資安專家發現某款名為「鸚鵡螺」的 ATM 存有兩個 0-day 漏洞,不但能讓駭侵者竊得用戶在銀行的機敏資訊,更能快速將機內存鈔盜領一空。
資安廠商 Red Balloon 旗下的兩名研究人員 Brenda So 和 Trey Keown 指出,由 Hyosung America 製造的 Nautlius「鸚鵡螺」ATM 機台,本身存有兩個 0-day 漏洞;除了可讓駭侵者取得用戶在銀行的往來記錄等機敏資訊,更能快速將 ATM 機身內的存鈔盜領一空。
這兩個漏洞,其中一個存於 Nautlius ATM 處理金融服務的擴充模組,也就是提款使用的軟體程式,駭侵者可以針對這個漏洞加以利用,令 ATM 快速送出所有存鈔。
另一個漏洞則存於 ATM 的遠端控制界面中,駭侵者可藉以遠端執行惡意程式碼;兩名研究人員示範了如何透過這些惡意程式碼,讓 ATM 將用戶的卡號、密碼等機敏資訊傳送到駭侵者架設的控制伺服器。
研究人員說,雖然 Hyosung America 已經針對這兩個漏洞發布修補更新,但由於 Nautlius ATM 使用的作業系統,是十年前發行的 Windows CE 6.0,在作業系統已經如此老舊的情況下,很難預期不會有其他嚴重資安漏洞出現。
兩位研究人員於今年的 DEF CON 資安大會上示範了入侵 Nautilis ATM 的過程。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 PerimeterX 的研究人員,近日發表研究報告,指出市面上以 Chromium 為基礎的各種瀏覽器,存有一個可讓駭侵者跳過網站內容安全原則(Content Security Policies,CSP)的嚴重 0-day 資安漏洞。
這個 0-day 漏洞駭侵者只要將原本會被瀏覽器的內容安全原則(CSP)阻擋的惡意 javascript 程式碼,包入 iframe 當中,即可輕易繞過 CSP 機制。
以 Chromium 為基礎的瀏覽器,包括 Google Chrome、Opera、Microsoft Edge 等的 Windows、Mac、Android 版本,從 2019 年三月發行的版本 73,到今年七月發行的版本 83,全部存有這個漏洞。
光是 Google Chrome 瀏覽器的市場佔有率就高達 65% 以上,使用者多達 20 億人;再加上許多知名熱門網站,包括 Facebook、Gmail、Zoom、TikTok、Instagram、WhatsApp、Blogger、Quora 等,都無法避免駭侵者利用此 0-day 漏洞執行惡意程式碼,因此這個漏洞影響層面極廣,若遭有心人士惡意利用,可能帶來的衝擊也不容忽視。
但也有一些知名熱門網站,例如 Twitter、Github、LinkedIn、Google Play Store、Yahoo 登入頁面、PayPal 等,其 CSP 以 nonce 或 hash 機制加強保護,因此不受本漏洞的影響。
這個漏洞編號為 CVE-2020-6519,其 cvss 影響嚴重程度評分為 6.5 分,屬中等嚴重程度。Chromium 瀏覽器用戶應盡速升級至 84 以上版本,始可避免受此漏洞影響;網站管理者應使用 nonce 或 hash 功能,以加強 CSP 的防護能力。
twcert 發表在
痞客邦
留言(0)
人氣()
隨著APP的普及化,越來越多的APP開始成為不論是大人小孩都必不可少的生活樂趣之一,尤其是TikTok與WeChat等APP更是受到全球數十億使用者的歡迎。然而,這些來自於中國的APP,卻接連被認為有隱私及個資洩漏的問題,除了會回傳使用者的資訊之外,甚至有審查對於該國不利言論的質疑出現,連他國的使用者都難以倖免。最為知名也備受爭議的APP—抖音(TikTok),因其娛樂性及影片的豐富度極高,除了中國版本的抖音APP擁有極高的使用者外,連其全球版之APP,在全球已有逾20億的下載量。然而,TikTok APP卻一直有對於個資洩漏及隱私權的質疑出現,例如在2019年,Tiktok簽署關於兒童線上隱私法的相關條例,不得在未經父母同意的情況下,蒐集13歲以下兒童的個資,即便是系統自動運作而蒐集,也應在事後進行刪除。但TikTok卻在今年(2020)七月,被指控未遵守該條例,仍然持續蒐集兒童的個人資訊,如此行為將可能導致兒童個資及隱私的不安全,因此美國聯邦貿易委員會重罰TikTok 570萬美元。除此之外,該APP爆炸性成長的使用者數量,一旦將這些使用者的個資回傳給該廠商、甚至該國,則全球的個資將會掌握在該國手中,因此TikTok也被美國情治單位稱為該國的「間諜網路程式」,警告使用者應注意自身個資和隱私的威脅。
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft Teams 再度被資安廠商發現離地攻擊漏洞,駭侵者可假冒安裝更新,進行遠端植入並執行惡意程式碼。
新加坡電信旗下的資安團隊 Trustwave 日前發表研究報告,指出 Microsoft Teams 再次被發現離地攻擊漏洞;駭侵者可假冒安裝更新,進行遠端植入並執行惡意程式碼。
報告指出,去年 Microsoft Teams 就被發現存有離地攻擊漏洞;駭侵者可假藉安裝更新程式名義,透過傳訊方式要求用戶輸入更新指令,伺機安裝惡意程式碼;Microsoft 當時提出的解決方式,是限制系統不可透過 URL 下載更新檔,但允許用戶從本機或內部網路共享路徑下載並安裝更新程式。
報告說,這樣的修補方式並無法徹底解決 Microsoft Teams 遭離地攻擊的風險;駭侵者仍可以先設法將假冒為更新檔案的惡意程式檔案,事先置於內網共享資料夾內,或是使用遠端 SMB 分享,再拐騙內部用戶使用假檔案更新 Microsoft Teams,同樣能夠達成植入並執行惡意軟體的作業。
報告指出,Microsoft Teams 透過開源軟體 Squirrel 其中的 NuGet 套件來處理檔案下載與更新,因此假扮成更新包的惡意程式碼,只要命名為 Squirell.exe 並置於特定位置,同時提供假的 metadata,即可成功安裝。
撰寫報告的資安專家將其發現回報給微軟,但微軟回應指出,由於許多客戶頻繁使用 SMB 檔案分享功能,因此從產品設計的角度上,無法禁用 SMB 更新。
twcert 發表在
痞客邦
留言(0)
人氣()
美國晶片製造商 Intel 有近 20 GB 的內部機密文件,被分享到外部網路上;Intel 目前正展開調查。
美國首屈一指的晶片製造商 Intel,近日有近 20 GB 的內部機密文件,被分享到外部網路上;Intel 目前正展開調查,希望能夠查明如何外洩。
這批高達 20GB 的文件資料,許多都標有「機密」或「限閱」字樣,且被上傳到廣為許多用戶愛用的匿名檔案分享網站 Mega 上。上傳資料的是一名瑞士工程師,他表示這批資料是一名匿名駭客傳給他的,該名駭客自稱曾在今年年初時駭入 Intel,取得這批機密文件檔案。
這名工程師還說,被放上 Mega 分享網站的檔案,不過只是近來 Intel 所有被竊檔檔案的其中一小部分而已。
資安媒體 ZDNet 在相關報導中指出,這批外洩檔案內含多種晶片組的設計資料,包括 2016 年以來的多種產品技術規格、產品指南、處理器使用手冊等等,但未包含任何 Intel 內部員工和顧客相關的機敏資訊。
不過,Intel 在回應採訪時否認這批資料是因遭駭而流出的;Intel 認定是某個可以自 Intel 內部網站「資源與設計中心」存取該批資料的員工,在未經授權的情形下,將這些檔案下載並分享給該瑞士工程師。
ZDNet 說,在該媒體掌握的外洩檔案中,有相當多檔案有標有「資源與設計中心」的字樣,似乎可以印證 Intel 的說法。不過該工程師也提出他和匿名駭客的對話記錄,對方說資料是從一個未加上安全防護的 Akamai CDN 伺服器上下載的,沒有使用任何可以登入 Intel 資源與設計中心主機的帳號。
twcert 發表在
痞客邦
留言(0)
人氣()
資安事件摘要
twcert 發表在
痞客邦
留言(0)
人氣()
TWCERT/CC接獲通報,近日有發現駭客偽冒學術單位的網域名稱發送mail,博取收信企業之信任,發送要求報價為題的惡意郵件,引誘使用者點擊信件。並於信件中夾帶2個含有惡意巨集(Marco)的PowerPoint檔案,當使用者開啟該惡意PowerPoint檔案,會執行巨集指令下載惡意腳本。該惡意腳本透過Mshta執行schtasks.exe微軟工作排程,每次開機時會執行惡意腳本建立並維持後門連線。經檢測人員,發現這兩個惡意檔案雖檔名不同,但Hash相同。並使用合法網頁如:pastebin剪貼簿與j.mp縮網址躲避防毒軟體偵測。相關攻擊手法如圖,若需進一步IOC資訊請用企業信箱寄信至twcert@cert.org.tw索取,謝謝。
twcert 發表在
痞客邦
留言(0)
人氣()
來自伊朗的APT34(Advanced Persistent Threat,進階持續性威脅)駭客組織,正利用最新的DNS over HTTPS(DoH)技術,規避既有資安設備的監控。根據ZDnet報導,在網路安全公司Kaspersky(卡巴斯基)所舉辦的研討會上,資安專家Vicente Diaz介紹了這個在網路犯罪活動上的重大技術革新。來自伊朗的駭客組織Oilrig,開始利用DoH技術來從事駭客活動的資料傳輸,該組織利用一種名為DNSExfiltrator的工具,將資料偽裝成DNS查詢封包,並以HTTPS協議在網際網路上傳輸。使用這項至2018年才發布的新技術,許多市面上的網路安全產品皆難以偵測其活動,讓受駭者難以發現,藉此規避資安威脅偵測與監控。
twcert 發表在
痞客邦
留言(0)
人氣()
美國聯邦調查局日前發布警訊,指出該單位近來發現線上購物相關的詐騙案件,數量正在快速增加。
美國聯邦調查局(Federal Bureau of Investigation, FBI)日前發布警訊,指出該單位近來發現線上購物相關的詐騙案件,其數量正在快速增加。
FBI 指出,近來該局接獲愈來愈多關於線上購物糾紛案件與檢舉陳情,發現這些案件多半和電子商務的詐騙有關。詐騙者透過社群媒體或搜尋引擎,以超低價吸引受害者點擊進入假冒其他著名線上購物平台的詐騙網站,購買諸如健身器具、小型家電、工具或家具等商品。
FBI 在警訊中說,該局接獲的檢舉陳情,典型的樣態如下:不論訂了什麼商品,都會夾帶來自中國的拋棄式口罩;透過線上轉帳機制而非一般刷卡機制來支付購物款項;這些網站的連絡地址和電話雖然都在美國,但卻都不是廠商真正使用的電話或住址,企圖誤導消費者以為該網站是由美國本土商家經營;許多詐編網站的內容,都是從其他網站複製貼上,因此會有多個不同網站都使用相同電話與地址的情形出現。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現 Zoom 存有一個資安漏洞,可讓駭侵者透過暴力試誤法,猜到私人會議使用的密碼,進而加入會議。
獨立資安專家 Tom Anthony 於日前發現 Zoom 一個嚴重資安漏洞,可讓駭侵者以暴力試誤法重覆嘗試,快速找出私密視訊會議的密碼並登入會議。
這個漏洞出在 Zoom web 版本;web 版本的 Zoom 連線程式不但存有 CSRF 錯誤,甚至完全不限制密碼錯誤重試次數。由於 Zoom 的會議室密碼僅為六位數字,因此理論上最多只要猜測一百萬次,最終能猜到密碼。
Tom Anthony 說,3月31日時英國首相 Boris Johnson 透過 Zoom 進行英國史上首次遠距內閣會議,在其 Twitter 推文的螢幕截圖上顯示了其 Zoom 會議室的編號,引發他的興趣,開始研究 Zoom 會議的登入機制,因而發現這個漏洞。
Tom Anthony 指出,透過自動化程式猜測密碼,要破解這麼短、組合這麼少的會議密碼,根據其測試結果,不到半小時就猜出了正確的密碼;這還是使用單線執行的結果,如果以多台主機分散執行密碼猜測工作,猜到正確密碼的速度還能大幅加快。
該專家於今年四月一日時,將其發現結果通報給 Zoom 公司,Zoom 很快就在四月九日時更新其 Web 會議連線程式;除了修正 CSRF 錯誤、新增密碼試誤次數限制外,也將密碼格式由原本易破解的六位數字,改成更長的非數字格式,完全修復這個漏洞。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現,在印度境內有假扮成 TikTok 替代程式的惡意軟體,正在透過 WhatsApp、手機簡訊等管道大肆擴散。
資安廠商卡巴斯基發現,在印度境內有假扮成 TikTok 替代程式的惡意軟體,正在透過 WhatsApp、手機簡訊等管道大肆擴散;受害者一旦安裝惡意軟體,該軟體會竊取用戶手機內的各項資訊,並且自動轉寄下載連結給受害者通訊錄內的所有人。
卡巴斯基的資安研究人員指出,假冒 TikTok 的這支惡意 App,外部的名稱叫做「TikTok Pro」,詐騙用戶的文案訊息,以「讓你重新觀看 TikTok 上的影片,並且製作創意影音」。
卡巴斯基說,先前印度政府下令禁止 59 支中國製作的 App 在印度境內發行;除了假冒 TikTok 外,還有很多假冒其他被禁熱門 App 的惡意軟體,同樣也用這種方式吸引受害者安裝。
報告也指出,這批惡意軟體雖然不會竊取用戶機敏資訊回傳,但會要求用戶輸入自己的 TikTok 登入資訊,然後點按廣告或下載廣告軟體,駭侵者可藉以賺取不法廣告收益。
卡巴斯基的研究人員說,現在的駭侵者手段十分靈活,會利用當下的話題來吸引用戶上勾;卡巴斯基建議用戶不要因為認識的人傳來連結,就不疑有他;下載任何軟體時,都應透過官方 App Store 管道,並且確認安裝時這支 App 沒有要求授予不必要的存取權限。
twcert 發表在
痞客邦
留言(0)
人氣()
美國 CISA、英國 NCSC 近日共同發表資安警訊,指出至2020年6月中旬為止,全球約有 62,000 台 QNAP NAS 設備遭到 QSnatch 惡意軟體駭入。
美國資安與基礎設施安全局(Cybersecurity and Infrastructure Securoty Agency, CISA)與英國國家資安中心(National Cyber Security Centre, NCSC), 近日共同發表資安警訊,指出至2020年6月中旬為止,全球約有高達 62,000 台 QNAP NAS 設備,遭到一個名為 QSnatch 的惡意軟體駭入。
報告中指出,這個惡意軟體的第一波攻擊遠從 2014 年就已啟動,第二波攻擊則起始於2018年末;到今年六月中旬為止的感染台數已經達到 62,000 台。
被感染的 QNAP NAS 約有 7,600 台位於美國境內,約 3,900 台位於英國。
報告說,QSnatch 植入後,會設定一個詐騙的 Web 管理界面登入畫面,竊取登入用的管理帳號和密碼,也會開啟 SSH 後門,並且安裝一個 Webshell,讓駭侵者遠端操控,更會將系統設定檔與 log 檔透過 https 傳回到駭侵者處。
QSnatch入侵後還會竄改系統更新機制,防止取得弱點修補後的更新套件,藉以在系統中持續寄生,導致病毒難以清除;CISA 建議已感染用戶,在更新之前必須完全將裝置重置為出廠預設狀態,再來更新韌體。原廠 QNAP 也提供了避免再次遭到 QSnatch 感染的建議,包括變更管理者密碼、取消 SSH 和 Telnet 服務、關閉連接埠 22、443、80、8080、8081。
QNAP同時也建議使用者安裝或更新Malware Remover套件至最新版本,Malware Remover 套件可對NAS進行掃描確認有無感染QSnatch,若確認感染將會主動將惡意軟體加以清除。
twcert 發表在
痞客邦
留言(0)
人氣()
