台灣電腦網路危機處理暨協調中心-TWCERT/CC

針對最近傳出全球勒贖災情的 Qlocker，QNAP 發表最新資安通報，確認該勒贖軟體係利用存於其 NAS 應用軟體 HBS 3 内含的資安漏洞 CVE-2021-28799。用戶應立即更新 NAS 中的 HBS 3 至最新版本。
針對最近傳出全球勒贖災情的 Qlocker，QNAP 發表最新資安通報，確認該勒贖軟體係利用存於其 NAS 應用軟體 HBS 3 内含的資安漏洞 CVE-2021-28799。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

Apple 針對 tvOS 與 macOS 發布資安更新，修復三個可能讓駭侵者遠端執行任意程式碼或竊取用戶機敏資訊的 0-day 漏洞，用戶應立即更新以避免遭駭。
Apple 針對 tvOS 與 macOS 發布資安更新，一共修復了三個可能讓駭侵者遠端執行任意程式碼，或是竊取用戶機敏資訊的 0-day 漏洞；Mac 電腦和 Apple TV 的用戶應立即更新系統軟體，以降低遭駭侵者利用這些漏洞發動攻擊的風險。
在這三個 0-day 漏洞中，有兩個發生在 Apple TV 4K 和 Apple TV HD 的 WebKit 引擎内，駭侵者可以利用特製網頁内容，誘發記憶體崩潰錯誤，進而遠端執行任意程式碼。
這兩個 0-day 漏洞的 CVE 編號分別為 CVE-2021-30663 與 CVE-2021-30665；據 Apple 的更新說明頁面指出，Apple 已獲悉這兩個 0-day 漏洞很可能已遭駭侵者大規模濫用。
另一個影響 macOS 的 0-day 漏洞，出現在 macOS Big Sur 的 TCC 架構的權限問題。TCC 架構的功能是阻擋已安裝應用程式私下存取用戶存在電腦上的機敏資訊；這個 0-day 漏洞可以讓駭侵者利用特製的應用程式，跳過 TCC 的阻擋，直接竊取用戶的機敏資訊。
這個 0-day 漏洞的 CVE 編號為 CVE-2021-30713；據 Apple 的更新說明頁面指出，Apple 已接獲報告指出這個 0-day 漏洞很可能已遭駭侵者大規模濫用。
資安廠商 Jamf 指出，該單位發現有個叫做 XCSSET 的惡意軟體，正是利用 CVE-2021-30713，針對 Mac 電腦發動攻擊；該惡意軟體能夠在用戶不知不覺得情形下，取得完整的磁碟存取權限、進行螢幕錄製或擷圖，也能取得其他資料的存取權限。
由於這三個 0-day 漏洞的嚴重性，Mac 電腦與 Apple TV 用戶，應盡速透過系統更新功能，更新至 macOS Big Sur 11.4 與 tvOS 14.6，以避免遭到駭侵者利用這些 0-day 漏洞發動攻擊。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安廠商指出，有 23 支 Android 應用程式會在雲端惡意洩露用戶多項個資，受害人數估計高達一億人以上。
資安廠商 Check Point 日前發表研究報告指出，有 23 支 Android 應用程式，會在雲端惡意洩露用戶多項個資；受害人數估計高達一億人以上。
Check Point 的資安專家在報告中說，該團隊分析發現有 23 支 Android 行動應用程式，由於其雲端資料傳輸的設定有誤，導致超過一億名用戶的各種資料可在雲端服務上存取。
報告說，這 23 支不同的應用程式，其中有 13 支的下載數量在一萬次到一千萬次之間，應用程式類型包羅萬象，從星座運勢、叫車、圖標製作、螢幕截取錄製到傳真軟體等。
被洩露在雲端服務上的個資類型也很多樣，包括 email 地址、即時通訊內容、所在地座標、登入資訊、用戶拍下的相片等等；這些資訊如果落入不肖人士之手，就可以用來進行各種攻擊，包括釣魚、詐騙、社交工程、假冒身分、置換使用服務等等惡意攻擊手法。
Check Point 指出，這些 Android App 之所以會在雲端洩露用戶個資，主要原因是開發者在使用各種雲端開發資源，特別是在使用即時線上資料庫、推播服務與雲端儲存等重要常用服務時，在資安設定方面的選項設定，沒有按照保障用戶個資的最佳實務指南進行必要設定，導致設定錯誤，使得用戶多項個資自手機上傳到雲端後，沒有得到應有的保護措施，可任意存取所致。
Check Point 在另一篇詳細的報告中一一列舉被發現問題的 App 名稱與其下載次數；在發表這篇報告前，Check Point 亦曾一一連絡各 App 開發者告知問題，但僅有部分 App 開發者修正其錯誤設定。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

搭載在各款 Mercedes-Benz 乘用車內的資訊娛樂系統，內含五個資安漏洞，其中四個屬於可讓駭侵者遠端執行任意程式碼的嚴重漏洞。
Mercedes-Benz 的總公司戴姆勒（Daimler）於 2020 年 12 月與騰訊安全科恩實驗室（Tencent Security Keen Lab）合作，進行搭載在各款 Mercedes-Benz 乘用車內的資訊娛樂系統 Mercedes-Benz User Experience（MBUX）的預防性檢查，加強系統的資安防護。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

美國聯邦貿易委會員日前發布消費者警訊，指出詐騙者透過社群媒體假冒知名人士詐財的案例不斷增加，光是假冒 Elon Musk 進行的詐騙活動，不到一年就成功騙取高達 8000 萬美元。
美國聯邦貿易委會員（Federal Trade Commission, FTC）日前發布消費者警訊，指出詐騙者透過社群媒體假冒知名人士詐財的案例不斷增加，光是假冒 Elon Musk 進行的詐騙活動，自 2020 年 10 月至今，不到一年時間，就成功騙取了高達 8000 萬美元。
這份報告引用 FTC 於同一天發布的另一份報告，指出自 2020 年第四季至 2021 年第一季之間，有超過 7,000 次加密貨幣遭詐騙竊取的報案，數量是一年前的十倍以上，平均每起詐騙的損失金額，高達 1,900 美元。
報告中也指出幾個重點：20 到 49 歲的年齡層，在這些案例中是遭詐騙比例最高的一群，其遭詐騙的比例是其他年齡層的五倍以上，而且 20 到 30 歲之間的年齡層，被詐騙的金額也最高。
另外，這些詐騙案件中，有近 3500 萬元的詐騙是騙取加密貨幣，詐騙者通常會假扮為名人，在社群媒體上舉辦加密貨幣贈送活動（例如轉 0.1 枚比特幣至指定錢包，可得 0.2 枚或更高額倍數獎勵），或是其他加密貨幣空投活動，藉以誘使受害者轉帳到詐騙者的錢包中。
也有其他形態的詐騙，是假扮成外表誘人的異性，在交友網站中以甜言蜜語取得受害者信件，再詐稱介紹高獲利投資機會，要受害者轉帳到指定帳戶。
FTC 呼籲社會大眾，在參與任何看似高獲利的投資活動時，最好先搜尋相關活動名稱或公司，加上「review」（評論）、「scam」（詐騙）等關鍵字，對於明顯不合理、太過好康的甜頭，也一定要提高警覺，才能避免遭到詐騙。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安專家發現 Apple 新上市的遺失物品追蹤裝置 AirTag 與其尋物網路 Find My，可用以傳輸任意資訊。
資安廠商 Positive Security 旗下的資案專家 Fabian Bräunlein 日前發表研究報告，發現 Apple 新上市的遺失物品追蹤裝置 AirTag 與其尋物網路 Find My，可讓沒有連上 Internet 的電腦，透過低功率藍牙連線（Bluetooth Low Energy, BLE）傳輸任意資訊。
在報告中，Fabian Bräunlein 指出，可以使用經常出現在各種 Internet of Things（IoT）裝置中的 Wi-Fi 暨低功率藍牙連線模組 ESP32，配合在 Mac 電腦上執行的特製應用程式，即可在沒有 Internet 連線服務的情況下，透過 Apple Find My 網路，搜尋裝置附近的 Apple 産品中繼資料封包，將任意資料傳輸給特定對象；換言之，可以用這種方式享受免費 Internet 連線服務。
由於 Find My 網路在設計上，可讓 AirTag 定時廣播自己的存在，然後利用附近的 Apple 裝置，將加密過的位置資訊中繼並傳輸到 AirTag 的擁有者裝置上，因此在設計上在概念證實的實作中，Fabian Bräunlein 利用這個特性，把 ESP32 模擬成一個 AirTag 來進行廣播，將要傳輸的資訊編碼後塞入 AirTag 的廣播封包中，傳輸到設定為擁有者的 Mac 電腦上，再以特製的應用程式解碼，即可還原透過 ESP32 傳出的資料。
由於這個做法的實作有其難度，資安專家認為可能不致於造成大規模濫用，但在一些嚴格管控資訊外洩的場合，確實有可能利用這種方式，在沒有 Internet 連線的環境下，仍然能對外傳輸機敏資訊。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

台灣網路儲存裝置（NAS）製造商 QNAP，近期發布資安警訊，指出目前有一個稱為 eCh0raix 的勒贖軟體正在發動大規模攻擊，用戶應提高警覺。
全球知名的台灣網路儲存裝置（Network Attached Storage, NAS）製造商 QNAP，近期發布資安警訊，指出目前有一個稱為 eCh0raix 的勒贖軟體，正在發動大規模勒贖攻擊，用戶應提高警覺。
這個稱為 eCh0raix 的勒贖軟體，主要是攻擊 Roon Server 套件中的一個 0-day 漏洞；用戶如果在自己的 NAS 上安裝了 Roon Server 套件 2021-02-01 之前版本，就很可能遭到 eCh0raix 勒贖軟體攻擊。
eCh0raix 其實並不是全新出現的勒贖軟體，早在 2019 年 7 月時，趨勢科技便曾發出資安通報，揭露 eCh0raix 的存在與感染過程；不過當時的感染方式並非利用 Roon Server 套件，而是透過登入資訊暴力試誤法等較原始的攻擊方式；當時也有資安研究人員很快推出了解密工具。
QNAP 於資安通報中指出，由於 eCh0raix 主要攻擊 Roon Server 套件中的漏洞，因此建議用戶應立即從自己的 NAS 系統上移除或停止 Roon Server 的執行，同時依下列建議加強 QNAP NAS 的安全性：
如果仍需使用 Admin 帳號，應立即更改並使用強度足夠的密碼；
如果可以不使用 Admin 帳號，應先指定其他使用強式密碼的帳號擁有 admin 權限，然後刪除或停用 Admin 帳號；
設定 IP 連線安全性原則，短時間内重覆登入失敗的來源 IP，應自動列入黑名單，以阻絕暴力試誤登入攻擊；
避免開放連接埠 8080 與 443，將其改為其他隨機連接埠。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

比利時資安專家發現一系列 Wi-Fi 無線網路連線標準的資安漏洞，可用於挾持物聯網與各種電腦、行動裝置；其中有些漏洞存在長達 24 年之久。
比利時資安專家 Mathy Vanhoef 日前發表論文，指出發現一系列 Wi-Fi 無線網路連線標準 802.11 的多個資安漏洞；這些漏洞可用於挾持物聯網與各種電腦、行動裝置，而且即使套用最新加密連線協定如 WPA3 也一樣有效。其中有些漏洞存在長達 24 年之久。
這一系列 Wi-Fi 802.11 的資安漏洞被稱為「Frag Attacks」，主因在於攻擊係透過「碎片聚合攻擊」（Fragmentation and Aggregation Attacks）手法進行；攻擊者只要位在有效的 Wi-Fi 通訊範圍内，即可透過這種攻擊手法取得資訊，或是在受害裝置上執行惡意軟體；只是這種攻擊方法相當複雜，不易實作。
這一系列資安漏洞共有 12 個，分為三種類別：Wi-Fi 標準設計上的漏洞共有三個，分別為 CVE-2020-24588、CVE-2020-24587、CVE-2020-24586。這一類的漏洞由於源自 Wi-Fi 連線標準設計時的疏漏，因此廣泛存於大多數支援 Wi-Fi 連線的裝置。
至於其他兩類洞，存於 Wi-Fi 標準的實作上有四個漏洞，分別為 CVE-2020-26451、CVE-2020-26144、CVE-2020-26140、CVE-2020-26143；存於其他實作層面的漏洞則有五個，分別為 CVE-2020-26139、CVE-2020-26146、CVE-2020-26147、CVE-2020-26142 與 CVE-2020-26141。
Vanhoef 指出，實驗結果證實幾乎所有 Wi-Fi 裝置都存有至少一個上述漏洞，多數産品則同時存有多個漏洞；雖然 Vanhoef 在論文發表前九個月就將此發現提報給制訂 802.11 標準的 Wi-Fi Alliance，資訊産品大廠如微軟、Cisco、HPE/Aruba、Sieaa Wireless 等也針對旗下的軟硬體産品推出資安修補工具，但由於支援 Wi-Fi 的産品數量和種類實在太龐大，因此很難在短時間内全面更新修補這些漏洞。
Vanhoef 提醒一般用戶，如果無法確認自己使用的産品已經修補上述漏洞，最簡單的自保方法，就是確認使用 https 安全加密連線，這樣可以完全阻絕駭侵者使用 FragAttacks 發動攻擊的機會。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安廠商發現一個全新的 Android 惡意軟體 TeaBot，會假扮成多種常用 App，竊取受害手機用戶的歐洲多家銀行登入資訊與簡訊内容。
資安廠商 .Cleafy 日前發表研究報告指出，該公司旗下的資安研究人員，自今年一月起發現一個全新的 Android 惡意軟體，稱為 TeaBot。TeaBot 會假扮成多種常用 App，竊取受害手機用戶的歐洲多家銀行登入資訊與簡訊内容。
.Cleafy 是在今年一月起發現一個未曾出現過的全新特洛依木馬惡意軟體，會假冒成包括 TeaTV、VLC MediaPlayer、DHL 和 UPS 的官方 Android App，但内藏的機制含有多種竊取資料與防止偵測的功能，目的在於取得受害者使用歐洲各地六十多家銀行的線上金融服務時使用的登入資訊，並發動進一步的攻擊。
據 .Cleafy 的報告指出，TeaBot 具有以下功能：
在用戶使用銀行服務登入時，顯示假的畫面覆蓋真實網頁，以竊取用戶輸入的登入資訊；
攔截用戶收到的簡訊内容。或是擅自發送、隱藏簡訊；
偷偷記錄用戶輸入的内容；
竊取 Google Authenticator 的驗證碼；
完整控制受害者的 Android 手機。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

微軟旗下的資安研究團隊，發現多達25個IoT裝置與OT裝置的漏洞，影響範圍遍及多種重要產業。
微軟旗下Azure雲端服務的資安研究團隊Section 52，日前發現多達25個IoT（Internetof Things）裝置與OT（Operational Technology）裝置的漏洞，影響範圍遍及製造業、醫療產業及大型企業等多種重要產業的網路、裝置與製造系統。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安媒體發現，近日在 Twitter 上有一波針對加密貨幣錢包 Trust Wallet 與 MetaMask 用戶為目標的詐騙活動，詐騙者意圖竊取加密錢包恢復密碼，以騙取用戶存入的加密貨幣。
資安媒體 BleepingComputer 的研究人員日前發現，近日在 Twitter 上有一波針對加密貨幣錢包 Trust Wallet 與 MetaMask 用戶為目標的詐騙活動，正在大規模發動中；詐騙者意圖透過假冒的客服支援訊息，竊取受害者持有的加密錢包恢復密碼，以騙取用戶存入的加密貨幣。
MetaMask 和 Trust Wallet 是兩種廣為使用的行動加密貨幣熱錢包 App，可以讓用戶以安全儲存的方式，將加密貨幣儲存在 App 和雲端；用戶可利用其錢包功能儲存、購買、發送或接收多種加密貨幣與 NFT。
用戶初次安裝設定 MetaMask 和 Trust Wallet 時，為防止用戶忘記密碼而無法登入錢包，這兩個 App 都會産生由若干個英文字詞組成的帳號恢復密碼；但如果外人得知這組帳號恢復密碼，即可匯入用戶的雲端錢包，並且存取其中的加密貨幣。
BleepingComputer 指出，大約在兩周前開始觀察到在 Twitter 上進行的詐騙活動；有心人士在 Twitter 上搜尋 MetaMask 和 Trust Wallet 用戶發表在 Twitter 上關於使用障礙、加密貨幣被竊或其他問題的貼文，然後假扮成官方支援人員或有同樣問題的用戶回應推文，並且附上一個釣魚網址，假冒為 MetaMask 和 Trust Wallet 的用戶支援網頁，誘騙推文者在表單中輸入其加密貨幣錢包的恢復密碼。
只要成功誘使用戶輸入恢復密碼，有心人士即可立即竊走存在錢包中的所有加密貨幣，幾乎難以阻止；曾經有用戶因此被詐騙價值高達三萬美元以上的加密貨幣資産。
資安專家呼籲加密貨幣錢包的用戶，絕對不要將錢包的恢復密碼提供給任何人，因為一旦讓別人取得錢包存取權，加密貨幣遭到轉出後便無法追回，也不會有任何補償機制。加密貨幣錢包用戶，應特別提高警覺。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

微軟於日前推出 2021 年 5 月「Patch Tuesday」資安修復包，一口氣修復 55 個資安漏洞，其中含有 3 個 0-day 漏洞。微軟各種軟體系統用戶，應立即套用更新。
微軟於日前推出 2021 年 5 月「Patch Tuesday」資安修復包，一口氣修復 55 個資安漏洞，其中有 4 個為嚴重等級漏洞，重要等級有 50 個，1 個中等危險漏洞；更含有 3 個 0-day 漏洞。微軟各種軟體系統用戶，應立即套用更新。
這 3 個 0-day 漏洞分別如下：
CVE-2021-31204：存於 .NET 與 Visual Studio，可用於提升執行權限；
CVE-2021-31207：存於 Microsoft Exchange Server，可用以跳過資安檢查程序；
CVE-2021-31200：存於 Common Utilities，可遠端執行任意程式碼。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()