Gmail幽靈郵件臭蟲可讓寄件人資訊隱形

Gmail幽靈郵件臭蟲可讓寄件人資訊隱形

圖片來源: 

Google

1122-1128一定要看的資安新聞

 

#FIDO 2  #密碼  #Windows 10

新版Windows 10支援FIDO2身分驗證標準

微軟於11月20日宣布,新推出的1809版Windows 10將支援FIDO 2身分驗證標準,用戶不再需要輸入用戶名稱或密碼,即可登入微軟帳號。

微軟身分驗證部門計畫管理企業副總裁Alex Simons指出,每個月超過8,000萬人利用微軟帳號登入該公司的服務,包括Outlook、Office、OneDrive、Bing、Skype及Xbox Live等。微軟啟動了這項支援功能後,只要在執行1809版的Windows 10電腦上,使用相容FIDO 2標準,或是微軟生物驗證技術Windows Hello的裝置,就可以使用Edge瀏覽器,直接登入桌機或手機上的微軟帳號。

推出這項功能後,微軟也預告,將把FIDO2的支援,延伸到Azure Active Directory的企業及教育帳號,而且,企業客戶明年初就可以預覽相關功能。詳全文

 

#幽靈郵件  #Gmail

Gmail幽靈郵件臭蟲可讓寄件人資訊隱形

軟體開發人員Tim Cotten在上周發現Gmail程式含有臭蟲,只要在寄件者中以<object> 、 <script> 或<img>等標籤替換部份文字,在對方收到的信件裡,所看到的寄件者資訊完全空白,成為名符其實的幽靈郵件。

這名開發者表示,使用者在收件匣中看不到寄件者的資訊,點進郵件之後,或者是嘗試回覆郵件,都不會顯示;就算是按下顯示原始郵件按鈕,寄件者資訊仍是空白,必須要移至下載原始郵件,才能看到寄件人資訊。

這代表Google確實記錄了寄件人資訊,卻未能正確呈現,雖然此漏洞看來似乎無害,但駭客很可能藉此假冒為知名業者,撰寫偽造成官方來源的郵件主旨與內容,執行網釣攻擊。Cotten已向Google回報這個狀況,但尚未收到回應。詳全文

(圖片來源:Tim Cotten)

 

#晶片身分證  #RFID

研究人員破解德國晶片身分證驗證程序

資安業者SEC Consult指出,德國RFID晶片身分證的線上認證程序含有漏洞,駭客可藉此假冒他人身分存取網路服務。

儘管相關攻擊目標有限,例如只影響採用Governikus Autent SDK 3.8.1之前版本的網路應用程式,以及使用HttpServletRequest.getParameter的網路服務,但Ettlinger認為,仍有大量網路應用程式正陷於風險中。

Governikus已在今年8月釋出Autent SDK 3.8.1.2修補該漏洞,Ettlinger則說,若在網路應用程式的防火牆配置中,拒絕相同名稱的多重參數,亦能有效防範攻擊。詳全文

 

#紅隊演練  #零時差漏洞  #macOS

Dropbox紅隊演練意外找出macOS的3個零時差漏洞

雲端硬碟業者Dropbox上周指出,該公司的安全團隊攜手第三方資安業者Syndis進行紅隊演練(Red Team)時,意外發現了蘋果macOS的3個安全漏洞,串連後將能執行遠端程式攻擊。

所謂的紅隊演練,通常是邀請第三方的資安高手針對企業服務展開模擬攻擊,以評估企業系統的牢固與否,而Dropbox及Syndis該次合作的目的,包含測量Dropbox偵測及警報系統的穩定狀態、團隊的回應能力,以及若駭客成功入侵了,能否追蹤駭客的活動。

Dropbox表示,Syndis在紅隊演練中以這3個真實存在的漏洞,測試該公司安全團隊遭到零時差攻擊時的準備程度,卻也造福了蘋果macOS用戶。Syndis於今年2月知會了蘋果,對方很快在3月便修補了相關漏洞。詳全文

 

#Dirty COW  #Linux惡意軟體

新的Linux挖礦軟體同時移除防毒軟體與側錄密碼

最近防毒軟體業者Dr.Web指出,他們發現了一個Linux木馬指令碼,包含了高達1,000行以上的指令,具備多種功能模組,雖然最終的目的,便是讓駭客能夠牟取加密貨幣門羅幣(XMR),然而,執行的過程中,還會停用並刪除主機裡的防毒軟體,而且加入另一個惡意軟體Rootkit模組,用來側錄使用者輸入的密碼。

該公司命名這個Shell指令碼為Linux.BtcMine.174,當這個腳本執行時,便會開始下載所需的檔案並植入系統,接著會載入一種Linux.BackDoor.Gates.9的木馬,作為與中繼站通訊的管道。不過,研究人員指出,這個家族的後門程式,能讓攻擊著發動分散式阻斷服務攻擊(DDoS)。

而Linux.BtcMine.174提升所需權限的方式,則是利用CVE-2016-5195(又稱為Dirty COW)與CVE-2013-2094等漏洞,然後尋找clamd、avast、drweb-configd等防毒軟體的處理程序並終止,而且會刪除防毒軟體安裝目錄裡的所有內容。不光如此,Linux.BtcMine.174會將自己加入開機啟動的選單裡,並且執行Rootkit模組,而該模組主要的功能是側錄用戶輸入的密碼,但是,它會自我隱藏,在受感染電腦的檔案系統、網路連線,以及處理程序裡都不會出現。此外,Linux.BtcMine.174透過主機裡曾經SSH連線的記錄,橫向感染其他電腦。

在受害電腦執行了上述步驟後,最終Linux.BtcMine.174才會啟動挖礦程式,而這隻木馬程式以每分鐘的頻率,監控挖礦程式的執行狀態,並不定時下載更新,以維持所有惡意軟體的正常運作。詳全文

(圖片來源:Dr.Web)

 

#個資外洩  #美國郵政署

美國郵政署網站API漏洞恐使6000萬用戶資料外洩

根據安全部落格Krebs On Security報導,美國郵政署(US Post Service)網站API出現漏洞,有心人士可以趁機查詢登入過的用戶資料,甚至還可以竄改,估計超過6000萬人的資料外洩。郵政署已經在近日修補了這項漏洞。

最初一名研究人員發現這個漏洞並通知郵政署,卻未接獲回音,於是,他提報給Krebs On Security部落格,該網站負責人再度聯繫郵政署,終於迫使事主著手解決。

這項漏洞是出現在郵政署的Informed Visibility網頁服務API上,是提供給企業、廣告商及其他大宗郵件客戶使用,使他們可以即時追蹤廣告郵件和包裹傳送狀態的資料。

Krebs分析後還發現,該API還能讓任何用戶呼叫,變更其他用戶的電郵、電話及其他帳號資訊。所幸郵政署後來採取反制行動,將設定變更帳號的動作,改為必須經過身分驗證,因此降低了非法竄改的可能性。詳全文

(截取自美國郵務局網站)

 

#GDPR

德國首樁GDPR開罰案例出爐

德國資料保護中心上周祭出第一張違反GDPR的罰單,當地的線上聊天平臺Knuddels.de因以明文存放密碼,而被判罰2萬歐元(新台幣71萬元),罰款並不如大家想像的高昂。該資料保護中心表示,處罰最重要的目的,是希望企業能夠重視用戶隱私資料的保護。

有鑑於Knuddels.de的合作態度良好,再加上很快就採取行動改善其安全機制,當局在衡量Knuddels.de的整體財務負擔之後,祭出上述金額的罰款。詳全文

(截取自Knuddels.de)

 

#NPM  #開源軟體維護

熱門套件Event-Stream遭植入比特幣竊取程式

許多開放原始碼軟體的作者,因工作需求等因素,自己動手開發軟體,並免費開放給大眾自由使用。然而,若是日後想要交由他人繼續維護,也可能會面臨遇人不淑的情形。在網站開發者中知名的NPM套件Event-Stream,移交由新的開發人員維護之後,近期卻被發現,後續推出的版本裡,被暗中植入了竊取比特幣的惡意軟體。

這名接手Event-Stream專案的開發者,在9月推出了新的3.3.6版,開始納入相依性套件Flatmap-Stream,次月更新這個子套件時,便暗中加入了惡意程式。而且,上述的惡意程式潛伏了一個月之久,直到近期比特幣錢包Copay採用新版Event-Stream,才發動攻擊,盜取錢包私鑰,並轉走大量比特幣。事件爆發後,有些開發者將此事歸咎原作者Dominic Tarr,認為他沒有慎選接手維護的對象。

Tarr表示,他若是已經知道對方心懷不軌,自然不會將Event-Stream交給他。不過,Tarr也指出,大家所仰賴的許多專案,長期維護下來已成為作者的負擔──撰寫出受歡迎的模組,作者必須承擔很多責任,但得到的報酬卻是零。因此,他建議開源社群,可以考慮付費給維護專案的人員,並且分擔維護責任。

這起事件突顯了許多開源專案缺乏資源,面臨如上述從軟體供應鏈下手的攻擊,更加難以防範,企業若是想要採用開放原始碼的軟體,需要更加謹慎評估。詳全文

 

#Mirai  #Linux  #DDoS

Mirai殭屍網路捲土重來,瞄準Linux伺服器

曾感染數十萬臺路由器的殭屍網路程式Mirai,近期有資安業者發現變種,攻擊對象從攝影機、路由器等物聯網(IoT)裝置,轉向Hadoop YARN資源管理伺服器。雖然Mirai也曾被發現攻擊Windows裝置,但這是首度發現以非IoT裝置為目標的Mirai變種。

研究人員表示,這顯示了Mirai攻擊策略的一大轉變,因為位於資料中心內的Linux伺服器遠比IoT裝置享有更大頻寬,能更有效發動分散式阻斷服務(DDoS)攻擊。只要感染幾臺Linux伺服器,效果就能超過為數眾多的IoT裝置。詳全文

 

更多資安動態

Spectre變種2的修補程式又讓Linux之父不開心了!
Azure及Office 365的MFA服務故障長達14小時,用戶被拒門外
因應GDPR推出的使用者資料下載功能出現漏洞!IG驚傳在網址列洩露密碼
Google靠多種機器學習技術,揪出Google Play潛在有害程式
Amazon因技術問題外洩部份用戶個資
電子學習平台Moodle出現嚴重CSRF缺陷,TWCERT/CC籲儘速修補
研究者發現,大多數ATM只要20分鐘之內就能攻陷
Android惡意程式Rotexy近3個月連續發動7萬次攻擊
7國消費者組織聯合指控Google違反GDPR,以誤導手法追蹤用戶位置


Advertisement

更多 iThome相關內容