0423-0429 一定要看的資安新聞

 

#網路防火牆  #漏洞修補

Sophos緊急修補旗下防火牆漏洞,已出現濫用情事

企業最常見的網路防護機制,莫過於防火牆,假如被發現漏洞,很容易讓攻擊者進入企業的內部環境。例如,Sophos於4月24日發出公告,他們的防火牆產品XG Firewall存在SQL注入漏洞,而且已被駭客用來發動攻擊,影響多個客戶。該公司釋出修補程式,並且會自動更新到用戶的防火牆上,也將於管理介面顯示是否曾經受到相關的攻擊。

Sophos表示,這個漏洞會影響實體版與虛擬版的XG Firewall,攻擊者能藉此植入惡意程式,來竊取防火牆裡的資料,因此,受影響的用戶都應假設資料已遭外洩。詳全文

 

#漏洞修補  #供應鏈攻擊

微軟緊急修補Office及小畫家3D的遠端程式攻擊漏洞

因為採用的程式庫存在漏洞而受到影響,使得軟體廠商也在程式庫的漏洞公開後,趕快推出修補程式。像是微軟最近針對Office和小畫家3D(Paint 3D),修補遠端執行任意程式(RCE)漏洞,起因就是這些軟體都採用了有弱點的Autodesk FBX程式庫。

微軟指出,上述軟體在處理特定的3D圖像內容時,可能會觸發多個遠端程式執行漏洞,一旦駭客成功濫用,能夠取得與本地端用戶相同的權限。詳全文

 

#漏洞揭露  #RDP

遠端桌面連線漏洞可讓駭客遠端執行任意程式,但微軟不願修補

研究人員發現漏洞通報後,軟體廠商卻認為難以被用於發動攻擊而拒絕處理的情況,最近也頻頻出現。例如,以色列安全廠商Cymulate發現,內建於Windows作業系統的遠端桌面連線軟體,存在漏洞,能讓駭客可以藉著DLL側載的方式,繞過安全驗證而執行惡意程式,但微軟認為要實際發動攻擊並不容易,而不打算修補。

研究人員通報之後,微軟認為攻擊者需要在System32資料夾置換DLL檔案,必須擁有系統管理員權限,而表示這個弱點的影響有限。但研究人員指出,攻擊者只要將MSTSCAX.DLL複製到其他非系統資料夾的位置,就不受管理員權限的限制,照樣能發動攻擊。詳全文

圖片來源:Cymulate

 

#開發安全

駭客在Ruby開發者社群市集上架逾700款惡意軟體

鎖定開發者下手,藉由提供免費開源工具和程式庫為誘餌,也成為駭客散布惡意軟體的方法。例如,ReversingLabs發現,駭客鎖定Ruby開發者常用的開發工具下手,發動供應鏈攻擊,他們在2月下旬,於提供程式庫和程式的市集RubyGems,上架了超過700個惡意軟體,由於使用了正牌程式的名稱和功能說明,真假難以識別,而這些惡意軟體已被開發者下載10萬次。

ReversingLabs威脅研究員Tomislav Maljic指出,一旦這些惡意軟體植入開發者的電腦,就會監控比特幣付款資料,然後將錢包內容移轉到特定帳戶。詳全文

 

#國家級攻擊

中國駭客組織再度監控維吾爾穆斯林,鎖定執行特定版本iOS裝置的族群下手

由中國在背後支持的駭客組織,監控少數民族的情況,近期又有數起事件傳出。自去年8月,Google揭露為期長達2年的監控行動後,事隔不到半年,駭客再度發動攻擊。專精於記憶體鑑識的資安公司Volexity指出,他們於今年1月到3月,偵測到新一波間諜攻擊,由中國當局資助的Evil Eye駭客組織,濫用了較新版本iOS漏洞,並駭入6個網站做為媒介,來感染瀏覽網站的使用者,目標是監控維吾爾族穆斯林的電子郵件與即時通訊對話內容。詳全文

 

#漏洞揭露爭議

蘋果宣稱iOS漏洞尚未遭到駭客濫用

研究人員揭露的漏洞,是否已經出現濫用的情況,有時候會因為相關證據不足,而引發真實性的存疑。像是以色列資安廠商ZecOps指出iOS內建的電子郵件軟體含有2個漏洞,可能導致用戶接到電子郵件,在沒有開啟的情況下就被駭,影響範圍從iOS 6到最新的13版,並且已有攻擊事件發生,駭客甚至能遠端刪除郵件來隱匿行動。對此,不只蘋果出面回應,他們沒有發現有用戶被攻擊的證據,也引發其他研究人員懷疑,ZecOps找到的跡象不足以證明駭客已在濫用上述漏洞。

兩名Project Zero的威脅研究員認為,ZecOps僅依據當機錯誤碼(Crash code)來認定發動攻擊的惡意郵件,這種方法太過粗糙,而且ZecOps並未找到發動攻擊的郵件檔案。對於上述質疑,ZecOps打算進一步提供更多資料,來證明他們的發現。詳全文

 

#數位身分證

因疫情無法引進高防偽PC晶片卡技術,臺灣數位身分證將延後換發

臺灣原定於今年10月換發數位身分證(eID),但受到武漢肺炎疫情影響,無法在原訂時程引進製作高防偽PC晶片卡的技術,內政府戶政司與資訊中心於4月27日發出公告,數位身分證換發時程確定延期。

在這次發布的訊息中,對於如何確保數位身分證的資安,內政部戶政司解釋晶片的安全性,並且公開程式原始碼。他們表示,新的數位身分證是雙晶片備援機制,其晶片為台積電代工生產,並且遵循國際安全認證標準,核心程式將交由行政院資安處指定團隊進行資安檢測。至於導入數位身分證的方式,政府不會在一開始推出就全面換發,而是在部分縣市先小規模試辦,並且透過獎勵計畫讓民間測試。詳全文

圖片來源:內政部

 

#公部門資安  #假新聞

調查局假訊息防制中心升格資安工作站

為了遏止假新聞的氾濫,調查局在去年因應總統大選,率先成立「二合一選舉查察專案」和「影響國安選舉假訊息處理小組」,為了有效積極偵辦並遏止假訊息,也於8月8日成立「假訊息防制中心」。不過,疫情期間仍有假訊息妨害臺灣的防疫管控,於是調查局日前正式將「假訊息防制中心」升級為「調查局資安工作站」,並由總統蔡英文親自到場舉辦揭牌儀式。

調查局資安工作站首位站主任張尤仁表示,該工作站成員背景以資工系和電機系為主,目前22人,預計編制為35人,相關的調查官人才培育,也會從現有調查班的資訊類組,挑選具備資工系和電機系背景的成員,進一步培訓。張尤仁指出,目前調查局針對假訊息的偵查量能足夠,但還是要強化網路侵駭及進一步發展網路防禦的能力。詳全文

攝影/洪政偉

 

 

更多資安動態

Google推出零信任為基礎的企業遠端存取服務
端點防護業者Malwarebytes進軍個人VPN服務市場
勒索軟體攻擊是去年最氾濫的網路攻擊行動
受Ghostcat漏洞波及,多家IT平臺軟體廠商接續發布修補


Advertisement

更多 iThome相關內容