資安一周第23期：微軟推Windows Sandbox讓桌面環境也能建立可拋棄式沙箱。2019將至趨勢提出資安預測3大警示

1220-1226一定要看的資安新聞

＃虛擬化技術　＃Windows Sandbox

微軟Windows Sandbox來了! 桌面環境也能建立可拋棄式沙箱

今年8月時，業界傳言，微軟為了防範不安全軟體在桌機上執行，Windows企業版可能加入名為InPrivate Desktop的安全功能，讓管理員啟動可拋棄式沙箱，建立應用程式一次性執行的安全環境，而近日微軟終於揭露該功能，並且宣布推出，名為Windows Sandbox。

微軟並解釋，其底層是運用了微軟的Hypervisor虛擬化技術，並且結合硬體虛擬化技術，達到作業系統核心隔離的目的。特別的是，微軟也針對硬體資源有限的桌面環境特別優化，且內建在Windows 10專業版、企業版，不用另外掛載VHD就可執行。更多內容 圖片來源／微軟

＃資安趨勢預測　＃趨勢科技

年底將至，2019資安預測趨勢科技提出3大警示

圖片來源／擷取自趨勢科技報告

資安公司趨勢科技發布2019年的資安威脅趨勢預測，當中提出三大警示重點：首先是帳戶資料外洩，遭盜用詐騙事件將不斷增加，當中特別提到帳密填充攻擊（Credential Stuffing），也就是一般所謂的撞庫攻擊手法，會利用大量外流的電子郵件地址和密碼，並透過自動化得方式來嘗試入侵；第二點，是網路釣魚攻擊手段將取代漏洞攻擊套件，成為主要攻擊手法，並預期2019年網路釣魚惡意網域，將持續暴增。最後，則是工控環境網路威脅方面，他們預期，管理SCADA系統的HMI，其漏洞將持續成為主要攻擊目標。更多內容

＃提權漏洞　＃華碩　＃技嘉

華碩與技嘉的驅動程式遭爆含有特權提升漏洞

圖片來源／擷取自SecuraAuth官方網站

SecureAuth Labs在本月18日，揭露了華碩與技嘉的驅動程式含有多個涉及權限提升（Elevation of Privilege）的安全漏洞，允許不具權限的使用者獲得特權，若成功利用將可於本地端執行任意程式。

該資安業者指出，可用來控制電腦機殼上彩色LED燈效的軟體Asus Aura Sync當中，所使用的GLCKIo與Asusgio驅動程式含有3個安全漏洞；至於技嘉的漏洞，則是存在於主機板及AORUS系列顯示卡出貨的GPCIDrv與GDrv兩款驅動程式。

面對上述安全性弱點，SecureAuth Labs已與華碩、技嘉溝通了幾個月，但至今兩家業者對漏洞的修補仍不完全，SecureAuth Labs則在本周公布相關漏洞資訊。更多內容

＃RCE漏洞　＃IE瀏覽器

微軟緊急修補IE的遠端攻擊漏洞，Google證實有駭客已用於目標式攻擊

圖片來源／擷取自微軟官方網站

微軟在本月19日，緊急修補了影響IE瀏覽器9、10、11版的遠端程式碼執行（Remote code execution）漏洞，此一編號為CVE-2018-8653的漏洞，將允許駭客掌控系統權限，自遠端執行任意程式，而且已被駭客開採。而且，駭客只需透過電子郵件或其他方式，誘導IE用戶造訪可利用該漏洞的網站，便能執行攻擊。此一漏洞是由Google所提報，同時該公司也發現，已有駭客透過該漏洞執行目標式攻擊。更多內容

＃網路釣魚　＃中國網軍

中國駭客入侵歐盟通訊網路，竊取歐盟成員之間的外交電報

美國網路安全業者Area 1 Security警告，中國駭客已成功入侵歐盟28個會員國之間的通訊網路COREU，竊取了眾多的外交電報。資安公司還發布了報告來說明分析過程。Area 1 Security指出，這起行動是由中國政府所主導，由中國人民解放軍的戰略支援部隊負責執行，他們已找到中國駭客行動的特徵，顯示除了COREU之外，針對聯合國及美國勞工聯合會（AFL-CIO）的攻擊行動，也是同一批駭客的傑作。更多內容

＃零時差漏洞　＃Windows

漏洞研究員SandboxEscaper再公開Windows零時差漏洞，還附上PoC

代號SandboxEscaper的獨立安全研究人員，公布了Windows的零時差漏洞，並直接在網路上公開概念性驗證攻擊程式。該漏洞位於Windows的MsiAdvertiseProductA函式，欠缺適當的驗證，將允許駭客強制安裝應用程序，以系統權限複製任何檔案，並讀取檔案內容。更多內容

＃資訊科技法案　＃印度

印度政府將允許10個機構監控境內的任何電腦

印度內政部網路及資訊安全部門上周發布一項命令，將允許10個執法與情報機構，攔截、監控及解密境內任何電腦所儲存或接收的資訊。此一命令是源自於該國「資訊科技法案」（Information Technology Act）第69節，當中闡明：當印度的主權、國防、國家安全、外交、公共秩序，受到危害，或為了避免受到危害時，得以要求任何機構監控運算裝置。

而且，服務供應商或電腦所有人都必須遵循此一命令，提供上述單位所要求的資訊，否則就必須支付罰款或面臨最高7年的有期徒刑。更多內容

＃量子電腦危機

量子電腦的迅速發展，資安攻防思維將出現重大變革

量子電腦的發展應用，讓人們擁有許多想像與期待，同時也衍生了資安的威脅。趨勢科技全球核心技術部資深協理GasGas，在最近臺灣駭客協會所舉辦的活動中，彙整量子運算可能帶來的突破。他認為，量子電腦將會在未來幾年裡，帶來資安攻防的重大變革，我們不得不關注接下來的發展趨勢。

舉例來說，量子運算現在的應用面向，其實包含的範圍相當多，不過最主要的部分，還是與破解加密演算法有關的整數分解與搜尋加速，以及量子機器學習等，而在量子運算當中，用來執行整數分解的Shor演算法，若用在分析基於整數分解的RSA演算法，所需解開的時間僅在數秒之間。更多內容

＃點擊劫持漏洞　＃臉書

手機版臉書遭人發現存在點擊劫持漏洞，但臉書一度拒絕修補

安全研究人員揭露行動版臉書App上，存在點擊劫持（Click hijacking）漏洞，用戶可能不慎上鈎而成為散布垃圾訊息的幫兇。臉書一度認為這是mobile_iframe參數提供的功能，並非漏洞，但研究人員指出，就算這是一項功能，也是實作非常差的功能，因為攻擊者可輕易用它來操弄臉書用戶，在其動態牆上分享非出於自身意願的內容，造成更重大損害，例如讓高知名度的人，在臉書上散佈有惡意程式的文件和釣魚網站。而在國外媒體報導之後，臉書已經在App增加點擊劫持的偵測，並要求用戶確認，是否要分享該連結。更多內容

更多資安動態

●FBI大執法，一舉掃蕩15個DDoS租賃服務網站
●美國司法部起訴兩名涉及入侵45家美國科技公司與政府組織的中國駭客
●德國用戶向Amazon請求自己的個資，結果多拿到1,700個別人的Alexa錄音檔
●以桌遊模擬國家當局資安攻防！捷克資安專家首度在臺舉行相關演練
●蘋果發表政府透明度報告，德國政府上半年請求資料次數世界第一
●無人機闖入迫使英國第二大機場Gatwick關閉
●NASA驚爆伺服器遭駭客入侵，過去12年員工個資恐遭外流
●美報告：軍方導彈系統安全防護不足，漏洞未補，未加密傳輸及多因素驗證
●美海軍二款作戰用App爆重大漏洞，一年半前通報卻遭忽視
●凍結兩個多月後，Windows 10 1809版終於重新開放！但僅限手動下載
●Chrome 72釋出Beta版，增加公開類別域、使用者觸發查詢API
●新版Firefox Focus提供更多隱私控制，可啟用Cookie同時避免跨站追蹤
●Chrome OS將加入螢幕鎖定無法讀取新USB裝置的安全功能
●政府應為雲端服務建立相關規範！雲端安全聯盟促使新加坡當局制訂COIR指南
●及早防患於未然，國家資安防護範圍以ISP網路為前線
●GCP釋出存取核准、更新存取透明度服務，讓企業對雲端資料有更高的掌控力
●兩年前被Twitter輕忽的臭蟲遭到駭客成功利用，洩漏用戶的國碼