0516-0522 一定要看的資安新聞

 

#硬體漏洞  #推測執行  #旁路攻擊

英特爾處理器又有旁路攻擊漏洞,多家廠商提供修補程式

自2018年開始,處理器的推測執行(Speculative Execution)漏洞被發現後,研究人員持續不斷找到可被濫用的變種攻擊手法。今年的5月14日,英特爾揭露了4個可外洩機密資訊的處理器安全漏洞,這些漏洞衍生出ZombieLoad、RIDL,以及Fallout等多種攻擊手法,皆由奧地利的格拉茨科技大學所發現。為此,Google、蘋果、微軟、紅帽,以及AWS等IT業者,也一同加入修補的行列。

此次英特爾公告的漏洞分別是CVE-2018-12126、CVE-2018-12127、CVE-2018-12130,以及CVE-2019-11091。上述漏洞的共通點在於,它們都與推測執行技術有關,會在處理器展開推測執行時,讓攻擊者能夠進行旁路攻擊,外洩系統上的資訊。不過,微軟與蘋果都指出,若要更全面緩解漏洞,最好也關閉超執行緒(Hyper-Threading)。詳全文

圖片來源:格拉茨科技大學

 

#特權帳號漏洞  #漏洞攻擊

Windows XP存在遠端桌面服務重大漏洞,微軟再度推出修補程式

微軟發布安全公告,指出Windows 7和Server 2008以下的版本,存在重大遠端程式碼執行漏洞,可能會引發類似WannaCry大規模感染的災難,於是,他們再次針對Windows XP、Server 2003提供修補程式。

這個漏洞的編號為CVE-2019-0708,存在於舊版Windows遠端桌面服務(RDS)中,可使未經授權的攻擊者,利用遠端桌面協定(RDP)存取目標系統,傳送經改造過的呼叫程序。

微軟也提到,使用者若啟用網路層驗證(NLA)機制,或許可緩解蠕蟲程式與進階威脅,但是如果攻擊者取得有效帳密,仍可成功驗證並於遠端執行惡意程式碼。因此,微軟強烈建議用戶應儘速安裝修補程式。詳全文

 

#資料外洩  #程式碼安全

防毒軟體程式碼驚傳外洩,3大業者遭點名

威脅情資公司Advanced Intelligence(AdvIntel)表示,他們發現名為Fxmsp的俄國駭客組織,自2019年3月起,開始在暗網裡兜售從3間知名防毒軟體公司竊取的資料,並聲稱裡面含有這些公司的開發程式碼,開價30萬美元,後來,該公司的安全研究部門首長Yelisey Boguslavskiy向媒體揭露Fxmsp與賣家的對話,指出3家防毒軟體公司,就是Symantec、趨勢科技,以及McAfee。

對此,上述3家防毒業者接獲AdvIntel的通報後,也都做出了回應。Symantec表示與AdvIntel確認後,旗下產品並未受到影響;趨勢科技則指出內部測試環境曾遭到不當存取;至於McAfee僅表示,他們正在調查當中。詳全文

圖片來源:Advanced Intelligence

 

#憑證盜用  #中間人攻擊  #國家級攻擊

華碩網路硬碟服務遭中間人攻擊散布後門程式

根據資安廠商ESET的發現,攻擊者透過路由器做為跳板,並搭配中間人攻擊(Man-in-the middle,MITM)手法,在電腦植入後門程式Plead,假冒為華碩網路硬碟WebStorage的應用程式,而且帶有華碩合法的憑證。

Plead主要鎖定臺灣政府單位和企業高層,最早由趨勢科技發現,在2018年時,ESET發現駭客組織濫用D-Link與全景軟體的憑證,簽署並散布Plead。

先前於3月時,華碩電腦的更新服務Live Update傳出ShadowHammer供應鏈攻擊,被植入木馬的應用程式便是使用合法憑證。事件爆發後,雖然該公司提供了檢測工具,卻因為繼續使用遭竊的憑證,使得微軟防毒軟體視為含有惡意內容。華碩今年接連2次憑證被駭客濫用,顯然該公司的資安意識與相關防護措施都有待提升。詳全文

 

#硬體漏洞  #韌體攻擊

思科硬體安全模組TAm漏洞,將影響130款產品

為了保護韌體不受竄改而影響設備運作,思科(Cisco)在網路設備上採用的安全開機機制「信任錨」(Trust Anchor Module,TAm),被資安公司Red Balloon Security發現漏洞,使得駭客可竄改韌體,殃及所有部署TAm的思科設備,包含路由器、交換器,以及防火牆等。由於屬於硬體設計漏洞,研究人員認為,很難藉由軟體修補來解決。

Red Balloon Security已於去年11月知會,思科也發表安全通報證實此事,並表示多達130款設備受到波及,已經逐步進行修補中。不過,截至目前為止,尚未出現濫用該漏洞的情況。詳全文

圖片來源:Red Balloon Security

 

#通訊軟體漏洞  #漏洞濫用

WhatsApp已遭濫用的漏洞,臉書緊急修補

根據英國金融時報報導,駭客利用臉書旗下通訊軟體WhatsApp的漏洞,在特定人士的手機上植入間諜程式Pegasus。這個編號為CVE-2019-3568的安全漏洞,臉書也緊急推出修補程式。

上述的漏洞攻擊手法,目前僅知一名英國人權律師的行動裝置受害,尚且無法估計真實的受災規模,因此,全球15億WhatsApp用戶都是潛在的受害者,臉書呼籲應該趕緊更新軟體。詳全文

 

#國家級攻擊

荷蘭傳出在電信網路上發現華為暗藏後門

美國針對華為下達一連串的封殺令後,歐洲各國開始觀望,該品牌提供的設施是否潛藏資安風險,或是存在後門。根據荷蘭人民報(De Volkskrant)報導,該國的情報與安全總局(AIVD)發現,在當地其中一家主要電信業者的網路中,華為埋藏了後門,可隨意存取該公司的客戶資料,很可能與中國政府從事間諜活動有關。不過, 人民報並未表明他們的消息來源為何。

荷蘭當地的3大電信業者也對此事表達立場──今年初剛併購完成的荷蘭T-Mobile與Tele2指出,並不曉得AIVD正在調查此事;而荷蘭皇家電信(KPN)與Vodafone拒絕回應。詳全文

 

#帳號填充攻擊  #資料外洩

日本Uniqlo與GU網路商店用戶遭受帳號填充攻擊

旗下擁有Uniqlo與GU知名服飾品牌的Fast Retailing指出,駭客在4月23日與5月10日期間,透過其他被駭網站的461,091個帳號和密碼,存取上述兩個品牌的網路購物商城帳號。Fast Retailing認為,駭客是透過其它服務的資料外洩事件取得用戶憑證,言下之意與這兩個平臺的安全性無關。

Fast Retailing在5月10日得知異常存取情事,遂於13日停用這46萬個帳號,再通知用戶重設密碼。詳全文

 

#資安產業發展

工研院舉辦國內外資安新創交流活動

為了協助臺灣資安新創走向國際,在5月20日到21日,經濟部工業局委由工研院,於南港展覽館舉辦交流活動,邀集國外專家,包含荷蘭、英國,以及香港等國的資安專家與新創業者,與臺灣業者進行交流,提升我國廠商的競爭優勢。

這次的議程中,同時針對時下熱門的3大數位科技領域──人工智慧、物聯網,以及區塊鏈等,探討所需面臨的資安防護挑戰。詳全文

 

更多資安動態

美歐聯手破獲以木馬程式盜走1億美元的跨國犯罪網路集團
Titan藍牙硬體Token傳出安全漏洞,Google將免費換新
華為被美國商務部列入禁止出口名單
WordPress網站的安全漏洞有98%來自外掛程式
2016年遭中國駭客入侵,Teamviewer卻未曾公開揭露
Let's Encrypt釋出開放憑證透明度日誌系統Oak


Advertisement

更多 iThome相關內容