0321-0327 一定要看的資安新聞

 

#供應鏈攻擊  #ShadowHammer

華碩電腦的軟體更新主機遭入侵

據美國IT新聞媒體Motherboard的報導,臺灣筆電廠商華碩的更新主機遭駭,最初由資安業者卡巴斯基發現,並將此複雜的供應鏈攻擊命名為「ShadowHammer」,攻擊的時間可能長達5個月,受害電腦高達100萬臺。

這起攻擊和2017年發生的ShadowPad頗為類似,後起事件的始作甬者Barium以散布Winnti後門程式而惡名昭彰。但研究人員認為,比起ShadowPad及CCleaner事件,ShadowHammer的手法更高明、更複雜。而它之所以能潛伏5個月不為人知,可能是軟體本身的更新使用了華碩合法憑證簽章。
華碩後來也發出聲明,表示應為針對特定目標攻擊,並提供檢測工具。詳全文

(圖片來源)卡巴斯基

 

#勒索軟體攻擊  #特定企業攻擊

遭到勒索軟體攻擊7成組織為中小企業

英國保險集團Beazley Group公布3,300起資料外洩事件的分析報告,他們指出遭駭或是惡意程式是造成資料外洩的主因,且遭到勒索軟體攻擊的企業中,有71%為中小型企業。

儘管駭客攻擊的對象不分大小,但向Beazley通報的企業裡,中小型企業占了大部分。研究人員指出,這是因為中小型企業通常把IT服務委外,再透過遠端桌面協定(RDP)存取。駭客暴力破解這些公開的RDP傳輸密碼,就能植入勒索軟體,向企業要求贖金。詳全文

 

#漏洞攻擊  #微軟

2018年10大漏洞8個來自微軟

近期許多資安業者相繼揭露2018年度的威脅情勢報告,威脅情報業者Recorded Future則針對漏洞濫用的情況,公布他們的分析結果,指出在最常被駭客利用的10個安全漏洞中,就有8個漏洞來自微軟。

值得注意的是,在位於前10名的7個微軟漏洞中,有4個是早於2017年修補,1個是在2016年修補,甚至微軟已在2012年提供修補軟體的CVE-2012-0158,都在排行榜上名列第9。詳全文

 

#軟體漏洞  #Pwn2Own

Pwn2Own研究人員找出多個Firefox與Edge漏洞

在2019年3月舉行的Pwn2Own駭客競賽,3個團隊相繼攻陷了Firefox與Edge,總計揭露9個安全漏洞,抱走27萬美元的獎金。

這場競賽的第一天,Fluoroacetate團隊即成功攻擊Safari,找出2個漏洞。隔日,該團隊便先後針對Firefox與Edge下手,再獲得5萬美元與13萬美元的獎勵。而Niklas Baumstark與Arthur Gerkis等參賽隊伍,分別發現上述兩款瀏覽器不同的邏輯錯誤漏洞,他們藉此繞過了沙箱內執行的保護機制,並贏得數萬美元獎金。詳全文

(圖片來源)Zero Day Initiative

 

#資料外洩  #雲端設置不當

駭客濫用WordPress外掛程式漏洞以進行技術支援詐騙

資安業者NinTechNet日前揭露,知名WordPress外掛程式Easy WP SMTP含有重大的未公開漏洞,將允許駭客接管WordPress網站,隨後另一資安業者Wordfence則發現,已有不同的駭客針對該漏洞展開攻擊,其中一組利用它來執行技術支援類型的詐騙行為。

相關漏洞,主要涉及Easy WP SMTP 1.3.9版新增的匯入與匯出功能。NinTechNet發現,駭客已開始濫用該漏洞,但並非建立一個管理員帳號,而是讓所有使用者都具備管理員權限,這意味著,攻擊者只要取得任何一個單純的用戶帳號,就擁有管理功能。隨後Wordfence更發現,至少有兩組駭客,針對該漏洞展開攻擊。詳全文

 

#DoS攻擊  #臉書  #TLS

揭露Fizz專案DoS攻擊漏洞,臉書破例頒發獎金

Semmle研究人員Kevin Backhouse發現,臉書的Fizz開源TLS函式庫專案裡,存在重大阻斷服務(DoS)漏洞。臉書獲得通報後,特別頒發1萬美元的抓漏獎金。

由於臉書的抓漏獎勵方案並未涵括DoS漏洞,但基於這是一項重大發現,該公司便破例頒發獎金給這名研究人員。詳全文

 

#資料外洩  #公有雲設置不當

孩童追蹤App的MongoDB帳號竟未上鎖

知名孩童追蹤行動應用程式React,驚傳底層的MongoDB資料庫未設密碼,導致近24萬名用戶的姓名、相片等個人資料,以及即時的所在位置,都可能曝光。

而且,這家App廠商也難以聯絡──不僅網頁未提供公司聯絡方式,連隱私政策頁及公司登記資料中也都付之闕如,媒體始終無法聯繫上該公司,最後僅能透過代管MongoDB的微軟Azure部門來通知對方。數小時後,資料庫終於下架,但是,資料庫門戶洞開到底持續多久,則不得而知,該公司最後並未證實此事。詳全文

 

#供應鏈攻擊  #隱私疑慮

HMD證實Nokia 7 Plus的確把用戶資料傳到中國

根據芬蘭媒體NRK報導,有用戶發現Nokia 7 Plus手機會將手機資料傳到位於中國的伺服器。該款手機製造商HMD Global隨後發出聲明,表示確有此事,但強調起因是錯置軟體所致。HMD也指出,這個問題只發生在Nokia 7 Plus,他們在2月已釋出修正後的軟體。

至於別款Nokia手機也有類似的傳言,HMD駁斥是錯誤臆測。該公司指出,所有中國地區專屬機種之外的Nokia手機,都是儲存在新加坡AWS雲端伺服器上,而HMD公司蒐集到的消費者資料都依法安全儲存,並強調新加坡擁有最嚴格的隱私法規,也完全符合歐洲GDPR。詳全文

 

#隱私疑慮  #我國資安政策

電信管理法修正案侵犯隱私疑慮,傳出警政署臨時交付提案建議再添爭議

隨著民眾的資安意識抬頭,個人隱私是否遭到濫用,便很容易受到關注,特別是政府可能濫權侵害人民的隱私,近期可說是時有所聞。由行政院國家通訊傳播委員會(NCC)主導的電信管理法修正案,第9條增修的內容飽受外界爭議,傳出將擴大電信業者記錄民眾通聯內容範圍。然而,情況似乎雪上加霜,日前有多家媒體報導,警政署在法案即將進入院會前突襲,提出第9條第4項的提案建議,並且透過林俊憲、葉宜津等立委連署提案,隨即迅速完成一讀。

對此,警政署澄清,相關報導並非事實,同時也說明提案原由,間接承認有關提議是他們所提出。至於實際情況為何,則有待進一步釐清。詳全文

(圖片來源)警政署刑事警察局

 

更多資安動態

近9成歐洲政府網站遭到廣告追蹤機制滲透
臉書再被踢爆!數百萬用戶密碼以明文儲存長達7年
間諜軟體製造商的伺服器現身公開網路,監控資料曝光
南韓發現首起偷拍還在網路上直播的案例
Cloudflare開源MITMEngine函式庫,可檢測HTTPS攔截攻擊
2019資安大會直擊
●iThome 2019年CIO大調查(上)(下)


Advertisement

更多 iThome相關內容