Microsoft 日前緊急針對旗下的 Microsoft Edge、Teams 與 Skype 緊急推出軟體更新,修復 2 個存於開源程式庫中的 0-day 漏洞。
第一個獲得修復的漏洞是 CVE-2023-4863,這個漏洞存於開源 WebP 程式庫 libwebp 中,屬於 heap 緩衝區溢位(buffer overflow)錯誤;駭侵者可透過此漏洞造成應用軟體崩潰,亦可執行任意程式碼。
值得注意的是,由於 libwebp 這個開源程式庫是用來對 WebP 格式的網路圖片進行編碼與解碼,因此應用範圍十分廣泛;除了 Microsoft 這次修復的三個產品外,包括 Safari、Mozilla Firefox、Opera、Android 原生瀏覽器之外,像是 1Password 與 Signal 等熱門應用軟體也採用了 libwebp,因此都需進行資安修補。 twcert 發表在 痞客邦 留言(0) 人氣(7)
Google 近期推出 2023 年 10 月份 Android 軟體更新,適用於 Android 11 到 Android 13,一共修復多達 54 個資安漏洞,其中已有 2 個漏洞已遭駭侵者用於攻擊活動。
遭到駭侵者用於攻擊的資安漏洞,分別是 CVE-2023-4863 與 CVE-2023-4211;Google 在資安通報中指出這兩個漏洞已用於有限度的目標針對攻擊之中。
CVE-2023-4863 是一種存於泛用型開源程式庫 libwebp 的緩衝區溢位(buffer overflow)錯誤,許多大型知名軟體如 Chrome、Firefox、iOS、Microsoft Teams 等都受此漏洞衝擊而成為駭侵者的攻擊目標。
由於這個漏洞的影響範圍甚廣,不同受影響的公司都分別提出了漏洞通報;後來都歸納在 CVE-2023-4863 這個 CVE 編號之下。
而 CVE-2023-4211 是個存於 ARM 處理器中 Mali GPU 驅動程式的記憶體釋放後使用(use-after-free)漏洞,駭侵者可藉以在本地端存取或操弄機敏資料。
總體來說,這次的 Android 2023 年 10 月份資安更新,解決的漏洞存在的部分分列如下:twcert 發表在 痞客邦 留言(0) 人氣(2)
Google 日前推出 Google Chrome 瀏覽器的新版本 117.0.5938.132,修復一個已證實遭到駭侵者用於攻擊的 0-day 漏洞 CVE-2023-5217;Google Chrome 與各相容 Chromium 的瀏覽器使用者應盡速更新至最新版本。
這個 CVE-2023-5217 的漏洞,存於 Google Chrome 瀏覽器內建的開源 libvpx 視訊解碼程式庫中的 VP8 編碼單元,屬於 heap 暫存器溢位錯誤;駭侵者將可利用此漏洞來造成 App 執行崩潰,亦能藉以執行任意程式碼。
CVE-2023-5217 這個漏洞的 CVSS 危險程度評分高達 8.8 分(滿分為 10 分),危險程度評級為「高|(high)。
Google 也在日前發表的資安通報中指出,該公司已獲悉 CVE-2023-5127 已遭駭侵者用於攻擊的情資;Google 表示,在大多數使用者都已經更新到新版 Google Chrome 瀏覽器,且第三方程式庫已經更新該漏洞之前,Google 不會公布任何關於此漏洞的細節資訊。
Google 也自即日起逐步釋出新版 Google Chrome 瀏覽器以修復此漏洞;新版本的編號為 117.0.5938.132,使用者可望在近日在 Google Chrome 瀏覽器中收到更新通知;但其他以開源的 Chromium 製作的 Chrome 相容瀏覽器,可能要稍後才能陸續更新。twcert 發表在 痞客邦 留言(0) 人氣(0)
開放源碼的點對點數位資產交易網路 Mixin Network 日前透過官方 Twitter 帳號宣布,因為一起近日發生的 2 億美元駭侵事件,該平台即日起暫停一切入金與出金相關交易。
該起駭侵事件發生於 2023 年 9 月 23 日香港時間清晨,Mixin Network 平台使用的的雲端服務廠商遭到駭侵者發動攻擊,導致主網上的部分數位資產遭到竊取。
Mixin 在事件發生後,已通報 Google 和區塊鏈資安廠商 SlowMist,共同調查整起事件;初步調查結果指出遭竊的資金約合 2 億美元。Mixin 也在推文中公告,在事件調查與漏洞修補完成前,暫停該網路的入金與出金業務,但轉帳業務不受影響。待調查與資安修補完成後,再行恢復正常運作。
而根據區塊鏈追蹤業者 PeckShield 與 Lookonchain 的監控報告指出,目前可確定的 1.41 億美元遭竊數位資產中,有 935 萬美元等值的以太幣、235 萬美元等值的 DAI、另外也有 233 萬美元等值的比特幣。
資安專家懷疑,Mixin Network 這次的竊案,可能又與專門攻擊區塊鏈與加密貨幣機構的 APT 駭侵團體 Lazarus 有關。光是在 2023 年度,Lazarus 針對加密貨幣已經高達 2.4 億美元,受害的加密貨幣相關服務包括 Atomic Wallet、Alphapo、Stake.com 和 CoinsPaid。
目前 Mixin Network 尚未提供具體的攻擊相關分析報告,整個駭侵事件的來龍去脈,目前仍不明朗。
建議加密貨幣投資人,務必將資金保管在離線的冷錢包中,並妥善保管存取短語,也應選擇具有資金保險的加密貨幣平台。twcert 發表在 痞客邦 留言(0) 人氣(0)
資安廠商 ThreatFabric 旗下的資安研究人員,近期發現一個稱為 Xenomorph 的 Android 惡意軟體,近來再次大舉針對世界各國多家銀行與加密貨幣錢包發動攻擊。
ThreatFabric 的研究人員,自 2022 年 2 月開始追蹤 Xenomorph 的駭侵活動,當時發現該惡意軟體透過 Google Play Store 中上架的 App 進行散布,下載次數多達 50 萬次以上,攻擊對象則為歐洲各國的 56 家銀行。
該惡意軟體的始作俑者 Hodoken Security 持續不斷進行 Xenomorph 的改版,自 2022 年 6 月後 Xenomorph 進行重構,讓 Xenomorph 具備模組化功能,變得更具有彈性;而在 2023 年 3 月,Hadoken 再次對 Xenomorph 進行改版,在該惡意軟體中加入自動轉帳系統、跳過多階段登入驗證、cookie 竊取等功能,且有能力攻擊超過 400 家銀行。
ThreatFabric 指出,在最新一波的攻擊行動中, Xenomorph 利用假冒的 Android 內建瀏覽器 Chrome 的升級通知,誘騙使用者下載安裝植入了 Xenomorph 的 APK 檔案,接著 Xenomorph 便可在使用者瀏覽金融機構或加密貨幣錢包頁面時,使用畫面覆疊來竊取使用者輸入的登入資訊。
ThreatFabric 也指出,過去 Xenomorph 以攻擊歐洲的金融機構為主,而在這波攻擊中,美國的金融機構也納入其攻擊範圍內,成為該惡意軟體最主要的受害地區。其他受害地區還包括西班牙、加拿大、義大利、葡萄牙、比利時等。
建議 Android 使用者避免在官方 App Store 之外場合安裝來路不明的 APK 檔案,也應對要求過多使用權限的 App 提高警覺。twcert 發表在 痞客邦 留言(0) 人氣(0)
twcert 發表在 痞客邦 留言(0) 人氣(5)
英國海外領土百慕達群島在日前遭到駭侵攻擊,導致其政府部門的所有 IT 系統、網路、email 與電話服務全面故障停用。
百慕達政府在與該攻擊相關的資安通報指出,該政府單位所有部門全面受到影響,無法正常提供服務;百慕達資訊與數位科技部目前正在努力進行修復,以求早日恢復政府單位正常機能。
百慕達總理 David Burt 在相關駭侵攻擊事件的記者會上指出,目前還沒有發現有任何百慕達政府相關資料遭竊的情報,且受這次駭侵事件影響波及的,除了百慕達以外,也包括加勒比海區域中的其他國家政府在內,且受影響的程度亦不在百慕達之下,不過 David Burt 並未表示是哪一個國家同樣遭到攻擊。
David Burt 表示,目前所得的初步分析結果指出攻擊源自百慕達境外。該地政府目前正與相關資安單位合作,以確認攻擊造成的影響與其範圍,並且盡早恢復政府單位正常運作。
百慕達政府在稍後補充說明指出,該地政府僱員的薪資與包商費用的結算撥款,可能因此攻擊事件而有所延誤,目前百慕達政府的財會單位僅能處理現金與支票,無法使用電腦系統。
除了政府行政單位之外,百慕達群島的下議院(House of Assembly)也因此次攻擊活動而無法按既定計畫,在休會結束後開議。
目前百慕達警察單位未受影響,仍可照常執行各項治安維持工作;百慕達政府也要求所有公務人員正常上班,以確保政府服務仍可盡力維持。
建議各政府單位須加強資安防護作業,避免各種境外勢力發動攻擊,導致政府失能。twcert 發表在 痞客邦 留言(0) 人氣(1)
資安廠商 Citizen Lab 與 Google 旗下的資安研究機構 Threat Analysis Group (TAG),近日發現 Apple 與 Google Chrome 日前修復的數個 0-day 漏洞,已遭駭侵者用於各種攻擊活動之上;使用者應立即更新系統。
Apple 日前緊急推出 iOS/iPadOS/macOS/watchOS 的更新版本,修復 3 個 0-day 漏洞,分別是 CVE-2023-41991、CVE-2023-41992、CVE-2023-41993;但根據資安廠商 Citizen Lab 的觀測報告指出,在 2023 年 5 月到 9 月之間,有駭侵者利用這三個漏洞,使用特製的惡意簡訊與 WhatsApp 訊息,在埃及前任國會議員 Ahmed Eltantawy 宣布參與 2024 年埃及總統選舉後,針對該政治人物發動資安攻擊。
Citizen Lab 在報告中指出,攻擊者事先入侵 Eltantawy 使用的埃及電信業者 Vodafone,然後在 Eltantawy 瀏覽非 https 加密的網站時,利用已駭入的電信業者設備,將其導向到一個惡意網站,並在其 iPhone 手機中安裝 Cytrox 製作的惡意間諜軟體 Predator。
此外,Google 旗下的 TAG 也發現有攻擊者利用近期已獲更新的 Chrome 漏洞 CVE-2023-4762,在埃及境內的 Android 裝置中植入 Predator 間諜軟體。該漏洞可讓駭侵者遠端執行任意程式碼。
Apple 呼籲所有使用者盡快更新到最新版本作業系統,對於可能成為攻擊對象的高度敏感人士,應在有必要時啟用手機內建的「封閉模式」;這個模式會嚴格限制各種網路資源的使用,可大幅提高裝置使用的安全性。
針對高度可能遭到攻擊的對象,其資訊裝置除應時時更新到最新版本作業系統外,且在必要時應使用封閉模式,以達最高等級的安全性。twcert 發表在 痞客邦 留言(0) 人氣(19)
Apple 日前緊急推出 iOS/macOS/iPadOS 和 watchOS 更新,解決 3 個已遭用於駭侵攻擊的 0-day 漏洞,用戶應立即更新相關裝置內的舊版作業系統,以免遭到駭侵者利用已知漏洞發動攻擊得逞。
在這次發現的 3 個 0-day 漏洞中,第一個 CVE-2023-41993 係存於 WebKit 瀏覽器引擎內,第二個 CVE-2023-41991 則存於資安框架 (Security framework) 中;駭侵者可利用特製的網頁來誘發這兩個漏洞發生錯誤,藉以跳過數位簽署驗證機制以執行惡意 App,或是用以執行任意程式碼。
第三個漏洞 CVE-2023-41992 存於核心框架(Kernel Framework)中;核心框架提供 API 與支援,以供核心擴充套件與存於核心的裝置驅動程式使用。本地駭侵者可利用此漏洞來提升執行權限。
Apple 在發布的資安通報中指出,該公司已接獲這三個漏洞已遭駭侵者攻擊 iOS 16.7 之前版本作業系統的情資。
受到影響的裝置如下:twcert 發表在 痞客邦 留言(0) 人氣(1)
全球大型即時通訊服務平台 Signal 日前宣布推出全新的端對端加密 (End-to-end encryption, E2EE) 通訊協定,使用一種全新加訊息加密演算法,據稱能夠對抗量子電腦極為高速度的破解運算。
量子電腦是一種利用量子效應與量子位元進行運算的全新電腦架構,能夠在極短時間內,以平行處理方式進行極高速的運算,效能可達傳統高速電腦的一億倍以上;傳統加密演算法以傳統電腦進行破解運算,如需數十年到數百年時間破解,量子電腦可能僅需數秒即可運算完成,因此對傳統加密演算法構成極為嚴重的考驗。
目前雖然量子電腦仍處於實驗階段,僅有大型研究機構與電腦公司有能力進行研發製造,但資安界已預見其威脅;一旦駭侵者掌握量子電腦的超級算力,各種現行資安保護機制勢將瓦解。
Signal 指出,其原本使用的「X3DH」(Extended Triple Diffie-Hellman) 金鑰聚合通訊協定,在今後將升級為「PQXDH」(Post-Quantum Extended Diffie-Hellman) 演算法,該演算法同時採用 X3DH 的楕圓曲線金鑰同意協定,以及稱為 CRYSTALS-Kyber 的抗量子運算金鑰包裝機制。CRYSTALS-Kyber 是一種已獲美國 NIST 認證的加密演算法,適用於一般性與需要快速交換小型加密金鑰的加密解密運算需求。
SIgnal 指出,該公司並未計畫直接以新的 PQXDH 抗量子運算加密協定取代現有的 X3DH 加密協定,而是逐步過渡到各種抗量子運算的新加密演算法;未來將會推出更多的升級與調整,以對應日益嚴重的資安挑戰。
為因應量子電腦強大算力可能落入駭侵者控制的危機,建議各公私單位應思考對抗量子運算的方法與新技術,並擬定導入計畫,強化資安防護能力。twcert 發表在 痞客邦 留言(0) 人氣(1)
資安宣導 (2)