台灣電腦網路危機處理暨協調中心-TWCERT/CC

廣受全球遠距會議用戶愛用的 Zoom，近來被發現兩個嚴重資安漏洞，可能導致駭侵者利用此漏洞，遠端執行任意程式碼。
第一個漏洞編號為 CVE-2020-6109，發生在 Zoom 處理 GIF 圖像時發生的錯誤；駭侵者可傳送一個特製的訊息到欲攻擊的線上會議用戶或群組，並以該用戶當時擁有的權限範圍內，在任意目錄中寫入一個檔案。
駭侵者可以傳送一個以 GIF 副檔名結尾的檔案，但檔案內容實際上是一段可執行的指令碼或 script；駭侵者就可以利用這段偽裝的程式碼來進行駭侵攻擊。
這個漏洞的 CVSS 3.0 危險評分高達 8.5 分。
編號 CVE-2020-6110 的漏洞則和檔案處理的錯誤有關。駭侵者可以發送一段特製訊息給會議室中的個人或群組，並利用這個漏洞在部分特定目錄中寫入一個自我解壓縮的 zip 檔，以執行其他駭侵攻擊活動。
這個漏洞的 CVSS 3.0 危險評分也相當高，達 8.0 分。
兩個漏洞都存於 Zoom 4.6.10 之前的各作業系統版本，另一個漏洞則也存於新一點的 Zoom 4.6.11。
發現這兩個漏洞的，是網通大廠 Cisco 旗下的資安研究團隊 Talos。該單位在發現漏洞後即通報 Zoom 進行修補，目前這兩個漏洞均已在最新版本的 Zoom 中得到解決。
尚未更新至最新版本 Zoom 的用戶，請盡速更新，以避免遭駭侵者利用此二漏洞發動攻擊。
CVE編號：CVE-2020-6109、CVE-2020-6110
影響產品/版本：Zoom 4.6.11 與先前版本
解決方案：更新至 Zoom 最新版本

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

廣受歡迎的開放源碼瀏覽器 Mozilla Firefox，近日針對兩個嚴重的資安漏洞，推出安全更新。
這兩個得到更新的資安漏洞，其 CVE 編號分別為 CVE-2020-12410 與 CVE-2020-12411；這兩個漏洞都發生在 Mozilla Firefox 在處理各種記憶體管理與資料加密時發生的記憶體崩潰與緩衝區溢位錯誤，可能導致駭侵者利用此漏洞執行任意程式碼，造成嚴重的資安風險。
CVE-12410 的資安危險程度評分高達 7.5 分，其危險評級為「高」；目前尚未傳出有任何駭侵攻擊行動是基於這兩個漏洞進行。
這兩個漏洞由 Mozilla 開發者 Tom Tung 和 Jarl Tomlinson 發現並提報給 Moziila，在 Firefox 多個版本，包括一般版的 Firefox 76.x 與先前版本、提供企業支援的 Firefox 68.9.0ESR 與先前版本，以及基於 Firefox 68.9.0ESR 的 Tor 私密瀏覽器 9.5，都含有這兩個漏洞。
這次更新另外還修補了多個危險層級較低的資安漏洞與錯誤，仍在使用舊版 Firefox 的用戶，應儘速安裝最新資安更新軟體，以避免因這些漏洞未及時修補而遭不必要的駭侵攻擊。只要透過 Firefox 內建的系統更新機制操作，即可下載並更新至最新版本 Mozilla Firefox。
CVE編號：CVE-2020-12410、CVE-2020-12411
影響版本：一般版的 Firefox 76.x 與先前版本、提供企業支援的 Firefox 68.9.0ESR 與先前版本，以及基於 Firefox 68.9.0ESR 的 Tor 私密瀏覽器 9.5
解決方案：透過 Firefox 內建的系統更新機制，下載並更新至最新版本 Mozilla Firefox。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

明尼蘇達州首府明尼亞波利斯的州政府電腦系統，遭駭客攻擊而癱瘓。
當美國國內因為種族問題發生抗議事件時，事發地明尼蘇達州首府明尼亞波利斯的州政府與市政府電腦系統，亦遭駭客攻擊而癱瘓。
明尼亞波里斯一名政府發言人表示，該市政府所屬的官方網站，以及各項系統，在上周四起遭到強力的分散式服務阻斷攻擊（DDoS），各項系統遭到突如其來的超大流量襲擊，導致系統全面停擺。
該市的資訊人員，在遭到攻擊後的數小時內，就將系統回復到約 95% 的程度；該發言人表示，被攻擊的系統在隔天就能完全恢復正常運作。
目前這起攻擊事件，沒有傳出任何資料遭竊或被破壞的情形；但也還不清楚攻擊發動者的身分。
另外，明尼蘇達州警察局的官方網站，也同步傳出被駭消息；不具名的攻擊者駭入了警察局的網站系統，並在首頁放置了一段抗議的影片。
也有不具名駭侵團體散布消息，說他們從警察局竊得敏感資訊並部分釋放出來，但也有資安研究專家認為該批資料是從過去的外洩事件中拼湊而得，並非直接竊自警局系統。
明尼蘇達州州長指出，他們相信這起駭侵事件中的分散式服務阻斷攻擊，使用了相當成熟複雜的手法進行攻擊行動；雖然還不知道到底是誰發動這場攻擊，但州長認為應該不是普通駭客所為。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

針對被發現且已遭利用的 iOS 嚴重 0-day 漏洞，Apple 立即推出 iOS 小改版升級，以修補此一漏洞。
這個編號為 CVE-2020-9859 的 0-day 漏洞，是在上周公開，且已遭 iOS 裝置越獄軟體 Unc0ver jailbreak 利用來破解各型 iOS 裝置。而在 Apple 發表的 iOS 更新中，已經修補了這個漏洞。
這個漏洞的發生原因，是在系統處理記憶體資料時的問題，可讓駭侵者以核心權限執行任意程式碼。能夠取得核心執行權限，基本上就能在 iOS 系統中為所欲為，駭侵者可用以竊取資訊、攔截並修改程式或資料，當然也能執行更多惡意軟體。
Unc0ver 越獄程式支援的 iOS 版本範圍相當廣，甚至連最新版的 iOS 13.5 都可利用此越獄程式加以破解。
這類越獄程式雖然可讓 iOS 裝置用戶安裝使用各種非官方 App，或是突破 Apple 因為各種商業或資安考量在系統設立的限制，讓越獄用戶更能完全控制其裝置，但這也給駭侵者大開方便之門；駭侵者將能繞過 Apple 原先設計的各種資安關卡，在越獄用戶無法查覺的情形下，於其裝置植入惡意軟體。
Apple 呼籲所有 iOS 裝置用戶，包括 iPhone、iPad、Apple TV、HomePod、Apple Watch 的使用者，都應透過系統更新服務，立即更新到最新版的 iOS 作業系統，以避免因為這個 0-day 漏洞而遭到駭侵攻擊。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

TWCERT/CC近期發現有四種惡意程式的感染有增加的趨勢，分別名為KratosCrypt、Quant Loader、Isrstealer及Mirai，圖1為遭受不同惡意程式感染的國內IP 數量趨勢概況。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安廠商趨勢科技發表研究報告，指出駭侵者可能已經發展出針對製造業採用工業 4.0 架構的工廠的攻擊手法。
資安廠商趨勢科技發表研究報告，指出駭侵者可能已經發展出針對製造業採用工業 4.0 架構的工廠的全新攻擊手法，即使是處在隔離境中的製造設備，也可能遭受攻擊。
報告指出，一般傳統攻擊方式，如使用惡意程式等的攻擊手法，通常會被已經相當普及的網路防護措施阻擋下來；但該公司和米蘭理工大學合作研究，在該校實驗室與知名大型製造業的設備上，實際模擬出駭侵者可能的攻擊流程。
報告說，工業 4.0 整體架構中的弱點，就是在用來操控各項設備與系統的節點上；雖然大多數工業 4.0 的實際設備可以架設於隔離的內網，但操作節點往往必須與外部公眾網路連接。這就給駭侵者可乘之機。
報告指出，多數製造業採用的設備，已經具備傳統 IT 系統的運算效能；這些多餘效能很可能會被駭侵者利用來執行惡意程式碼，而不被企業發覺。
再者，由於多數設備因為處於內網，其安全主要仰賴環境的隔離，設備本身並不具備較強的資安防護能力，因此只要節點遭到駭入，就有可能導致駭侵者長驅直入，導致設備故障、資料遭竊、生產受到影響等問題。
這份報告也建議所有採用工業 4.0 架構的製造業者，對於這些較脆弱的控制節點，如製造執行系統（MES）、人機界面（HMI）、各種客製化的 IIoT 設備，都應加強資安防護，以避免遭到駭侵突破，成為資安防護破口。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

Microsoft針對近兩個月氾濫之勒索病毒PonyFinal，提出嚴正警告，企業及組織都應立即部署相關防護措施，避免成為新型勒索病毒的受害者。
根據Microsoft的安全團隊於Twitter中一系列的貼文，近兩個月內，有一款名為PonyFinal的基於Java之新Human-Operated勒索病毒逐漸氾濫。此勒索病毒主要是倚靠人為攻擊者突破企業的網路，並且搜集企業系統及主機的資訊後，針對個別主機之架構或環境，進行最有效率的勒索病毒感染及配置。此種模式導致受害主機除了會遭受勒索之外，更可能有其他惡意程式或機敏資料外洩的威脅，並且透過長時間的隱藏和觀察，可在最佳的時間點感染受害主機後進行惡意行為。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

網通大廠 Cisco 的資安研究團隊，日前發表研究報告，指出一個內藏在 ARMv7 處理器中的記憶體崩潰漏洞，可能導致任何使用此處理器的裝置受到駭侵攻擊；特別是智慧汽車很可能被駭侵者遠端遙控。
這個漏洞發生在 ARMv7 內 GNU glibc 2.30.9000 的 memcpy() 函數，在處理記憶體資料時發生的程式漏洞；不但可讓駭侵者遠端執行任意程式碼，甚至在程式已經無法執行的情形下繼續遙控。
Cisco 的資安研究人員，在針對智慧汽車進行各種資安滲透攻擊的測試時，發現這個嵌入在在智慧車控系統中的 web 伺服器存有整數溢位錯誤漏洞；由於這個嵌入式的 web 伺服器可經由車內的 Wi-Fi 網路連結存取，因此只要能進入該無線網路的人，都可以存取該伺服器，進而發動攻擊。
Cisco 在其研究報告中，完整描述了利用這個漏洞進行概念證實攻擊的方法與步驟。
這個漏洞的 CVE 編號被定為 CVE-2020-6069，其危險程度評分為 8.1 分，評級為「高」。
值得注意的是，雖然有許多 Unix 家族作業系統也都內建 GNU glibc 函數庫，但如 RedHat、SUSE 等 Linux 發行版都不受這個 CVE-2020-6069 的影響。
CVE編號：CVE-2020-6069
影響版本：ARMv7 各版本

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安媒體揭露某駭侵者於駭侵相關論壇上，以三萬美元價格兜售大批 Facebook 用戶個資，據稱受駭用戶人數高達五億人。
資安媒體 HackRead.com 獨家報導指出，某駭侵者於一個惡名昭彰的駭侵相關論壇上，以三萬美元價格兜售大批 Facebook 用戶個資；據稱受駭用戶人數高達五億人。
據該媒體報導，駭侵者於本月12日開始在論壇上出售這批個資。駭侵者宣稱資料收集自 82 個不同國家，其中包括台灣在內。
這批臉書用戶個資的資料欄位相當完整，包括用戶名稱、性別、所在地點、城市名稱、姓氏、職業、婚姻狀態、手機號碼、Emal 地址和臉書個人檔案頁面網址等。
以下是駭客宣稱這批資料中來自主要國家臉書的用戶人數：
阿根廷：230萬人
奧地利：730萬人
孟加拉：380萬人
加拿大：340萬人
智利：680萬人
中國：67萬人
哥倫比亞：1790萬人
捷克：130萬人
埃及：4480萬人
法國：1980萬人
香港：290萬人
印度：610萬人
伊拉克：1700萬人
義大利：3560萬人
日本：42萬人
約旦：310萬人
科威特：446萬人
墨西哥：1330萬人
荷蘭：540萬人
摩洛哥：1890萬人
奈及利亞：1163萬人
阿曼：500萬人
俄國：990萬人
沙烏地阿拉伯：2880萬人
新加坡：300萬人
南非：1430萬人
西班牙：1080萬人
蘇丹：940萬人
敘利亞：690萬人
台灣：73萬人
突尼西亞：1950萬人
阿聯：690萬人
英國：1150萬人
葉門：720萬人

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安廠商 Promon 的研究人員，近日發表一篇針對 Android 平台安全性的研究報告，揭露一個名為 StrandHogg 2.0 的嚴重資安漏洞，可能導致用戶手機和平板上的 App 遭到挾持，多種機敏資訊亦可能遭竊。
StrandHogg 2.0 的運作原理，和去年發現的 StrandHogg 相當類似，都可在感染後將自己隱藏在正常的軟體身後；當用戶開啟正常軟體時，真正執行的並不是這個正常版的軟體，而是植入了惡意軟體程式碼的「分身」。
新版 StrandHogg 2.0 除了上述的類似功能外，還能讓惡意軟體偽裝成任意的 Android App；先前的版本只能偽裝成 TaskAffinity 這支 App，甚至能在用戶點按開啟任何 App 時立刻偽裝成該 App。
用戶一旦感染利用此嚴重漏洞的惡意軟體，各種透過遭偽裝 App 進行的活動記錄和產生的資訊，都可能曝露在嚴重資安風險之下；包括各種通聯記錄、相片或影片、各種登入資訊、金融帳戶活動與登入個資、手機所在位置座標資料等，都有可能被竊。
目前尚未傳出有任何攻擊行動是基於 StrandHogg 2.0 這個嚴重漏洞，資安廠商 Promon 發展出了概念證明的範例攻擊程式，同時提供說明影片。
這個編號為 CVE-2020-0096 的危險程度評分高達 7.8 分，屬於「高」危險等級。過去針對第一代 StrandHogg 的修補手法，並不適用於 StrandHogg 2.0。
Google 已針對這個漏洞發表適用於 Android 9、8.1、8 的修補程式；但較舊的 Android 版本仍有近四成的使用量，尚未獲得適當的修補。最新版的 Android 10 並無此一漏洞。
CVE編號：CVE-2020-0096
影響版本：Android 9 與之前版本
解決方案：Android 9、8.1、8 用戶可更新至最新版本，其餘較舊版本尚無修補工具

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

微軟資安研究團隊指出，觀測到有駭侵者利用主題為肺炎大流行資訊的魚叉式釣魚信件，散播內含遠端遙控工具的惡意 Excel 檔。
微軟資安研究團隊日前指出，該團隊觀測到五月上旬開始有駭侵者，利用主題為肺炎大流行資訊的魚叉式釣魚信件，散播內含遠端遙控工具的惡意 Excel 檔。
微軟說，駭侵者將信件偽造為寄自約翰霍普金斯大學的疫病相關研究單位，信件標題為「世界衛生組織 COVID-19 疫情報告」（WHO COVID-19 SITUATION REPORT），用以取信被害人。
在這封魚叉釣魚郵件中夾帶的惡意 Excel 檔，名稱為「covid_usa_nyt_8702.xls」，屬於Excel 4.0 格式；打開後會看到一個安全提問訊息；如果用戶同意的話，就會自網路上下載一個巨集程式，同時執行內含的 RAT 遠端遙控工具。
雖然這個稱為 NetSupport Manager 的 RAT 遠端遙控工具，本身並非惡意軟體，而是系統管理者經常用來遠端控機其他主機的常用軟體，但過去經常傳出該工具被駭侵者惡意運用的案例。
以這個案例來說，一旦成功執行巨集中的 NetSupport，駭侵者就會在受害系統中植入多個 .dll、.ini、.exe 等程式，同時安裝一個 VBScript，再透過 PowerSploit 連線到一台駭侵攻擊使用的控制伺服器。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

印尼選委會表示，該國有近 230 萬名選民的個資，遭駭侵團體於其網站公開；駭侵團體更威脅將公開更多選民資料。
負責印尼大小選舉事務的印尼選舉委員會，於上周五公布資安通報，指出有駭侵團體於其網站，公布近 230 萬名印尼選民的個資；其檔案大小高達 2.36GB。
這批資料是在上周三公布在一個專門討論駭侵相關議題的論壇上，印尼選委會隨後證實這批資料的正確性，並表示部分資料可追溯到 2013 年。資安專家指出，這些個資足以讓受害者面臨後續的詐騙或其他駭侵風險。
印尼選委會否認該批資料係直接自該單位所屬的伺服器中竊得。印尼法律規定，這類選務資料須分享給各政黨與總統候選人，因此有可能是從其他來源外洩。
竊取該批選民資料的駭侵團體，並未自行透露身分，但除了公布這批 230 萬人的個資外，還在該論壇留言，表示將在近期公開另外兩億名印尼選民的個資。
以去年為準，印尼共有一億九千兩百萬名選民，有資格在中央和地方選舉中投票。
印尼最近頻頻傳出個資竊取事件，五月初印尼主要的電子商務平台 Tokopedia 剛發生大規模個資遭竊事件，有九千一百萬名客戶的個資遭駭侵團體竊走。
印尼公民團體十分憂心這類事件一再發生，顯示印尼政府和民間單位的資安防護過於薄弱，漏洞百出。
印尼選委會目前已經開始調查整個駭侵案件的來龍去脈，但公民團體認為這麼大量的選民個人資料，應享有更強大的防護措施。
 

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()