0613-0619 一定要看的資安新聞

 

#國家級攻擊  #反送中  #DDoS攻擊

Telegram創辦人指DDoS攻擊與香港反送中事件有關

加密傳訊服務Telegram在6月12日面臨DDoS攻擊,並影響全球用戶,Telegram創辦人Pavel Durov於6月13日表示,大多數攻擊的IP位址來自中國,從歷史來看,他們所經歷的所有國家級駭客DDoS攻擊行動,都與香港的政治抗議活動有關。

香港人民在6月9日發起抗議《逃犯條例》的遊行活動。此條例簡化了嫌犯遣送流程,允許政府透過專案或特定協議,將嫌疑人移交他國,使得港人擔心,此舉將讓中國能夠任意自香港移交嫌犯至中國,因而抗議行動被稱為「反送中」,超過100萬名香港居民上街頭。

由於Telegram在多次香港遊行中,廣受群眾使用,使得這項通訊服務成為駭客的頭號目標。Pavel Durov指出,這次由國家級駭客發動的攻擊,流量每秒達200至400Gb,而且時間點也與反送中行動相符。詳全文

圖片來源:Pavel Durov

 

#網路釣魚攻擊  #行事曆詐騙

駭客利用Google Calendar邀請功能發動網釣攻擊

資安業者卡巴斯基發現新的網路釣魚手法,駭客利用的是手機版Google Calendar通知功能,以此騙取用戶信用卡卡號及重要個資。

卡巴斯基研究人員指出,這招「行事曆詐騙」手法很有效。對於陌生人傳送的電子郵件和簡訊,大部分用戶已有戒心,但Calendar通知則前所未見。研究人員也表示,這種手法同時繞過Google的防護機制,因為它的垃圾郵件過濾引擎會將自家服務列為白名單。

Google服務之間的高度整合,而遭到駭客濫用的情況,並非首例。過去駭客冒充受害者的友人,傳送Google Docs編輯請求的郵件,待受害者點選連結後,就會被引導到惡意網站,並騙取Gmail帳號和密碼。詳全文

 

#硬體漏洞攻擊  #DRAM

研究人員發現新的DRAM漏洞攻擊手法

近期針對處理器的硬體漏洞與攻擊手法不斷被揭露,而曾在2016年出現的動態隨機存取記憶體(DRAM)漏洞Rowhammer,現在有一群研究人員找到新的攻擊手法,並命名為RAMBleed。過去相關的攻擊行為是變更或寫入記憶體資訊,RAMBleed則是用來讀取當中的內容,例如2048位元的RSA金鑰。

由於RAMBleed攻擊是奠基在Rowhammer之上,所有受到Rowhammer影響的記憶體,範圍包括DDR3與啟用TRR功能的DDR4。雖然還沒有遭到駭客濫用,不過,研究人員建議,用戶應該將記憶體升級具備TRR的DDR4,增加駭客攻擊的複雜程度。詳全文

圖片來源:RAMBleed

 

#漏洞攻擊  #RCE

Exim遠端指令執行漏洞影響數百萬伺服器

全球近六成伺服器使用的郵件伺服器元件Exim,傳出重大漏洞,可讓駭客藉由遠端指令執行(RCE)的方式,以最高權限執行任意指令,而在發現一周後,多名研究人員已經偵測到攻擊行為,Linux伺服器成為重點目標。

Exim是開源郵件傳輸代理程式(Mail Transfer Agent,MTA),廣泛用於全球郵件伺服器。根據統計,目前全球有約57%郵件伺服器使用Exim。

本漏洞編號為CVE-2019-10149,CVSS v3.0版風險分數為9.8分,被列為重大風險,受影響版本,包括4.87到4.91版的Exim。Exim官方呼籲,用戶應升級到最新的4.92版。詳全文

圖片來源:Freddie Leeman

 

#漏洞攻擊  #防禦措施

針對已知漏洞發動攻擊,僅半數駭客使用公開工具

幾名研究人員在本月初舉行的資訊安全經濟研討會(Economics of Information Security),發表研究結果,探討企業修補漏洞的策略,並指出在實際的攻擊行動裡,僅有一半駭客會採用已被公開的攻擊程式。

根據統計,在近9年中所出現的7.6萬個漏洞中,約有9,700個的攻擊程式被公開,占所有漏洞總數的12.8%。攻擊行動中被利用的漏洞工具為4,200個,其中有2,100個是利用前述被公開的惡意軟體,換言之,半數的漏洞工具是駭客自行製造。

研究人員認為,企業或政府不應只依據漏洞攻擊程式的曝光與否,來決定修補順序,因為在實際的攻擊行動中,駭客濫用的漏洞至少有一半是不公開的攻擊程式;再者,CVSS分數高低並非絕對,超過半數的漏洞攻擊,濫用的漏洞分數都在9分以下。詳全文

 

#硬體漏洞  #Yubico

Yubico的硬體Token裝置傳出有程式臭蟲,將免費換新

正當業界力推無密碼輸入方案,使硬體Token接受程度增加,使得這些產品的安全性更受到重視。繼Google召回藍牙版Titan行動後,Yubico近期發出公告,表示旗下部分產品韌體的臭蟲,將召回市售產品並為用戶免費更換。

受該漏洞影響的產品包括YubiKey FIPS、YubiKey Nano FIPS、YubiKey C FIPS,以及YubiKey C Nano FIPS。其他產品則不受影響。詳全文

 

#硬體漏洞  #特定行業攻擊

售至全球50個國家的醫療用輸液幫浦系統含遠端攻擊漏洞

專攻醫療裝置領域的資安業者CyberMDX,揭露了醫療系統裡出現的資安漏洞。由醫療裝置製造商Becton, Dickinson and Company(BD)生產、用來控制輸液幫浦的Alaris閘道工作站裡,含有兩個安全漏洞,其中一個允許駭客直接關閉裝置、安裝惡意程式、竄改藥物的劑量或輸液速度。

BD對外透露,Alaris閘道工作站已銷售至全球50個國家,其中有3個國家的出貨量多達2,000臺,有8個超過1,000臺,由於並未在美國銷售,迄今亦未接獲任何攻擊報告。詳全文

 

#帳號填充攻擊  #資安市場動態

帳戶安全檢測網站Have I Been Pwned求售

創辦Have I Been Pwned(HIBP)網站的澳洲安全專家Troy Hunt對外說明,以他一己之力已無法支撐日益龐大的業務,決定發起Svalbard專案,出售HIBP。

即使是網站求售,Troy Hunt還是公布了數項承諾,包括未來HIBP仍將維持免費搜尋功能,他自己也會繼續投入網站維運的工作,並計畫打造更多更實用的功能,期望觸及更多的使用者,進而改變消費者行為,讓全球組織都能因HIBP而受惠。詳全文

 

#威脅情資共享

金融資安資訊分享與分析中心服務將收費

隨著我國金融機構近年來資安事件頻傳,金融資安資訊分享與分析中心(F-ISAC)將會更加廣泛受到運用。為了能讓該中心能持續經營,金管會正研議收費機制,減輕國庫負擔。

根據立法院預算中心報告指出,F-ISAC由國家科學技術發展基金補助建置,並於2017年12月正式對外服務,而今年度的營運經費,由金管會公務預算支應,編列3,440萬元。雖然現在仍有政策性任務,不會向用戶收費,但金管會正在評估,讓F-ISAC未來朝收費制度發展,也可能走向民營化型態。詳全文

 

更多資安動態

Google讓Android手機也能提供iOS裝置用戶進階身分驗證
微軟封鎖Windows PC和不安全的藍牙FIDO金鑰的配對
新創端點防護業者CrowdStrike那斯達克掛牌,首日股價大漲70%
駭客利用23款攻擊程式來散布新一代殭屍病毒Echobot
Bitdefender與警方聯手釋出勒索軟體GandCrab最新版解密工具
臉書加密貨幣系統Libra惹議,美國政府要求臉書暫停開發
資安攻防新戰略MITRE ATT&CK


Advertisement

更多 iThome相關內容