1107-1113 一定要看的資安新聞

 

#漏洞找尋競賽  #Pwn2Own

Pwn2Own東京賽事展開,找出多個語音助理與智慧電視漏洞

從11月6日開始,為期2天、在日本東京舉辦的Pwn2Own Tokyo 2019駭客競賽結果出爐,這次的比賽依然鎖定各種物聯網裝置,多款裝置都在第一天賽事就被發現漏洞,其實包含了語音助理Amazon Echo,三星與Sony的數位電視,以及TP-Link與Netgear的路由器等。

在兩天的競賽中,參賽團隊總計發現了18個安全漏洞,贏得31.5萬美元獎金,ZDI打算進一步驗證漏洞與攻擊程式之後,再提報給相關業者,請他們在90天期限內完成修補。詳全文

圖片來源:Zero Day Initiative

 

#勒索軟體攻擊

衝浪設備大廠Boardriders驚傳遭勒索軟體攻擊

專門生產衝浪與其他運動裝備的衝浪大廠Boardriders,傳出在10月底遭到勒索軟體攻擊,包括Billabong與Quiksilver等旗下品牌都受到波及,而且駭客還要求支付高達9千萬美元的贖金。

不過,Boardriders僅坦承,約2星期前他們的電腦系統受到攻擊,使得該公司緊急切換到備援系統,部分訂單受到延遲。他們打算對於受到影響的客戶,祭出8折補償措施。至於受害情形,該公司僅透露此 起事件影響多個地區,尚未得知攻擊來源為何。詳全文

 

#內部威脅  #資料外洩

趨勢科技家庭用戶個資外洩,遭人濫用於撥打詐騙電話

最近企業面臨的內部威脅,可是更加險峻,就連資安廠商也難以防範這種從員工與犯罪組織串通的攻擊手法。例如,趨勢科技在11月5日於部落格坦承,他們發現有員工竊取客服資料庫的內容,販賣給不知名的犯罪組織牟利。

關於這起事件影響範圍,趨勢科技表示,這起事件僅波及使用英語為主要語言的個人端用戶,其他非英語系用戶不受影響,受害人數則占他們1,200萬名個人端用戶不到1%(小於12萬人),後來他們再度更新,表示更精確的受害人數估計為68,000人。再者,該公司也表示臺灣用戶不受影響。詳全文

 

#隱私疑慮  #漏洞攻擊  #特定目標攻擊

近百名師生電子郵件被監控近3年,中山大學郵件伺服器遭駭客入侵

中山大學的電子郵件信箱,竟在神不知鬼不覺的情況下,被監看了接近3年,而這起事件被發現的原因,是有位教授突然收到該校主任秘書約談信件,察覺不尋常而向對方確認,但並無此事,後來向校方進行通報,校方展開調查後,才驚覺是一起埋伏已久的攻擊事件。中山大學圖書與資訊處長賴威光指出,他們已經透過相關資安事件通報平臺,向教育部呈報,至於是否要向警方報案,該校則打算在盤點損害規模後,才決定如何處置。

至於受害的範圍,賴威光表示總共有85人,涵蓋高階主管、教授,以及助教等人員。而從這些人員所屬單位來看,約有五成是社會科學院的老師,海洋科學學院也占有相當比例。詳全文

圖片來源:中山大學

 

#漏洞攻擊  #特定目標攻擊

學生研究漏洞惹禍!臺大CEIBA教學平臺成績全變87分

最近許多學校的期中考剛剛結束,卻有一間大學傳出所有學生的成績遭到竄改,11月6日,臺灣大學政治系教授王業立在臉書的一則貼文引發關注,他上傳了一張該校的CEIBA非同步課程管理系統裡,所有學生成績都變成87分的截圖,這位老師認為,可能是有學生期中考沒考好,蓄意攻擊這個教學平臺所致。由於本周恰巧發生中山大學師生電子郵件被駭客長期監控事件,使得臺大這起事件形成的原因,格外受到各界重視,懷疑是駭客針對臺灣大專院校發動的第2起攻擊事件。

雖然校方坦承成績資料出現異常,也多次公告修復的進度,卻直到11月8日,臺灣大學資訊組組長張良鵬才坦言,他們並非遭受外部攻擊,而是該校一名資工系學生研究這個課程管理系統的漏洞所致。詳全文

圖片來源:臺灣大學

 

#資安產業動態

擴大資料外洩防護應用領域,Proofpoint宣布併購ObserveIT

以郵件安全防護解決方案聞名的美國資安廠商Proofpoint,在11月初宣布,併購以螢幕側錄應用跨入內部威脅管理的資安廠商ObserveIT,這項交易預計在今年第四季完成。

雙方未來將有更密切的合作,對Proofpoint而言,資料外洩防護解決方案可從原有的郵件、雲端服務,延伸至端點,至於ObserveIT,也將獲得更多威脅情報與研發資源。詳全文

 

#漏洞攻擊  #網路詐騙  #Firefox

Firefox臭蟲遭駭客濫用,誤導使用者以為電腦受到攻擊,再顯示技術支援視窗進行詐騙

技術支援詐騙的手法愈來愈高明,駭客的管道不只是利用電話、惡意廣告,或是搜尋引擎,現在他們還利用Firefox的漏洞,當使用者透過這款瀏覽器造訪含有惡意程式的網站時,螢幕上就會出現系統被駭的訊息,要求撥打技術支援電話處理。

揭露上述漏洞的是Malwarebytes威脅情報研究人員Jérôme Segura,他指出這是一個瀏覽器鎖住漏洞,允許駭客鎖住受害者的瀏覽器,避免他們關閉瀏覽器或分頁,再顯示詐騙視窗指稱電腦已遭駭,並要求使用者在5分鐘撥打技術支援電話。若受害者依照指示操作,駭客得以遠端控制電腦,並且騙取服務費用,此外,還有可能導致受害者個資外洩。詳全文

 

#漏洞攻擊  #macOS

Apple Mail漏洞導致加密郵件以明碼儲存

蘋果IT專家Bob Gendler發現Mac電腦的Apple Mail漏洞,導致加密郵件以明碼儲存,可能會外洩重要資訊。這項漏洞他早於7月就通報,但直到最近蘋果才承諾會儘速修補。

上述漏洞影響的範圍,涵蓋macOS Sierra、High Sierra、Mojave,以及才推出不久的Catalina。蘋果指出,濫用這個漏洞還需要搭配多個條件,例如,用戶必須傳送加密信件,並且沒有啟用FileVault防護功能等,不過Bob Gendler認為,若是上述環境存在,攻擊者就能藉此竊取機密資訊。詳全文

 

#漏洞攻擊  #記憶體濫用攻擊  #嵌入式裝置

嵌入式裝置開機載入程式暗藏漏洞

兩名ForAllSecure公司的研究人員Paul Emge與Zion Basque,近日透過GitHub揭露4個有關Das U-Boot的安全漏洞,最嚴重的狀況將允許駭客透過記憶體濫用攻擊,進而執行任意程式。

Das U-Boot是開源的開機載入軟體,廣泛應用在嵌入式裝置,支援Arm、MIPS、RISC-V,以及x86等多種處理器架構。Amazon Kindle、Google Chromebook,以及許多網路裝置都採用這個軟體。雖然開發這款開機程式的作者已推出修補相關漏洞的2019.10版,但受影響裝置有賴製造商提供專用的更新軟體,才能防堵前述的漏洞。詳全文

 

 

更多資安動態

Cloudflare公布上市後首次財報,季營收成長48%
Google與ESET、Lookout、Zimperium結盟,強化上架App安全
後門程式利用盜版WordPress外掛大肆散布
員工控訴:維運VirusTotal的Chronicle部門遭Google政策扼殺
修正版BlueKeep攻擊程式不再引發BSOD,危險性大增
網站代管業者SmarterASP.NET遭勒索軟體入侵
 


Advertisement

更多 iThome相關內容