【資安週報】2024年5月13日到5月17日

在這一星期的漏洞消息中，以微軟與Google的5個零時差漏洞修補最受關注，並有4個是修補釋出前已發現遭鎖定利用。

（一）微軟發布5月例行安全更新，修補60個漏洞中有3個零時差漏洞，其中MSHTML平臺安全功能繞過的CVE-2024-30040，以及涉及桌面視窗管理員（DWM）核心程式庫權限提升的CVE-2024-30051，這兩個漏洞已被用於攻擊行動。

（二）Google這一周又再修補兩個已遭利用、存在於JavaScript引擎V8的零時差漏洞，分別是：記憶體越界寫入漏洞CVE-2024-4761以及，類型混淆漏洞CVE-2024-4947。短短7天內，Google已修補3個零時差漏洞。

（三）D-Link旗下老舊路由器有兩個漏洞CVE-2021-40655、CVE-2014-100005，被美國CISA在5月16日列入已知漏洞利用清單，這也顯示產品壽命結束的產品仍持續遭攻擊者鎖定利用。

還有多家IT廠商的每月例行安全更新修補發布，包括微軟、SAP、Adobe，Intel，以及西門子、施耐德電機、三菱電機、江森自控、Rockwell等，其他重要漏洞修補動向，包括：開源網路效能及配置管理框架Cacti，以及VMware、HP Aruba Networking、Cinterion。

在資安新聞焦點方面，本周適逢2024 CYBERSEC臺灣資安大會舉行，今年是第十屆，舉辦規模更盛大，持續成為企業增進攻防新知，資安產業技術交流、拓展商機的專業平臺，受到政府、資安產業與廣泛企業的重視。

例如，總統蔡英文第6度出席大會並在開幕典禮致詞，說明政府將持續建立防禦機制、加強研發能量、積極培育人才，以提升國家數位韌性，並感謝長期對資安領域用心付出的大家。

在520接任總統的賴清德，也在2024臺灣資安大會的第二天，率領新政府與資安發展相關的主管一同到場，共同關心臺灣資安產業的發展，他向大家承諾，新政府仍將繼續支持資安產業發展。

此外，為了加速因應量子破密威脅，數位發展部數位產業署也在2024臺灣資安大會第三天的活動，宣布「後量子資安產業聯盟」成立，希望建立強健的公私夥伴關係，加速我國後量子資安產業的發展，並確保臺灣具有後量子密碼準備能力。

在資安威脅態勢方面，國際上有不少政府遭受網路攻擊的揭露，並有多起涉及半導體、金融、醫藥產業的企業資安事件，受到資安界重視。我們整理如下：

●韓國警察廳國家搜查本部在13日發出聲明，指出發現北韓駭客曾入侵該國法院長達兩年，大量民眾個資與詳細金融資料竊取，因為這些文件包含自述書、破產報告、結婚證書、醫療證明文件等。
●Google Cloud Mandiant Intelligence副總裁Sandra Joyce在臺灣資安大會主題演說中指出，中國駭客Dragonbridge對臺發起最新一波的Information Operations網路攻擊，是圍繞2024年1月臺灣總統大選而來。
●歐洲刑警組織證實入口網站遭駭，對方聲稱竊得員工資訊、原始碼、內部機密文件，由於該組織經常協調各國打擊網路犯罪，此事件也突顯駭客越來越囂張。
●芬蘭首都赫爾辛基市公布教育部門因存在已知漏洞未修補而遭入侵，導致上萬學生家長發生個資外洩事故。

●國內又有半導體產業遭網路攻擊，臺灣上櫃公司逸昌科技發布資安事件重大訊息，說明發現網路傳輸異常，部份伺服器遭受駭客攻擊。
●金融領域在全球有兩大事件發生，一是桑坦德銀行因第三方供應商遭駭的資料外洩事件，由於影響智利、西班牙、烏拉圭客戶而備受關注；另一是匯豐、巴克萊銀行傳出遭初始入侵管道掮客聲稱竊得其資料庫、原始碼等敏感資料。
●澳洲電子處方箋業者MediSecure遭遇供應鏈攻擊，駭客加密檔案導致網站服務與電話中斷。

此外，還有一個值得關注的威脅態勢，是Black Basta勒索軟體攻擊者近期發起的社交工程攻擊活動，正鎖定採用MDR的客戶而來，攻擊者先是利用寄發大量垃圾信件讓郵件安全防護方案失靈，然後再假冒技術人員致電表明提供協助，要求使用者部署遠端管理工具，或啟動Windows內建遠端協助工具「快速助手（Quick Assist）」，進而對目標電腦進行控制。

在資安防禦動向上，還有我國行政院5月9日通過打詐專法「詐欺犯罪危害防制條例」的消息，這是針對網路廣告平臺應盡防詐義務的重要規範，涵蓋對象包括網路廣告平臺、電商業者、第三方支付業者、網路連線遊戲業者，當中並有5大重點，包括：境外業者提報法律代表，廣告中應揭露必要資訊，建立防詐管理措施，處理與通報詐欺廣告，以及配合檢警調或目的事業主管機關下架詐欺資訊。

【5月13日】韓國警方證實法院大量民眾個資遭北韓駭客竊取，近1 TB資料流出但僅有少部分能確認受害者身分

韓國政府發出聲明指出司法機關遭到北韓駭客攻擊！去年2月韓國法院察覺網路環境被植入惡意程式，去年底警方協助調查此事，結果發現，對方總共竊得1,014 GB機密資料，但他們僅能復原其中4.7 GB的內容，而得知少部分受害者身分。

值得留意的是，從韓國法院察覺受害到警方介入調查，間隔長達10個月，這段期間相關的跡證很有可能遭到清除或是破壞，而難以進一步找出事故發生的原因。

【5月14日】芬蘭首都證實資料外洩事故，起因是教育部門的遠端存取伺服器未修補已知漏洞

本週芬蘭首都赫爾辛基證實教育部門的資料外洩事故，駭客藉由存在已知漏洞的遠端存取伺服器，成功入侵教育部門的網路磁碟，存取大量內部檔案。

至於為何該伺服器尚末修補？有待進一步釐清。對此，針對這起事故發生的原因，他們認為與漏洞修補與裝置管理不力有關。

【5月15日】微軟發布5月份例行更新，公告3個零時差漏洞受到各界關注

昨日（5月14日）微軟發布本月的例行更新，總共修補60個漏洞，相較於上個月達到149個，這次的數量僅約上個月的4成。

僅管這次公布的漏洞數量大幅減少，但值得留意的是，這次有3個零時差漏洞，其中又以桌面視窗管理員（DWM）核心程式庫權限提升漏洞CVE-2024-30051最值得留意，因為有多組研究人員向微軟通報，並指出他們看到駭客將其用於攻擊行動。

【5月16日】Google在一週內發布3次Chrome更新，修補已被用於攻擊行動的零時差漏洞

Google發布了新的電腦版Chrome 125，增加不少新功能，其中，與資安防護有關的部分，包含了新的隱私控制選項，目的是避免攻擊者挾持，而對於Windows版用戶，他們將網路服務放在沙箱執行。

但在此同時，本次Google也修補9個弱點，當中包含了JavaScript引擎V8的高風險漏洞CVE-2024-4947，而這是該公司在最近一週修補的第3個零時差漏洞。

【5月17日】研究人員公布GE超音波醫療設備一系列漏洞，並用來植入勒索軟體進行驗證

近年來醫療設備的資訊安全逐漸受到重視，有不少研究人員公布他們的分析結果，攻擊者很有可能藉此得知病人的資料，甚至是竄改儀器量測的結果。

例如，最近資安業者Nozomi Networks揭露GE HealthCare超音波醫療設備的漏洞，他們表示，雖然攻擊者必須實際接觸設備，才能利用他們發現的漏洞，但這些設備通常會放置於公開的環境，一旦出現無人看管的空檔，就有機會對其下手。