研究人員在4月發現Safari瀏覽器的漏洞,可讓駭客在使用者按下分享網站上圖片的按鈕時,實際上分享的卻是手機或電腦本機的檔案,進而造成資料外洩

研究人員對於Safari瀏覽器的Web Share API漏洞進行概念性驗證攻擊影片

圖片來源: 

Red Team

0827-0902 一定要看的資安新聞

 

#漏洞揭露

Safari漏洞使用戶面臨點擊詐騙風險,但蘋果打算2021年初才修補

研究人員通報漏洞之後,廠商卻遲遲不願處理的情況,最近又被揭露。波蘭安全公司Red Team創辦人Pawel Wylecial發現,Safari存在於Web Share API的漏洞,導致駭客能夠竊取iOS裝置與macOS電腦的檔案。然而4月通報之後,蘋果卻等到Pawel Wylecial揚言要公布細節,才承諾會在2021年春季修補,並要求研究人員暫緩揭露。Pawel Wylecial認為,蘋果處理過程態度極為怠慢,決定在8月24日公開此事。

Pawel Wylecial指出,一旦駭客運用這項漏洞,就能在惡意網站引誘用戶,透過郵件軟體或是即時通訊軟體來分享圖片,但此時用戶分享的是蘋果裝置裡的檔案,造成裝置上的機密資料外洩。詳全文

 

#漏洞修補  #漏洞懸賞

Slack重大漏洞只值1,750美元引發爭議

研究人員在懸賞平臺通報嚴重的漏洞,應該得到合理的報酬,不過,近期有一起事件是因為獲得的獎金不高,而引起其他資安人員的關注。8月29日Slack修補一項極為危險的遠端程式攻擊漏洞,該公司只支付1,750美元予通報的研究人員Oskars,讓其他研究人員不平。

例如,白帽駭客Daniel Cuthbert與研究人員Alon Gal都表示,這名研究員大可將漏洞賣給其他業者,來獲得更合理的報酬。對於此次爭議,Slack發言人告訴Mashable,他們會檢討抓漏獎勵標準,來表示對於研究人員的認同。詳全文

圖片來源:Slack

 

#漏洞修補  #APT攻擊

競爭對手雇用駭客在Autodesk 3ds Max植入外掛,入侵知名建商系統竊資

產業競爭愈來愈白熱化,安全公司Bitdefender發現,一家企業被競爭對手聘請駭客駭入Autodesk公司的3ds Max軟體,竊取價值數百萬美元的商業機密文件。不過,發動此起APT攻擊行動的駭客集團身分,BitDefender並未說明。

研究人員發現,駭客在3ds Max植入惡意外掛模組PhysXPluginMfx,這是惡意程式MAXScript的變種。不知情的使用者下載執行後,這個模組就會破壞3ds Max組態,並執行惡意程式碼Max Script來竊密。Autodesk也針對PhysXPluginMfx發出公告,釋出工具供用戶清除此惡意外掛軟體。詳全文

圖片來源:Bitdefender

 

#內部威脅  #視訊會議

思科離職員工坦承非法存取WebEx後臺,導致1.6萬企業帳號失效2周

思科前員工Sudhish Kasaba Ramesh向加州法院承認,曾在離職半年後,非法存取前東家的雲端視訊系統WebEx Teams,故意刪除公司在AWS上的456個虛擬機器,之後又刻意部署程式碼,造成超過1.6萬個企業帳號關閉,長達2周無法使用,最後思科花費140萬美元搶修,並且把100多萬美元費用退還受影響的用戶。這名員工會有什麼下場?最高可能被判5年徒刑及25萬美元罰金。詳全文

 

#內部威脅  #勒索軟體攻擊

俄國人企圖買通特斯拉員工發動勒索軟體攻擊

美國司法部於8月25日宣布,27歲的俄羅斯人Egor Igorevich Kriuchkov,於今年7月15日到8月22日,企圖以100萬美元為誘餌,買通一名員工,協助在內華達州的公司網路發動勒索軟體攻擊,但並未得逞。根據ZDNet、Bleeping Computer、Tech Crunch等多家媒體報導,這起事件的受害者就是電動車大廠特斯拉,該公司執行長Elon Musk隨後也在推特證實此事。

這名俄國人於8月22日於洛杉磯出境之前遭到逮捕,24日遭到起訴。詳全文

 

#DDoS攻擊

紐西蘭證券交易所連續三天遭到網路攻擊,宣布暫停交易

紐西蘭證券交易所(New Zealand Exchange,NZX)自8月25日起,連續三天遭到來自境外的分散式阻斷服務(DDoS)攻擊,而且在26日與27日,都是在早上開盤不久,便遭到攻擊。因此該交易所於27日宣布,為了專心解決此起網路威脅,暫停主板市場、債券市場,以及Fonterra股東市場的交易,但對於攻擊的細節並未進一步說明。詳全文

 

#挖礦攻擊

Lemon_Duck挖礦程式蔓延到Linux平臺

資安業者Sophos警告,自去年現身的挖礦軟體Lemon_Duck,不只會在企業的Windows電腦上植入門羅幣挖礦程式,如今亦鎖定Linux平臺和雲端應用系統,並透過內建的連接埠掃描模組,來搜尋使用SSH協定的連接埠,並執行暴力破解攻擊。

值得留意的是,這款挖礦軟體也會在網路上進行掃描,找出配置失誤而曝光的Redis分散式資料庫,以及不需身分驗證即可存取的Hadoop叢集,利用這些伺服器來進行挖礦。詳全文

 

#特定產業目標攻擊

針對搶劫全球銀行的北韓駭客集團BeagleBoyz,美國公布分析報告

美國財政部、網路安全暨基礎架構安全署(CISA)、聯邦調查局(FBI),以及美國國防部網路司令部(USCYBERCOM),聯手針對駭客集團BeagleBoyz,公布了分析報告,該集團隸屬於北韓駭客組織Hidden Cobra,席捲全球多國銀行,盜走近20億美元,也是在2016年企圖盜走臺灣遠東銀行6千萬美元的元兇。

BeagleBoyz鎖定銀行內部兩大系統,一是與環球銀行金融電信協會(SWIFT)介接的終端系統,二則是負責銀行支付交換應用的伺服器。此份報告呼籲金融機構應全面強化安全措施,才能有效防堵該集團的攻擊。詳全文

 

#勒索軟體攻擊

臺灣電子製造業遭勒索軟體攻擊再添一樁,金橋科技公告總部與旗下兩公司遭感染

勒索軟體攻擊不斷,8月下旬臺灣電子製造業再傳遇害,電子零組件業者金橋科技於8月21日,在臺灣證券交易所發布即時重大訊息,說明該公司部分電腦遭勒索病毒感染,並指出事件發生在臺灣總公司,以及旗下兩家孫公司,分別是位於中國的東莞達晨電業製品,以及金橋科技電子(昆山)。金橋科技在這份公告中指出,他們已經緊急處理,同時也揭露初步盤點結果,說明公司機密資料不受影響,兩家孫公司受影響的程度有限。詳全文

 

#5G資安  #國家資安策略

臺美發表5G安全共同宣言,聯手從供應鏈守護5G網路安全

美國在臺協會與我國駐美國臺北經濟文化代表處,於8月26日發表5G安全共同宣言,強調5G將成為驅動全球數位經濟發展的關鍵基礎建設,為避免通訊網路不被破壞或操控,應經由可靠、可信賴的網路軟硬體供應商提供,確保5G供應鏈沒有安全疑慮。詳全文

圖片來源:外交部

 

 

更多資安動態

9月1日起TLS與SSL憑證期限縮短為398天
蘋果App Store超過1,200個程式採用惡意廣告SDK
微軟公開測試以容器開啟可疑Office文件的安全功能
美國打算沒收280個北韓駭客的加密貨幣帳號


Advertisement

更多 iThome相關內容