【資安日報】2023年1月11日，微軟1月份例行修補緩解近百個漏洞、Trojan Puzzle攻擊手法可訓練AI助理產生惡意程式碼

微軟昨日（1月10日）發布今年的第一次每月例行修補（Patch Tuesday），總共修補了接近100個漏洞，值得留意的是，當中的CVE-2023-21674是零時差漏洞，並被美國政府證實已出現攻擊行動，要求公部門限期修補。

針對機器學習（ML）模型與人工智慧（AI）的攻擊手法，最近研究人員公布多項發現，例如：濫用ChatGPT自動產生釣魚信、利用Text-to-SQL機器學習模型弱點攻擊SQL資料庫等，現在又有研究人員揭露新型態的AI中毒（AI poisoning）攻擊手法Trojan Puzzle，但特別的是，檢測相關程式碼的靜態分析工具難以察覺這類手法。

又有資安業者發現勒索軟體駭客Lorenz藉由VoIP電話系統入侵受害組織的情況！但不同的是，這次駭客成功入侵並植入的Web Shell隨即休眠，直到5個月後才再度運作。

【攻擊與威脅】

研究人員揭露Trojan Puzzle攻擊手法，可訓練AI助理產生惡意程式碼

微軟、加州大學、維吉尼亞大學的研究人員聯手，揭露名為Trojan Puzzle的攻擊手法，藉由AI中毒（AI poisoning）的方式，訓練AI助理產生惡意程式碼。

這種手法與過往發現的AI中毒攻擊方式有所不同，研究人員藉由建立不良範本（template），將想要隱藏的惡意酬載資料以<template>標籤取代，而非直接將可疑程式碼加入訓練資料，因此不會被靜態分析工具察覺異狀，但訓練完成的模型仍會產生惡意程式碼。

勒索軟體駭客Lorenz藉由VoIP電話系統漏洞部署後門

威脅情資暨風險顧問業者S-RM揭露勒索軟體駭客Lorenz的攻擊行動，駭客在受害組織橫向移動、竊取資料、加密檔案的5個月前，已經利用Mitel網路電話系統的漏洞CVE-2022-29499取得初始的存取權限，而當時Mitel尚未修補漏洞。

此受害組織後來於2022年7月安裝修補程式，但研究人員發現，駭客在修補程式部署前的一個星期，植入了後門程式──他們在兩個網路電話系統的PHP網頁上利用前述漏洞，進而從駭客的基礎設施接收Web Shell，並部署在受害組織的網路環境。

接著，此Web Shell就休眠長達5個月的時間，直到駭客發動勒索軟體攻擊才再度運作。這並非Lorenz首度利用CVE-2022-29499發動攻擊，但不同的是，駭客佈局長達5個月才加密受害組織的檔案。

消費者信用報告機構Experian網站有漏洞，駭客可透過調整URL網址的方式繞過身分驗證程序，進而存取民眾信用評價

根據資安新聞網站Krebs On Security的報導，烏克蘭資安研究員Jenya Kushnir發現，專門盜取使用者身分的駭客在瀏覽消費者信用報告機構Experian的網站時，只要在身分驗證的特定流程調整瀏覽器網址列的URL，就能存取任何人信用報告資料。

該資安網站於12月23日通報，Experian的公關團隊於27日回覆已經予以修補。不過，這樣的漏洞究竟存在多久？該公司沒有說明。

竊密軟體Vidar透過1,300個冒牌AnyDesk網站散布

資安業者Sekoia的研究人員發現，有人利用超過1,300個偽造成遠端桌面軟體AnyDesk的網站，企圖散布竊密軟體Vidar，一旦使用者依照網站指示下載軟體，就會被導向特定的Dropbox網址下載竊密程式。研究人員提供了惡意網域名單，並指出所有的主機解析後都是同一個IP位址185.149.120[.]9。

根據研究人員的網域名單，其中許多都是採用了誤植域名攻擊（typosqat）手法，冒充知名軟體7-Zip、Slack、AnyDesk、TeamViewer的網域，但網站內容都是聲稱提供AnyDesk軟體下載。

衛生福利部中央健康保險署謝姓科長涉查詢被保險人個資，其中疑涉法務部調查局、內政部警政署等情報工作人員資料，臺北地檢署1月10日依涉嫌違反國家情報工作法，諭知10萬元交保。對此，健保署也關閉2名涉案人員的健保資料庫系統查詢權限，在調查期間調離非主管職務。根據自由時報的報導，健保署傳出已完成內部的初步清查，共有3人涉案，其中2人查詢超過16萬筆資料，但有1人在2018年查詢就11萬餘筆，究竟是職務需要或涉及違法，仍待調查釐清。

中央健康保險署署長李伯璋表示，健保署現行內控機制，查閱須向上級申請、也設有資安長，但為何還是發生如此情況？他們將儘速分析查閱狀況，釐清事件原貌，並改善相關機制。

【漏洞與修補】

微軟發布1月份例行修補，共對於98個漏洞提出緩解措施

1月10日，微軟發布本月份的例行修補（Patch Tuesday），這次總共修補98個漏洞，有39個可被用於提升權限、33個能被用於遠端執行任意程式碼（RCE）、10個資訊洩露漏洞、10個阻斷服務（DoS）漏洞、4個安全機制繞過漏洞，以及2個欺騙漏洞。

值得留意的是，當中的CVE-2023-21674為零時差漏洞，該漏洞可被用於提升權限，存在於進階本地處理程序呼叫（ALPC）功能，一旦攻擊者成功利用，就有可能取得System權限，CVSS風險層級為8.8分，美國網路安全暨基礎設施安全局（CISA）也將其列入已被利用的漏洞（KEV）列表，並要求聯邦機構限期完成修補。