資安一周第85期：重大漏洞未如預期獲得修補而引發高度關注

0312-0318 一定要看的資安新聞

＃漏洞修補  ＃SMB

微軟緊急修補SMB蠕蟲漏洞

在3月10日的本月例行修補中，微軟一共修正了115個漏洞，但唯獨CVE-2020-0796，微軟只發出資安通報而引發各界關注，兩天後該公司終於提供修補軟體。這個漏洞存在於SMB第3版（3.1.1版）的協定，能允許駭客自遠端執行任意程式，被多家資安業者視為此次最重大的漏洞之一。

這個漏洞影響的範圍，包含SMB伺服器與用戶端，存在於Windows 10 1903與1909版作業系統，以及Windows Server 1903與1909版。任何未修補且開放SMB埠的電腦，都有可能面臨類似WannaCry的蠕蟲式攻擊。詳全文

圖片來源：微軟

＃漏洞處理  #遠端桌面連線  ＃資料外洩

遠端桌面連線工具爆資訊外洩漏洞，微軟直接宣布除役

廠商已經鮮少維護的舊版解決方案，若出現漏洞，有些公司的作法是乾脆直接停止提供下載。例如，微軟於2009年開始，推出的遠端桌面連線工具Remote Desktop Connection Manager（RDCMan），傳出XML外部實體注入（XXE）漏洞，導致資料外洩。

該公司建議用戶改用Windows內建的連線工具（MSTSC），或者是UWP版的應用程式（Microsoft遠端桌面）。詳全文

＃漏洞揭露  ＃防毒軟體

Avast出現設計漏洞，可能讓駭客遠端執行惡意程式

防毒軟體因為深入系統底層，一旦出現漏洞，就容易讓駭客在電腦執行惡意程式。Google Project Zero研究人員Tarvis Ormandy發現，捷克防毒軟體Avast出現漏洞，該業者獲報後暫時關閉有問題的元件。

這項漏洞出現在具有系統權限AvastSvc的服務，由於其中的JavaScript解譯器未在沙箱環境執行，導致AvastSvc有關漏洞都相當嚴重，可被攻擊者輕易濫用。詳全文

圖片來源：Avast

＃漏洞揭露  ＃硬體漏洞  ＃旁路攻擊

AMD處理器存在旁路攻擊漏洞，資安研究人員通報後仍未修補韌體

處理器的加速機制又被發現了漏洞。奧地利格拉茨科技大學研究人員發表的論文指出，AMD為了最佳化處理器的效能，在L1D快取採用了的預測器，然而，最近有研究人員發現可以加以操縱，來洩漏AMD處理器的機密資料。

這個漏洞稱為Take A Way，影響AMD旗下多款產品，包含從2011年到2019年推出的所有處理器。AMD在3月7日做出回應，宣稱這並非新的攻擊手法，僅建議使用者採用現有的推測執行漏洞緩解措施，但研究人員隔日於推特上表示，由於漏洞沒有修正，駭客可依據論文內容來攻擊採用AMD處理器的電腦。詳全文

圖片來源：奧地利格拉茨科技大學

＃漏洞揭露  ＃硬體漏洞  ＃旁路攻擊

英特爾處理器再度出現旁路攻擊漏洞，恐難透過軟體修補根除

面對處理器裡的漏洞，若以軟體來緩解，效果往往有限。例如，在3月10日，多所大學的研究人員、資安業者Bitdefender，以及英特爾，共同揭露存在於英特爾處理器中新的旁路攻擊漏洞LVI，列管編號為CVE-2020-0551。

有別於以往的Spectre與Meltdown攻擊，是直接洩露處理器的機密資訊予駭客，LVI則是藉由隱藏的處理器緩衝區，將駭客資料注入受害者的程序中，挾持其暫態執行以獲取機密資訊，諸如受害者的指紋或密碼等。

這項漏洞是鎖定英特爾處理器的安全隔離機制，名為Software Guard Extensions（SGX），該公司也列出數十款受影響的處理器，並提供修補軟體。不過，研究人員認為，只有日後新處理器才能真正解決這個漏洞，要是完全透過軟體修補來緩解，將會使得SGX運算能力變慢2至19倍。詳全文

＃漏洞攻擊  ＃硬體漏洞  ＃Rowhammer

DDR4記憶體難以防範Rowhammer變種攻擊

即使採取因應措施，可能也難以防範攻擊手法的演進。像是自2012年就被發現的Rowhammer記憶體攻擊手法，各家製造商相繼在DDR4產品納入Target Row Refresh（TRR）措施，來加以防堵，但光靠它恐怕無力阻擋後續被揭露的弱點。例如，阿姆斯特丹自由大學漏洞安全實驗室VUSec發現新的Rowhammer漏洞CVE-2020-10255，能用於攻擊市面上大多數DDR4記憶體。

該單位表示，目前的TRR機制只能防範已知攻擊。他們將概念性驗證工具TRRespass用來攻擊42款記憶體模組，成功攻陷了13個。詳全文

＃特定目標攻擊  ＃醫療產業  ＃武漢肺炎

捷克武漢肺炎篩檢中心遭駭客攻擊

武漢肺炎肆虐全球各國，若再面臨網路攻擊，將造成醫療機構難以運作。例如，位於捷克第二大城布爾諾（Brno）的布爾諾大學醫院，傳出遭到網路攻擊，由於該單位同時是武漢肺炎篩檢中心，這起事件也嚴重影響當地防疫工作。

布爾諾大學醫院僅對外表示，電腦系統在3月13日遭到攻擊而陸續當機，最後他們只得將電腦系統關閉。目前該院正篩檢數十個疑似罹患武漢肺炎的案例，因為院方遭受攻擊，作業時間可能會從一天拉長到數天。詳全文

＃個資濫用  ＃應用程式市集管理

假借保護上網隱私名義，資料分析業者利用App暗中收集用戶個資

使用者安裝App要小心，過程若是需要安裝額外元件，很可能是廠商藉機收集個資的管道。行動裝置應用程式資料分析業者Sensor Tower被人踢爆，他們透過旗下數款VPN、廣告過濾程式，來暗中蒐集用戶資訊，高達千萬人受害，部分App已遭兩大應用程式市集下架。

研究人員發現，該公司出品的App，其共通特點是會在安裝過程中，要求使用者一併部署根憑證，之後便會在未告知的情況下，將用戶資料傳送到Sensor Tower。事件曝光後，該公司宣稱，植入根憑證只是用於收集匿名資訊，然而這種行為已經違反了上述兩大平臺的管理政策，使得蘋果和Google對於部分App，採取下架或是啟動調查措施。詳全文

＃垃圾郵件攻擊  ＃殭屍網路

歷時8年，惡意郵件殭屍網路Necurs巢穴遭剿清

大型的網路犯罪組織由於人員分散各地，往往需要許多國家的通力合作，才能一網打盡。像是微軟於3月10日宣布，他們協同35國警方與ISP等單位，耗時8年的追蹤與策畫，終於破獲全球大型的惡意郵件網路Necurs。這個郵件網路也曾在臺灣造成嚴重災情。

在取得紐約地方法院發布命令下，微軟查獲Necurs用以散布垃圾郵件及惡意程式的基礎架構，使其背後的犯罪組織，無法再註冊新網域發動攻擊。他們也在多國ISP協助下，協助清除惡意程式。詳全文

更多資安動態

●Firefox 74終止側載擴充套件支援，並停用舊版TLS
●FBI逮捕經營非法憑證銷售網站的俄羅斯人
●因Windows 7終止支援，醫療單位執行老舊作業系統比例爆增
●冒牌武漢疫情儀表板散播惡意程式
●為保障媒體與資安研究人員，美國擬翻修間諜法