圖片來源: 

iThome

0418-0424一定要看的資安新聞

 

#軟體安全 #微軟Office

卡巴斯基實驗室:2018年Q4攻擊有7成鎖定微軟Office

圖片來源/卡巴斯基

鎖定系統與應用程式的攻擊不斷,根據卡巴斯基實驗室的分析,在去年第四季受到駭客攻擊的平臺中,有70%是針對微軟Office。而根據該實驗室的追蹤,在2016年第四季時,最受駭客青睞的攻擊平臺為瀏覽器(45%)、Android(19%)與微軟Office(16%),三年後Office則躍升為第一,並占所有攻擊的70%。

究其原因,卡巴斯基表示,包括攻擊表面眾多,與Windows整合,並指出最近經常出現Offce的零時差漏洞,並認為微軟當初建置Office的許多設計決策是錯誤的,但並未詳細說明是那些決策。更多內容

 

#國家資安政策

行政院公布危害資通安全產品使用原則,禁用產品清單則將在3個月內公布

行政院發言人Kolas Yotaka在4月19日召開記者會,公布行政命令「各機關對危害國家資通安全產品限制使用原則」,並以電子公文發函給各機關。這項原則原本應該在一月底公布,但因為外界有諸多疑慮,所以在綜合多方考量下,遲至4月中旬才對外公布。Kolas Yotaka表示,這項行政命令的母法來自「資通安全管理法」,包括受該法規範的中央與地方政府,以及關鍵基礎設施的提供者等,都必須在未來3個月內,優先盤點機關內已經採購的、來自危險地區的產品清單送交行政院,行政院也會彙整一份正面表列、禁止採購品牌的產品清單,給受資安法規範的機關參考;該份使用原則將溯及既往,適用先前已經採購的資安產品。更多內容

 

#韌體安全 #無線晶片漏洞

Broadcom Wi-Fi晶片組驅動程式含多種安全漏洞

美國電腦網路危機處理暨協調中心(CERT/CC)本周警告,Broadcom Wi-Fi晶片組所採用的Wl與brcmfmac驅動程式,含有多個安全漏洞,包括CVE-2019-9500、2019-9501、2019-9502與2019-9503,這四個漏洞將允許駭客執行服務阻斷攻擊,甚至可自遠端執行任意程式,且禍延蘋果、群暉等品牌的產品。在本月18日前,CERT/CC僅確定brcmfmac驅動程式的漏洞已被修補,同時也提及幫助緩解此漏洞的方法,就是使用用戶自己信任的Wi-Fi網路。更多內容

 

#DNS挾持

國家級駭客持續攻擊中東及北非國家的DNS系統

圖片來源/Cisco Talos

Cisco旗下的威脅情報組織Talos揭露名為「海龜」(Sea Turtle)攻擊行動,該行動從2017年1月到今年第一季,持續鎖定中東及北非地區13個國家的逾40個組織,發動DNS攻擊,他們認為一攻擊是由國家支持的駭客所為。此攻擊活動是以DNS挾持作為主要的攻擊手法,藉由非法竄改DNS名稱紀錄,把造訪者導至駭客所掌控的伺服器。該行動的主要受害者為國家安全組織、外交部、知名能源組織,以及替這些組織提供服務的第三方業者;而次要受害者則是DNS註冊商、電信業者與ISP業者。還要注意的是,駭客通常以第三方業者作為跳板來攻擊目標對象。更多內容

 

#通訊安全 #國家資安政策

法國打造政府機關專用傳訊程式Tchap,上線隔天就被找到漏洞

為了加強政府機關之間的通訊安全,法國採用開源的全程加密通訊協定Matrix打造了Tchap傳訊程式,同時規定只有使用政府機關的電子郵件帳號才能註冊,並在4月17日於App Store及Google Play上釋出了Tchap測試版,然而,法國的資安研究人員Baptiste Robert(網名Elliot Alderson‏)隔天就找到了Tchap的安全漏洞,並且成功註冊了Tchap帳號,滲透Tchap的群組聊天室。

法國政府表示,將會持續改善Tchap測試版,也會聽取外部專家的意見,而且已準備推出針對Tchap的抓漏獎勵計畫。更多內容

 

#資料外洩 #網站安全

駭客在黑市銷售近10億筆使用者資料

根據科技媒體ZDNet報導,有一代號為Gnosticplayers的駭客,透過暗網市集Dream Market陸續外洩了5波的用戶資料,最近的一波涉及6個品牌,包括遊戲平臺Mindjolt、電子商務網站Wanelo、電子邀請函服務平臺Evite、南韓旅遊網Yanolja、時尚購物網站Moda Operandi ,以及蘋果裝置的維修業者iCracked等,總計牽涉到44個品牌。依照ZDNet先前向遭駭的38個品牌的求證經驗,最新一波外洩資料很可能也是真實的,總數接近10億筆。資安專家建議,受害者應儘快更新密碼,或是採用雙因素認證,以避免帳號遭到挾持與濫用。更多內容

 

#無線網路安全 #雲端資料庫管理

知名熱點搜尋App可能曝露200萬用戶Wi-Fi密碼

根據科技媒體TechCrunch報導,Wi-Fi Finder App的開發商,他們蒐集200萬筆用戶Wi-Fi密碼等內容的資料庫,竟然未設密碼公開於網路上,可能讓企業及家用Wi-Fi網路門戶洞開。

Wi-Fi Finder是一款App,可讓手機用戶快速搜尋並連上鄰近Wi-Fi熱點,也讓使用者分享他們Wi-Fi熱點供他人使用,下載人次超過50萬。發現這個資料的的GDI安全研究人員Sanyam Jain指出,這200萬筆記錄之下,都包含Wi-Fi網路名稱、精確地點、BSSID,以及明碼儲存的網路密碼。更值得注意的是,雖然該App聲稱只提供公共Wi-Fi熱點的密碼,但研究人員分析熱點的地點資料,發現其中有大量是來自住宅區的家用Wi-Fi基地臺。更多內容

 

#行動安全 #瀏覽器漏洞 #惡意廣告

駭客利用iOS上的Chrome漏洞傳遞惡意廣告

專門攔截惡意廣告的Confiant近日指出,駭客集團eGobbler成功利用了iOS版Chrome瀏覽器的漏洞,可繞過既有的跳出視窗攔截機制,並向iOS用戶遞送惡意廣告,且該集團在6天之內發動了8次攻擊,遞送30個惡意廣告,受害用戶可能高達5億人之多。據了解,該組織遞送之惡意廣告為常見的得獎詐騙,宣稱使用者只要輸入個人資料,就有機會中大獎,但其實是用來蒐集個資的詐騙行動。Confiant亦打造出該漏洞的概念性驗證攻擊程式,Google已經收到通知並正在調查中。更多內容

 

#程式碼簽章憑證 #華碩

華碩產品程式碼簽署憑證維護公告

圖片來源/華碩

今年3月底華碩筆電產品的軟體更新主機遭入侵,遭到資安業者卡巴斯基揭露,當中也指出木馬化的ASUS Live Update,使用的是合法的數位簽章,難以被察覺,因此多家資安業者已經對華碩遭到冒用的數位簽章採不信任處理,像是將其放在白名單之外。

本月13日,華碩正式公告對旗下數項產品,進行多重性程式碼簽章憑證架構升級,這些產品包括主機板、顯示卡、迷你電腦、工作站、伺服器及電競配件等。同時,他們也提醒用戶,此項升級作業需撤銷現行的程式碼簽署憑證,因此可能導致現有軟體版本執行時,例如Aura、AI Suite III、GPU Tweak II與Armoury II等程式,跳出Windows安全性警示。若是用戶遇到這樣的問題,用戶可連至華碩官方網站,將軟體更新至內含最新程式碼簽署憑證的版本。更多內容
 

更多資安動態
Drupal釋出新版,修補jQuery與Symfony的跨站腳本攻擊漏洞
美國氣象電視臺也成勒索軟體受害者,導致節目無法準時開播
微軟4月安全更新與多款防毒軟體相衝
甲骨文每季修補又來了,這次補297個漏洞
歐盟:未發現卡巴斯基軟體通俄竊密的證據
FCC主席建議否決中國移動進入美國市場
【2019臺灣資安大會直擊】
 


Advertisement

更多 iThome相關內容