美國威斯康辛大學麥迪遜分校(University of Wisconsin–Madison)的資安研究人員團隊,近期發現一種攻擊方式,可以透過 Chrome 瀏覽器的擴充功能,竊取網站程式碼中儲存的使用者輸入密碼,且有不少擁有數百萬以上使用者的大型網站,將密碼以明文方式存在網頁 HTML 程式碼中。
該研究團隊已將其攻擊概念驗證程式編譯打包為 Google Chrome 擴充功能的格式,並上傳到 Chrome Web Store 中。
研究人員說,問題的根源在於開發人員在撰寫 Chrome 瀏覽器的擴充功能時,往往有個習慣性的做法,就是讓擴充功能能夠存取所有網頁會載入的 DOM 樹狀架構,而不會受到存取範圍的限制,因此導致擴充功能有機會存取到一些像是使用者輸入欄位之類的機敏資訊。
另外,擴充功能也可以濫用 DOM API 來跳過套用者網站上,用以保護機敏輸入資訊的各種資訊混淆機制,直接取得使用者輸入的值並加以竊取。
研究人員指出,雖然 Google 在 Manifest V3 協定已經針對 API 的取用加上限制,禁止擴充套件透過遠端取得程式碼的方式,來逃避資安偵測,並且避免以此方式遠端執行任意程式碼,但 Manifest V3 並未限制擴充套件存取網頁內容的範圍,所以仍存有上述可竊得使用者輸入資訊的問題。
研究人員進一步指出,許多使用者眾多的大型網站,都會把使用者密碼以明文存在HTML 源碼中,造成這類惡意擴充套件有可能竊得密碼;這些大型網站包括 gmail.com、cloudflare.com、facebook.com、citibank.com、irs.gov、capitalone.com、usenix.org、amazon.com 等。
建議網站開發人員應注意此問題,在撰寫程式碼時應嚴守資安最佳實務作法;使用者也應在各網站使用不同的強式密碼,並使用二階段登入驗證。
twcert 發表在
痞客邦
留言(0)
人氣()
日本電腦網路危機處理暨協調中心 (JPCERT/CC) 日前發布資安警訊,指出一種全新駭侵攻擊方式;駭侵者利用嵌入在 PDF 檔中的惡意 Word 檔案來逃避防毒防駭軟體的偵測,成功發動攻擊。
JPCERT/CC 是在 2023 年 7 月開始觀察到利用這種技術發動的資安攻擊案例。該單位分享了一個樣本檔案,是一種集多種檔案格式於一身的特殊檔案,可以同時使用不同的軟體來開啟;多數的防毒防駭軟體,在對該樣本檔案進行掃瞄偵測時,會把該檔案當做是 PDF 檔,但該樣本檔同時也可以由 Microsoft Word 來開啟。
JPCERT/CC 指出,該樣本檔一旦由受害者以 Microsoft Word 開啟,即會執行其內含的 VBS 巨集,並且下載一個含有惡意軟體的 MSI 檔案,安裝在受害者的 Windows 系統中。
資安專家指出,駭侵者經常利用這種多合一格式檔案來放置內含 VBS 惡意巨集程式碼的 Word 檔案,由於掃毒軟體會把這種檔案當成相對無害的 PDF 檔,因此往往能成功避開系統上安裝的資安防護機制。
資安專家分析指出,雖然 JPCERT/CC 沒有進一步公開樣本檔內含的惡意軟體攻擊行為與方式,但一般來說,用戶可以在 Microsoft Office 相關設定中,停用巨集的自動執行功能,這樣就能夠阻止這類多合一格式惡意檔案的執行。
此外,還是有一些如 OLEVBA 之類的資安防護軟體,可以偵測到這類多合一格式的惡意檔案內含的惡意程式碼。
建議使用者避免開啟來路不明的任何檔案,系統管理者也應提防這類攻擊,在布署軟體時強制關閉 Office 巨集的自動執行。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Patchstack 旗下的資安研究分析人員,日前發現廣受歡迎的 WordPress 外掛程式 Jupiter X,內含兩個嚴重漏洞 CVE-2023-38388 和 CVE-2023-38389,可導致使用者的帳號遭竊,網站遭不當上傳檔案。
Jupiter X Core 是一個十分簡單好用的視覺化編輯器,屬於 Jupiter X 佈景主題的一部分,可以讓使用者快速設計好 WordPress 與 WooCommerce 網站的外觀;目前使用該佈景主題的 WordPress 與 WooCommerce 網站約有 170,000 個。
Patchstack 的報告中指出,第一個漏洞 CVE-2023-38388 可讓駭侵者未經登入驗證即上傳任意檔案到 WordPress 網站中,可用以在伺服器上執行任意程式碼;該漏洞的 CVSS 危險程度評分高達 9.0 分(滿分為 10 分),所有 Jupiter X Core 3.3.5 之前版本都含有這個漏洞。
至於第二個漏洞 CVE-2023-30389 則可讓未經授權的駭侵者,只要持有任何 WordPress 帳號登入時使用的 Email 地址,即可竊取該帳號的登入權限。該漏洞的 CVSS 危險程度評分更高達 9.8 分,影響所有 Jupiter X Core 3.3.8 之前的版本。
截至目前為止,資安廠商尚未發現有駭侵者利用這兩個漏洞大規模發動攻擊的跡象;而針對這兩個漏洞,開發廠商也已經緊急推出新版 Jupiter X Core 3.4.3,順利修復漏洞。
正在使用 Jupiter X 佈景主題的使用者,應立即將其中的 Jupiter Core X 更新到最新 3.4.3 版本,以免遭駭侵者利用已知漏洞發動攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
十分受全球網友歡迎的社群聊天室服務 Discord,日前開始發送 email 通知部分用戶,因該平台先前發生的駭侵事故,導致這批用戶的個人可識別資訊(personally identifiable information, PII)外洩。
該次駭侵事件發生在 2023 年 3 月 29 日,起因是負責承包 Discord 平台客戶服務工作的第三方廠商一名工作人員,疑似遭到社交攻擊,導致駭侵者取得其工作用登入資訊,並藉以取得 Discord 平台部分系統的使用權限。
駭侵者竊得的資料,包括客服系統中的支援工單佇列、用戶的 email 地址、與客服人員溝通的訊息記錄,以及支援工單中附件的檔案內容。
Discord 表示在發現系統遭到不當存取,且證實資料遭竊後,該公司立即停用遭駭人員帳號的相關權限,清查後發現約有 180 名使用者的個人機敏資料遭到竊取。
Discord 在新聞稿中指出,目前證實有一名位於美國緬因州的使用者,其個人姓名、駕駛執照、州民證號碼等資訊遭到外洩。
另外,在先前有一家第三方、非官方的 Discord 邀請服務 Discord.io,在遭到駭侵攻擊並發生大量資料外洩後停止服務;資料遭到外洩的該服務使用者據傳多達 760,000 人。
Discord.io 被竊取的使用者資訊,據傳也在一個新成立的駭侵討論區 Breached 上出售,駭侵者還公開了 4 名使用者的資訊,以佐證該批資料的真實性。遭竊的資料欄位包括使用者名稱、email 地址、帳單地址(部分使用者)、已加密的密碼 hash、對應的 Discord ID 等。
鑑於第三方服務業者人員遭社交攻擊等方式,導致平台系統遭到駭侵的案例層出不窮,建議各平台業者加強第三方業者的資安認證與人員教育訓練,並將核心系統與資料進行必要的隔離保護。
twcert 發表在
痞客邦
留言(0)
人氣()
義大利卡塔尼亞大學(Universita di Catania)與英國倫敦大學的資安研究人員,日前聯合發表研究報告;報告指出銷售量相當大的 TP-Link 智慧燈泡 Tapo L530E 與其控制用行動軟體 Tapo App,內含 4 個嚴重漏洞,駭侵者可藉以竊取使用者設定的 Wi-Fi 連線密碼。
兩所大學的資安研究人員,在進行市售 IoT 智慧聯網裝置的資安研究時,發現了這批漏洞;這些漏洞的問題分列如下:
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商趨勢科技旗下的資安研究團隊 Zero Day Initiatives 日前發表研究報告,指出該單位的資安研究人員,近期發現 WinRAR 內含一個嚴重漏洞,駭侵者可藉以在使用者開啟 RAR 壓縮檔時,遠端執行任意程式碼。
該漏洞的 CVE 編號為 CVE-2023-40477,問題源自對於復原檔案卷宗在處理上的錯誤,未能適當驗證用戶輸入的資訊,使得驗侵者可存取已分配緩衝區之外的記憶體。
駭侵者可將特製的 RAR 檔案傳送給攻擊目標,誘使其開啟檔案,即可利用該漏洞遠端執行任意程式碼。
CVE-2023-40477 的危險程度評分,雖然因為必須由使用者開啟檔案才能運作,所以分數僅有 7.8 分(滿分為 10 分),但是由於要誘使使用者開啟惡意檔案,在實作上並不困難,且 WinRAR 在 Windows 使用者中的普及率極高,是使用量非常大的常用工具軟體,因此這個漏洞造成的資安風險不容忽視。
發現該漏洞的 Zero Day Initiatives,在 2023 年 6 月 8 日將本漏洞通報給 WinRAR 的開發廠商 RARLAB,RARLAB 則是在近 2 個月後的 8 月 2 日推出新版的 WinRAR 6.23,解決了 CVE-2023-40477 這個漏洞。
RARLAB 這次發表的 WinRAR 6.23 版本,同時也修復了另一個由 Group-IB 發現的資安漏洞,駭侵者可利用特製的 RAR 壓縮檔讓用戶開啟錯誤的檔案。
twcert 發表在
痞客邦
留言(0)
人氣()
國際刑警組織(INTERPOL)日前宣布,在一場在多個非洲國家進行的網路犯罪偵查行動中,目前已逮捕 14 名嫌犯,並破獲為數眾多的犯罪工具與不法所得。
這場行動的代號稱為「Africa Cyber Serge II」,於 2023 年正式在多達 25 個非洲國家展開偵查活動;四個月的偵辦期間,針對包括釣魚攻擊、網路勒贖、企業電子郵件駭侵(Business Email Compromise, BEC)、網路詐騙等等進行偵辦,造成的財務損失高達 4,000 萬美元。
除了逮捕網路犯罪分子之外,Africa Cyber Serge II 行動也起出大量犯罪相關工具,包括近四千台用於進行駭侵攻擊的控制伺服器、近 15,000 個用以竊取資料的 IP、近 1,500 個用於釣魚攻擊的連結與網域、近 1,000 個用於詐騙攻擊的 IP、超過 400 個其他惡意網址和僵屍網路等。
Africa Cyber Serge II 在非洲各國的執行成果,包括在喀麥隆逮捕 3 名涉及 85 萬美元網路藝術品詐騙的嫌犯、在奈及利亞逮捕一名涉嫌詐騙一名甘比亞受害者的嫌犯、在模里西斯逮捕兩名即時通訊詐財分子、在甘比亞查緝 185 個惡意 IP、在喀麥隆破獲 2 個暗網網站、在肯亞緝獲 615 台駭侵攻擊用主機。
上一次的 Africa Cyber Serge 大執法是在 2022 年 11 月發動,當時逮捕 11 名犯嫌,破獲多達 200,000 個駭侵攻擊使用的基礎設備。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Joe Security 與 Zimperium 近期分析發現,有數千種 Android 惡意軟體的 APK 安裝檔,採用非正規的壓縮方式,能夠成功避開多種防毒防駭工具的偵測;而且採用這種方式的惡意 Android APK 數量持續增加。
這些惡意軟體 APK 檔採用的壓縮方式,許多並未在 Android 系統中提供支援,也有一部分是非公開的壓縮演算法,或是經過大幅改寫,以致於無法使用公用解壓縮方式解壓。
據 Zimperium 的研究指出,市面上有至少 3,300 種 APK 使用這類特殊的壓縮方式,來規避防毒防駭機制的掃瞄;雖然許多 APK 都因此容易發生不穩定而當機的狀況,但 Zimperium 還是發現至少有 71 種惡意 APK 可在 Android OS 9 (API28) 版本上正常運作。
研究人員也表示,使用作業系統不支援或未知的壓縮演算法的 APK,無法在 Andoird 8 或先前版本上執行,但卻可在 Android 9 與後續版本上執行。另外,採用這種非正規的壓縮方式,駭侵者還可以使用超過 256 字元以上的檔名,這可造成許多惡意軟體分析工具無法執行。
研究人員指出,利用這種非正規的方式來壓縮 APK 檔,就能有效避開市面上多種 Android 平台上的防毒防駭軟體的靜態偵測機制,也能有效延緩資安廠商與研究人員分析惡意軟體並推出解決方案的速度。
研究人員也說,目前這些變造壓縮方式的 Android APK 檔,均未在 Google Play Store 中上架,但很可能出現在第三方的 App Store 中。
建議 Android 用戶避免下載安裝來路不明、非出自官方 Google Play Store 的 APK 檔案。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Cyberint 近日發表資安觀察研究報告指出,全球最大求職求才社群服務 LinkedIn,日前發生大規模帳號遭攻擊事件,大量帳號因而遭到竊取,或被系統認定為不安全帳號而遭鎖定。
Cyberint 近期觀察到在包括 X(即改名後的 Twitter)、Reddit 討論區與 Microsoft forum 等處,有許多使用者抱怨其 LinkedIn 帳號發生問題;許多帳號因遭到攻擊而被 LinkedIn 鎖定而無法使用,甚至還有不少帳號直接被竊。
這些帳號遭到攻擊的使用者也在上述社群頻道中抱怨,LinkedIn 的客戶服務系統不但未能及時解決使用者的帳號問題,甚至對用戶的反應沒有任何回應。
Cyberint 的資安研究人員指出,LinkedIn 的客服系統最近的反應遲緩,顯示該服務可能面臨較平時高出甚多的客服需求,以致客服系統與人員難以負荷。
駭侵者很可能是利用暴力試誤法,或使用已洩漏的登入資訊,來竊取使用者的 LinkedIn 帳號。有不少使用者的 LinkedIn 帳號,其登入密碼和 Email 遭到竄改,以致無法登入。
Cyberint 說,駭侵者甚至會在竊得帳號後開啟二階段登入驗證,導致使用者要取回帳號存取權的難度進一步提高。 目前已有一部分 LinkedIn 帳號遭竊的用戶,遭到駭侵者要求支付小額贖款;駭侵者威脅如果拒付贖款,帳號即將遭到刪除。
LinkedIn 的帳號經常用來作為進一步發動社交攻擊的工具,因此在駭侵者眼中是相當有價值的攻擊目標。
建議 LinkedIn 使用者應加強帳號密碼的保護,例如開啟二階段登入驗證、不使用與其他服務相同的密碼、使用強式密碼等等。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Fireblocks 旗下的加密演算法研究團隊,在多個知名加密貨幣錢包使用的多種加密協定如 GG-18、GG-29、Lindell 17 中,發現一批稱為「BitForge」的多個 0-day 資安漏洞;駭侵者可利用這批漏洞,無需與用戶與錢包發行商互動,即可竊走錢包中的加密貨幣資產。
受到這批 BitForge 0-day 漏洞影響的加密貨幣錢包供應商,包括多家知名交易所如 Coinbase、ZenGo、Binance 等。
這批 BitForge 0-day 漏洞群中,第一個漏洞 CVE-2023-33241 存於 GG-18 和 GG-20 的「門檻式簽章協定」(Threshold signature schemes);研究人員發現駭侵者可利用特製的訊息,在 16 位元的 Chunk 中取出金鑰分片;重覆操作 16 次後即可取得完整私鑰。
另一個存於 Lindell 17 2PC 加密協定中的 0-day 漏洞 CVE-2023-33242 也是類似的錯誤,攻擊者只要重覆 200 次操作就可以取得完整的私鑰。
Fireblocks 在報告中指出,該公司的團隊於 2023 年 5 月時發現這批 0-day 漏洞,並在第一時間通報多家加密貨幣交易所,並於近日在 BlackHat 駭侵防護研討會上公開這項研究報告。值得注意的是,在報告公開的現在,Coinbase 與 ZenGo 已修復其加密貨幣錢包中的相關漏洞,但 Binance 和其他多家加密貨幣錢包供應商,仍未能及時修復這批問題。
建議加密貨幣交易者如有利用受影響的錢包,可透過 Fireblocks 提供的網頁,檢視受影響錢包是否已經提供更新版本,並立即加以更新。
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 日前推出 2023 年 8 月例行資安更新修補包「Patch Tuesday」,共修復 87 個資安漏洞;其中含有 2 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。
本月 Patch Tuesday 修復的漏洞數量有 87 個,較上個月(2023 年 7 月)的 132 個資安漏洞少了很多;而在這 87 個漏洞中,有 2 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞,另外還有 23 個遠端執行任意程式碼 (RCE) 漏洞。
以漏洞類型來區分,這次修復的資安漏洞與分類如下:
twcert 發表在
痞客邦
留言(0)
人氣()
德國柏林科技大學(Technical University of Berlin)的資安研究人員,日前表研究報告,指出研究人員發展出一種破解 Tesla 車內資訊娛樂系統(Infotainment systems)的方法,可以破解 Telsa 對某些付費專屬軟體的限制。
Tesla 車內配備的資訊娛樂系統,採用由晶片設計大廠 AMD 生產製造的 AMD Zen 1 CPU 作為主要處理器;研究人員利用逆向工程技術,追蹤該系統的啟動流程,並且找到該晶片系統的「越獄」(jailbreak)方法。
研究團隊表示,在越獄後,研究人員即可自由啟用通常必須付費才能使用的 Tesla 車內進階功能,例如電熱椅或更凌厲的加速動力。
此外,由於研究人員能夠以這種破解法取得該資訊娛樂系統的 root 權限,因此也能夠竊得車主的多種機敏個人資料,包括車主個人資訊、通訊錄內容、行事曆項目、電話通聯紀錄、Spotify 與 Gmail 連線階段的 cookie、Wi-Fi 密碼、曾造訪過的地點等多項資訊。
研究人員也說,這個破解方式也能夠讓車輛在尚未支援的地區行駛,並且讓車主可以自行進行車輛維修、系統修改等。
研究團隊在找到破解的概念驗證方法後,隨即通報 Tesla 原廠;Tesla 原廠在稍後發表聲明,指出該團隊用以破解以啟動電熱椅的方法,僅適用於舊版 Tesla 韌體,新版韌體已加強安全簽署流程;然而研究團隊指出該攻擊方法照樣可適用於目前推出的最新版韌體。
此外,有部分媒體在相關報導中指出,可利用該破解法啟用「完全自動駕駛」(Full Self-Driving, FSD)功能,但該團隊指出報導是錯誤的,並無法使用該破解方式啟用 FSD。
建議智慧車輛車主對此類破解消息應謹慎處理,避免自行套用,以免影響行車安全。
twcert 發表在
痞客邦
留言(0)
人氣()
