資安一周43期：英特爾處理器又有旁路攻擊漏洞、防毒軟體程式碼驚傳外洩

0516-0522 一定要看的資安新聞

＃硬體漏洞  ＃推測執行  #旁路攻擊

英特爾處理器又有旁路攻擊漏洞，多家廠商提供修補程式

自2018年開始，處理器的推測執行（Speculative Execution）漏洞被發現後，研究人員持續不斷找到可被濫用的變種攻擊手法。今年的5月14日，英特爾揭露了4個可外洩機密資訊的處理器安全漏洞，這些漏洞衍生出ZombieLoad、RIDL，以及Fallout等多種攻擊手法，皆由奧地利的格拉茨科技大學所發現。為此，Google、蘋果、微軟、紅帽，以及AWS等IT業者，也一同加入修補的行列。

此次英特爾公告的漏洞分別是CVE-2018-12126、CVE-2018-12127、CVE-2018-12130，以及CVE-2019-11091。上述漏洞的共通點在於，它們都與推測執行技術有關，會在處理器展開推測執行時，讓攻擊者能夠進行旁路攻擊，外洩系統上的資訊。不過，微軟與蘋果都指出，若要更全面緩解漏洞，最好也關閉超執行緒（Hyper-Threading）。詳全文

圖片來源：格拉茨科技大學

＃特權帳號漏洞  ＃漏洞攻擊

Windows XP存在遠端桌面服務重大漏洞，微軟再度推出修補程式

微軟發布安全公告，指出Windows 7和Server 2008以下的版本，存在重大遠端程式碼執行漏洞，可能會引發類似WannaCry大規模感染的災難，於是，他們再次針對Windows XP、Server 2003提供修補程式。

這個漏洞的編號為CVE-2019-0708，存在於舊版Windows遠端桌面服務（RDS）中，可使未經授權的攻擊者，利用遠端桌面協定（RDP）存取目標系統，傳送經改造過的呼叫程序。

微軟也提到，使用者若啟用網路層驗證（NLA）機制，或許可緩解蠕蟲程式與進階威脅，但是如果攻擊者取得有效帳密，仍可成功驗證並於遠端執行惡意程式碼。因此，微軟強烈建議用戶應儘速安裝修補程式。詳全文

＃資料外洩  ＃程式碼安全

防毒軟體程式碼驚傳外洩，3大業者遭點名

威脅情資公司Advanced Intelligence（AdvIntel）表示，他們發現名為Fxmsp的俄國駭客組織，自2019年3月起，開始在暗網裡兜售從3間知名防毒軟體公司竊取的資料，並聲稱裡面含有這些公司的開發程式碼，開價30萬美元，後來，該公司的安全研究部門首長Yelisey Boguslavskiy向媒體揭露Fxmsp與賣家的對話，指出3家防毒軟體公司，就是Symantec、趨勢科技，以及McAfee。

對此，上述3家防毒業者接獲AdvIntel的通報後，也都做出了回應。Symantec表示與AdvIntel確認後，旗下產品並未受到影響；趨勢科技則指出內部測試環境曾遭到不當存取；至於McAfee僅表示，他們正在調查當中。詳全文

圖片來源：Advanced Intelligence

＃憑證盜用  ＃中間人攻擊  ＃國家級攻擊

華碩網路硬碟服務遭中間人攻擊散布後門程式

根據資安廠商ESET的發現，攻擊者透過路由器做為跳板，並搭配中間人攻擊（Man-in-the middle，MITM）手法，在電腦植入後門程式Plead，假冒為華碩網路硬碟WebStorage的應用程式，而且帶有華碩合法的憑證。

Plead主要鎖定臺灣政府單位和企業高層，最早由趨勢科技發現，在2018年時，ESET發現駭客組織濫用D-Link與全景軟體的憑證，簽署並散布Plead。

先前於3月時，華碩電腦的更新服務Live Update傳出ShadowHammer供應鏈攻擊，被植入木馬的應用程式便是使用合法憑證。事件爆發後，雖然該公司提供了檢測工具，卻因為繼續使用遭竊的憑證，使得微軟防毒軟體視為含有惡意內容。華碩今年接連2次憑證被駭客濫用，顯然該公司的資安意識與相關防護措施都有待提升。詳全文

＃硬體漏洞  ＃韌體攻擊

思科硬體安全模組TAm漏洞，將影響130款產品

為了保護韌體不受竄改而影響設備運作，思科（Cisco）在網路設備上採用的安全開機機制「信任錨」（Trust Anchor Module，TAm），被資安公司Red Balloon Security發現漏洞，使得駭客可竄改韌體，殃及所有部署TAm的思科設備，包含路由器、交換器，以及防火牆等。由於屬於硬體設計漏洞，研究人員認為，很難藉由軟體修補來解決。

Red Balloon Security已於去年11月知會，思科也發表安全通報證實此事，並表示多達130款設備受到波及，已經逐步進行修補中。不過，截至目前為止，尚未出現濫用該漏洞的情況。詳全文

圖片來源：Red Balloon Security

＃通訊軟體漏洞  ＃漏洞濫用

WhatsApp已遭濫用的漏洞，臉書緊急修補

根據英國金融時報報導，駭客利用臉書旗下通訊軟體WhatsApp的漏洞，在特定人士的手機上植入間諜程式Pegasus。這個編號為CVE-2019-3568的安全漏洞，臉書也緊急推出修補程式。

上述的漏洞攻擊手法，目前僅知一名英國人權律師的行動裝置受害，尚且無法估計真實的受災規模，因此，全球15億WhatsApp用戶都是潛在的受害者，臉書呼籲應該趕緊更新軟體。詳全文

＃國家級攻擊

荷蘭傳出在電信網路上發現華為暗藏後門

美國針對華為下達一連串的封殺令後，歐洲各國開始觀望，該品牌提供的設施是否潛藏資安風險，或是存在後門。根據荷蘭人民報（De Volkskrant）報導，該國的情報與安全總局（AIVD）發現，在當地其中一家主要電信業者的網路中，華為埋藏了後門，可隨意存取該公司的客戶資料，很可能與中國政府從事間諜活動有關。不過， 人民報並未表明他們的消息來源為何。

荷蘭當地的3大電信業者也對此事表達立場──今年初剛併購完成的荷蘭T-Mobile與Tele2指出，並不曉得AIVD正在調查此事；而荷蘭皇家電信（KPN）與Vodafone拒絕回應。詳全文

＃帳號填充攻擊  ＃資料外洩

日本Uniqlo與GU網路商店用戶遭受帳號填充攻擊

旗下擁有Uniqlo與GU知名服飾品牌的Fast Retailing指出，駭客在4月23日與5月10日期間，透過其他被駭網站的461,091個帳號和密碼，存取上述兩個品牌的網路購物商城帳號。Fast Retailing認為，駭客是透過其它服務的資料外洩事件取得用戶憑證，言下之意與這兩個平臺的安全性無關。

Fast Retailing在5月10日得知異常存取情事，遂於13日停用這46萬個帳號，再通知用戶重設密碼。詳全文

＃資安產業發展

工研院舉辦國內外資安新創交流活動

為了協助臺灣資安新創走向國際，在5月20日到21日，經濟部工業局委由工研院，於南港展覽館舉辦交流活動，邀集國外專家，包含荷蘭、英國，以及香港等國的資安專家與新創業者，與臺灣業者進行交流，提升我國廠商的競爭優勢。

這次的議程中，同時針對時下熱門的3大數位科技領域──人工智慧、物聯網，以及區塊鏈等，探討所需面臨的資安防護挑戰。詳全文

更多資安動態

●美歐聯手破獲以木馬程式盜走1億美元的跨國犯罪網路集團
●Titan藍牙硬體Token傳出安全漏洞，Google將免費換新
●華為被美國商務部列入禁止出口名單
●WordPress網站的安全漏洞有98%來自外掛程式
●2016年遭中國駭客入侵，Teamviewer卻未曾公開揭露
●Let's Encrypt釋出開放憑證透明度日誌系統Oak