修復高危險性資安漏洞所需的時間,在最近 6 個月内,自 197 天增加到 246 天。
資安廠商 NTT Application Security 日前發表的最新 AppSec Flash Report 調查報告指出,各家廠商修復高危險性資安漏洞所需的時間,在最近 6 個月内,自 197 天增加到 246 天。
這份報告主要調查資安漏洞在得到修復前的空窗期長度,因為在空窗期之内,漏洞很可能遭駭侵者用以發動駭侵攻擊。
最新的報告指出,自今年(2021)年初到六月底的半年期間,雖然最主要的五大類漏洞的平均修復日期和過去差別不大,但各種應用程式的漏洞修復空窗期,明顯都拉長了。資安廠商稱「這是常見漏洞修復的系統性失敗」。
根據 NTT Application Security 的資安專家指出,今年上半年一月到六月間,所有漏洞的平均修復需時,自年初的 205 天略為減少到六月的 202 天;而高度危險性的資安漏洞修復需時,卻從年初的 194 天大幅增加到六月的 246 天,多了快要 2 個月。
至於各類型、各種危險程度漏洞的修復比率,也自今年年初的 54%,下降到六月底的 48%;高危險性漏洞的修復比率,更是從年初的 50% 大幅下降到六月底的 38%。
該報告也分析了各種應用程式類型的漏洞出現比例。工具類應用程式中,有高達 65% 至少含有一個嚴重資安漏洞,為所有應用類型之冠。
報告也說,教育、製造、零售、批發商等産業的漏洞修復空窗期,在近期也拉長了 4%;醫療産業的空窗期則拉長了 2%。至於金融保險産業的空窗期則略有改善,減少了 2%。
twcert 發表在
痞客邦
留言(0)
人氣()
