圖片來源: 

微軟

在本月的重要資安新聞中,重大漏洞的揭露與後續發展,可說是引起相當大的關注。其中,MSHTML漏洞CVE-2021-40444相當危險,因為MSHTML是內建在作業系統的功能,即使使用者沒有執行Internet Explorer,還是有可能曝露在該漏洞的風險當中,而這項漏洞已被駭客用於勒索軟體攻擊。

但在新的漏洞之外,舊的重大漏洞所產生的後續效應,也不容忽視。近期傳出駭客在暗網公布近50萬組Fortinet SSL VPN帳密,揭露此事的資安新聞網站Bleeping Computer相信,這些資料的出現,與2018年被發現的CVE-2018-13379漏洞有關。

而在漏洞的揭露與後續追蹤之餘,攻擊者採用的新手法也引起資安人員的留意。例如,駭客占用受害電腦資源牟利的方式,除了竊取機密資料、挖礦,近期也出現利用Proxyware來賺錢的現象,由於這種賺錢的方式將會讓他人透過使用者的流量上網,如果被用於瀏覽惡意網站,也可能會導致使用者的網路遭到ISP封鎖。

此外,以取得應用程式存取授權的方式行騙,讓使用者不慎點選「同意」,讓攻擊者能夠存取的同意網路釣魚攻擊(Consent Phishing Attack),研究人員警告這類手法的攻擊事故,有升溫的現象。

01.MSHTML重大漏洞已被用於勒索軟體攻擊

02.美國督促各大組織修補Atlassian Confluence漏洞

03.駭客公布50萬組Fortinet VPN用戶帳號與密碼,74個國家受影響,臺灣第二嚴重

04.攻擊者打造Linux版Cobalt Strike的Beacon,鎖定電信、政府、金融業發動攻擊

05.惡意程式牟利的方式有了新手法!不只會偷取算力和資料,還會竊取網路頻寬

06.同意網路釣魚攻擊威脅增加,透過應用程式騙取用戶大型網站帳號的存取權限

07.美國穀物合作社遭BlackMatter攻擊,被勒索590萬美元

08.逾1,200所美國K-12學校的學生資料曝露在暗網

9.白宮舉行資安高峰會,IT巨頭承諾將大幅改善資安

10.首屆國際級工控資安評測出爐,資策會也參與這項評估計畫


熱門新聞

Advertisement