資安廠商 Intezer 日前發布資安研究報告,指出該公司的研究人員發現 Microsoft Azure 雲端服務存有兩個漏洞,可導致駭侵者遠端執行任意程式碼,並接管用戶的伺服器。
發生問題的是 Microsoft Azure 的 App Services,可供客戶託管各種 web 服務;研究者發現在 App Services 中的 Linux 主機存有兩個資安漏洞,可供駭侵者進行伺服器端請求偽造(Server-side Request Forge,SSRF)攻擊,以及遠端執行任意程式碼,導致用戶的主機權限遭駭侵者取得。
研究人員指出,第一個 SSRF 漏洞發生在 Azure App Services 使用的開源套件 KuduLite,這個套件是讓註冊戶用管理其 App Service 方案;研究人員發現 KuduLite 的程式碼將 SSH 安全連線使用的密碼硬寫(hard-coded)在其程式碼中,可因此取得 root 登入身分。
第二個漏洞發生在 KuduLite 的 API,應用程式節點可以在未經存取權限驗證的情況下,向 KuduLite 發送存取要求;攻擊者可以利用這個漏洞來存取應用程式節點的檔案系統,甚至可以竊得該節點儲存的應用程式原始碼與其他資源。
Intezer 是在三個月前發現這兩個漏洞,隨即向 Microsoft 提報;而 Microsoft 很快就修復了這兩個漏洞,因此這兩個漏洞沒有 CVE 編號。影響產品/版本:Microsoft Azure App Services解決方案:已解決
twcert 發表在
痞客邦
留言(0)
人氣()
美國聯邦調查局日前發表資安通報指出,由於愈來愈多美國遠距工作者選擇市區旅館進行遠距工作,應即提防透過旅館 Wi-Fi 網路進行的攻擊。
美國聯邦調查局(FBI)日前發表資安通報指出,該局觀察到愈來愈多美國遠距工作者選擇市區旅館或飯店進行遠距工作,以尋求較自家更安靜、更不受打擾的工作環境;然而透過旅館或飯店提供的無線網路,存取公司或自身的機敏資訊時,將會提高遭到駭侵攻擊的資安風險。
FBI 在這份公告中指出,使用旅館或飯店提供的 Wi-Fi 無線網路時,會面臨更高的資安風險;駭侵者可能會入侵旅館或飯店的系統,取得房客的姓名、房號、各種個資與信用卡號碼;而且所有來自四面八方的不明房客,大多會被集中在同一個網段之下,這使得網路監聽、駭侵與資料竊取變得更加容易。
另外,為了讓房客便於使用,旅館或飯店也經常將其 Wi-Fi 無線網路的帳號與密碼印在隨處可見的地方,或是印成小卡供房客索取,更不常更換密碼;所謂安全防護最多也僅是要求利用房號登入,並不能確保整個網路的安全。
更嚴重的是,由於市面上沒有針對旅宿環境無線網路的嚴密資安防護標準,因此各家旅宿業者的無線網路安全程度不一;再加上許多旅宿業者使用的無線網路設備十分老舊,沒有定期更新韌體以修補資安漏洞;用戶也無法控制或檢視其資安設定情形,更加提高房客面臨的資安風險。
FBI 提醒所有在旅館或飯店進行遠端工作的用戶,應即提防透過旅館 Wi-Fi 網路進行的攻擊;如果發現自己的設備發生速度突然變慢、被強迫導向到其他網頁、指標或游標突然自行移動、某些應用程式突然自行開啟、電池耗電量突增,或是發現奇怪的撥出電話、外發簡訊或 Email 時,就表示可能遭到駭侵。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現廣泛用於 Apple Mac 系列電腦的 T2 安全晶片,內含一個不可修復的資安漏洞,將可能導致駭侵者取得 root 權限。
資安廠商 ironPeak 的研究人員日前發表研究報告,發現廣泛用於 Apple Mac 系列電腦的 T2 安全晶片,內含一個不可修復的資安漏洞;該漏洞將可能導致駭侵者取得 root 權限。
報告指出,現用於 Mac 系列電腦中的 T2 晶片,係基於 Apple A10 處理器,因此先前發生在 A10 及較舊處理器的 checkm8 漏洞依然存在,可以套用過去以該漏洞為 iPhone 越獄的類似手法,用以入侵 Mac 電腦。
由於 T2 晶片的 debugging 模式並不會進行任何身分認證,就能夠進入 Device Firnware Update (DFU) 狀態,因此理論上可以製作一個能自動進入 DFU 模式並注入惡意軟體的 USB-C 界面攻擊硬體,並取得完整的 root 權限。
研究報告也指出,這個漏洞只存在於現行使用 A10 晶片為基礎的 T2 晶片;未來 Apple 將推出的 Intel 處理器新款 Mac,以及改採自家 Apple Silicon 處理器的新款 Mac,由於其 T2 晶片改以已修補此漏洞的 A12 處理器為基礎,因此不受這個漏洞的影響。
研究報告也指出,由於要利用該漏洞進行駭侵攻擊,必須透過實體連線,也就是說必須透過 Mac 的 USB-C 連接埠寫入資料,因此使用者只要提高警覺,避免來源不明的裝置插上電腦,即可有效阻絕駭侵者利用此漏洞進行攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商日前發現第二個以 UEFI 為攻擊目標的惡意軟體 MosaicRegressor,被駭侵團體用來攻擊亞洲、歐洲和非洲各國的外交單位。
俄羅斯資安廠商卡巴斯基日前發表研究報告,指出該公司的研究人員發現第二個以 UEFI 為攻擊目標的惡意軟體,並將其命名為 MosaicRegressor。這個惡意軟體被駭侵團體用來攻擊亞洲、歐洲和非洲各國的外交單位。
UEFI 是 Unified Extensible Firmware Interface 的縮寫,儲存在電腦主機板上的 Flash 記憶體中,是電腦開機時最先執行的軟體程式;其功能為在載入作業系統之前,預先設定好電腦上的所有硬體裝置,因此非常重要。
駭侵者如果能成功在 UEFI 中注入惡意程式碼,不但難以自作業系統中將之清除,甚至還可以做到清除掉整個受害電腦作業系統、格式化任何儲存裝置。
卡巴斯基指出,要發動 UEFI 攻擊有一定的難度;駭侵者必須能夠實體存取受害電腦,或是透過複雜的供應鏈攻擊來進行。
根據卡巴斯基的資料,MosaicRegressor 的攻擊活動記錄約自 2017 到 2019 年之間,主要的攻擊對象為亞、歐、非各國的外交單位或非政府組織;其中有兩台電腦每次重新開機後都會自動再次安裝惡意軟體,顯示其 UEFI 已遭注入惡意程式碼。
目前卡巴斯基還無法解釋整個攻擊的流程。
最早發現的 UEFI 攻擊惡意軟體係在 2018 年,由另一家資安廠商 ESET 發現;當時是由俄羅斯支持的 APT 駭侵團體 Facny Bear 用來發展 Rootkit 攻擊工具,並發動多起攻擊行動。
twcert 發表在
痞客邦
留言(0)
人氣()
Google 最近推出 Android Partner Vulnerability Initiative,針對非 Google 自製的第三方 Android 裝置資安漏洞發出警示通報,以提示用戶注意,並促使裝置廠商盡快推出資安更新修補程式。
Google 最近推出 Android Partner Vulnerability Initiative(APVI),主要針對非 Google 自製 Pixel 系列手機的第三方 Android 裝置資安漏洞發出警示通報;這個計畫的用意,除了提示用戶注意可能的資安風險外,並希望促使裝置廠商盡快推出資安更新修補程式,希望能加強整個 Android 生態圈的安全性。
雖然在 Google 推出 APVI 的部落格公告中,列出了數種這波通報中發現的三大漏洞類型(跳過權限同意程序、登入資訊外洩、App 過度要求存取權限等),但在 APVI 的 bug list 頁面中,則列出了自去年八月以來發現的第三方 Android 製造商被發現的各種問題;榜上有名的廠商包括華為、OPPO、Vivo、ZTE、Transsion、Meizu、Digitime、Mediatek 等。
華為手機早在 2019 八月就被提報「未經授權的第三方資料備份」問題,OPPO 和 Vivo 則於去年 12 月被提報 sideloading 問題,Mediatek 則是在今年一月因為嚴重的 MTK-SU 漏洞而名列其上,ZTE 則同時有訊息服務和瀏覽器自動輸入密碼的安全性問題存在;不過這些漏洞目前均已修復。
尚未修復的新漏洞則有 Meizu 的 Android 系統 UI 使用 http 未加密協定載入動態程式碼問題,以及 Digitime 手機系統服務外洩問題。
Google 表示,會在問題提報時主動通知各第三方生產廠,之後才會加以公開;Google 希望以這個方式,加速各第三方廠商更新其裝置並修補漏洞的速度,因為許多 Android 第三方裝置的系統更新和資安漏洞修補動作非常緩慢,更有許多平價設備從來不曾推出更新。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商日前發現一個全新的國家支持 APT 駭侵團體;這個駭侵團體在過去九年多來從未被發現。
斯洛伐克資安廠商 ESET 日前在一場資安研討會上,首次揭露了 APT 駭侵團體 XDSpy 的存在;這個駭侵團體過去九年來多次發動駭侵攻擊活動,但一直未被偵測到。
ESET 的研究人員指出,XDSpy 駭侵攻擊的主要目標,是調查並竊取各種機密文件,並竊取資料;主要的攻擊對象為東歐與巴爾幹半島諸國的政府單位與私人企業。
被 XDSpy 鎖定攻擊的國家包括白俄羅斯、摩多維亞、俄羅斯、塞爾維亞與烏克蘭;但這些僅是 ESET 有偵測到的攻擊活動;可能仍有更多攻擊活動,至今未被掌握。
ESET 也指出,在 XDSpy 某次駭侵活動遭白俄羅斯資安主管單位發覺後,該團體的攻擊活動便轉入地下。
ESET 研究人員說,XDSpy 主要的攻擊武器,是一個稱為 XDDown 的惡意軟體工具組;主要能在感染受害者後,繼續下載多種模組,以執行不同的攻擊手法;這些模組包括可掃瞄受感染電腦規格與作業系統組態細節的 XDREcon、可尋找特定格式檔案(如 PDF、Office 文件、通訊錄資料等)的 XDList、可監控何種裝置連上受感染電腦的 XDMonitor、可竊取本地瀏覽器儲存帳密的 XDPass 等等。
ESET 說,XDSpy 的這些攻擊手法不算特別新,但對於感染攻擊對象並發動攻擊,已經相當足夠。
twcert 發表在
痞客邦
留言(0)
人氣()
有鑑於先前提供的 CVE-2020-1472 Zerologon 漏洞更新情報的混淆,微軟日前再次發布關於此漏洞的修補方法,以更清楚地方式說明如何修補此嚴重漏洞。
日前微軟針對一個近來受到高度注目,可能造成極嚴重攻擊事件的 Zerologon 漏洞(CVE-2020-1472)發布更新修補訊息;然而許多用戶感到混淆,也無法確認更新後是否就能抵禦針對此漏洞的攻擊。
CVE-2020-1472 是存在於微軟 Netlogon 的極嚴重資安漏洞,其 CVSS 危險程度評分高達滿分的十分;駭侵者可利用此漏洞控制整個內網,任意變更用戶的登入資訊,並且執行任意程式碼。
更危險的是,傳統上利用其他漏洞,要達到上述駭侵效果,相當費時費力;但利用 Zerologon 的駭侵攻擊,幾分鐘內就可以完全掌握受害者內網,因此幾乎沒有充足時間加以抵禦。
在 Zerologon 漏洞公開之後不久,就發現多起以此漏洞進行的駭侵攻擊事件;修補各單位內網的 Zerologon 漏洞,更顯刻不容緩。
為此,微軟再度發布關於 Zerologon 的修補說明,提供了更詳細的說明文件,詳細說明更新操作步驟。
在這篇新的更新文件中,微軟強調四個更新步驟:更新網域控制站:安裝 2020 年 8 月 11 日或之後發行的軟體更新;檢視事件記錄檔,找出存有連線漏洞的內網裝置;處理這些存有漏洞的裝置,包括安裝所需的軟體更新、啟用「強制模式」等;在整個內網環境中啟用「強制模式」,以修補所有 CVE-2020-1472 的漏洞。
twcert 發表在
痞客邦
留言(0)
人氣()
美國資安主管機關日前發表資安通報,指出美國政府旗下某單位遭駭侵成功,內部資料可能也遭外洩。
美國資安主管機關「資安與基礎建設安全局」(Cybersecurity and Infrastructure Security Agency, CISA)日前發表資安通報,指出美國政府旗下某單位遭駭侵成功,且內部資料可能已經外洩。
CISA 於 9/24 發表該資安通報(AR20-268A)。通報中指出駭侵者成功取得該單位多名雇員的 Office 365 登入資訊,甚至包括網域管理員的登入資訊在內;並且使用該單位的私有 VPN 進行遠端登入,同時下載檔案。
CISA 指出,駭侵者可能是透過 Pulse Secure VPN 的已知漏洞 CVE-2019-11510 入侵該單位並取得單位雇員的登入資訊。該漏洞的修補程式,早在 2019 年四月便已釋出,美國國土安全部更在稍早針對此漏洞發表資安通報,要求美國政府各單位提高警覺並儘速修補;但 CISA 仍觀察到多起利用此漏洞針對美國政府各單位發動駭侵攻擊的案例。
CISA 在通報中指出,駭侵者先以某雇員的 Office 365 帳號,向該單位的 IT 支援系統取得 VPN 的連線方式與使用密碼,然後再查出其內網 Active Directory 與群組原則金鑰,之後再利用一些常用的 Windows 指令連上 VPS,並連上控制伺器,下載並在內網中執行惡意軟體。
twcert 發表在
痞客邦
留言(0)
人氣()
TWCERT/CC接獲國際情資,Palmerworm 駭客組織 (BlackTech)於2019年8月起,陸續利用新型客製化惡意程式,針對台灣建築、金融、電子與媒體業等諸多產業進行間諜攻擊。過去該駭客集團常用的惡意程式為Backdoor.Kivars和Backdoor.Pled,但這次的攻擊採用新型的客製化惡意程式Backdoor.Consock、Backdoor.Waship、Backdoor.Dalwit和Backdoor.Nomri,除了上述的四個後門外,亦會利用正常的軟體工具像是Putty、PSExec、SNScan、WinRAR進行攻擊行動;且會使用竊取的合法code-signing憑證來進行payload簽屬,藉以躲避安全軟體之偵測,請政府、企業單位注意並提供相關IOC資訊供防範。相關IOC資訊如下:
twcert 發表在
痞客邦
留言(0)
人氣()
在2016年,公共自行車YouBike (簡稱Ubike)租賃系統無預警當機,導致全台兩萬多輛的Ubike無法租借使用。經追查後發現,該租賃系統是遭到惡意程式攻擊,而當年負責Ubike租賃系統承包商中一位工程師因此遭到逮補。然而,在4年(2020年)後的現在,此案經由法院判決該工程師無罪,主要原因為該系統一直使用共用帳號密碼,逾十位的工程師都可自由登入及修改內容,再加上攻擊者登入的Log紀錄都已遭到刪除,導致整體案件無法證實攻擊者究竟是否為該工程師,因此判工程師無罪。對企業而言,系統通常會提供給數位、甚至所有員工使用,而為了方便登入,許多企業會建立共用帳號,提供給所有使用者登入後使用。然而,由於共用帳號無法區隔每一位使用者的身分,一旦系統發生問題或感染惡意程式,往往也難以追查究竟為哪一位使用者所為,甚至許多共用帳號使用簡易的帳號和低強度的密碼,例如常見的password123、123456或企業名稱等容易猜測的密碼,因此一旦有攻擊者欲入侵該系統,可透過簡單的暴力破解取得其密碼後入侵其中。
twcert 發表在
痞客邦
留言(0)
人氣()
Facebook 近日針對於四月初發現的 Instagram 嚴重資安漏洞發表修補新版;這個漏洞可導致用戶的手機遭駭侵者遠端執行任意程式碼,並且挾持手機中的相機、麥克風等裝置。
資安廠商 Check Point 是在今年四月初時發現這個漏洞,並提報給 Facebook;該漏洞編號為 CVE-2020-1895,主要發生於 Instagram 進行影像處理時的錯誤。駭侵者可以利用一張特製的影像檔案,透過簡訊、WhatsApp 或其他任何方法傳給受害者,當受害者收到這張影像檔案並儲存於手機後,再開啟 Instagram,就能執行惡意程式碼。
Check Point 指出,這個漏洞出在 Instagram 使用的第三方影像處理程式庫 Mozjpeg,這是一個由 Mozilla 開發的開源 JPEG 解碼器;由於 Instagram 使用這個程式庫的方法不當,造成駭侵者可使用特製影像檔案,直接利用 Instagram 向使用者要求的多種系統權限,包括存取用戶手機上的通訊錄、GPS 座標資訊、攝影機與本機檔案系統等;駭侵者也能讀取用戶透過 Instagram 傳送的私訊,並且擅自張貼或刪除貼文,甚至竄改系統設定。
這個漏洞的 CVSS 危險程度評分高達 7.8 分,屬於高危險程度。
Check Point 發現此漏洞後,隨即秘密向 Facebook 提報;Facebook 於日前修復並發行更新版本;Facebook 也表示並未發現這個漏洞被濫用的跡象。用戶只要將 Instagram 更新至 128.0.0.26.128 後版本即可。CVE編號:CVE-2020-1895影響產品/版本:Instagram 128.0.0.26.128 之前版本解決方案:將 Instagram App 更新至 128.0.0.26.128 之後版本
twcert 發表在
痞客邦
留言(0)
人氣()
新興勒索病毒AgeLocker是在今年(2020)7月被發現,該勒索病毒特徵為並非使用其他勒索病毒常見的AES、RSA等加密演算法,而是使用密碼學家與軟體工程師Filippo Valsorda所開發的加密工具–Age(Actually Good Encryption),對受害者的文件進行加密攻擊,因此該勒索病毒被命名為「AgeLocker」。
在AgeLocker被發現之後,隨著該勒索病毒的擴散及攻擊案例增加,於8月底時,發現AgeLocker針對NAS儲存設備進行攻擊,以Age加密演算法將受害主機內檔案進行加密,並且創建一名為HOW_TO_RESTORE_FILES.txt之文字檔,告知受害者其檔案已經被加密,必須支付贖金方能取回主機中的重要檔案。
twcert 發表在
痞客邦
留言(0)
人氣()
