在本週的資安新聞裡,中國駭客的攻擊行動有數起事故,尤其是最近2年出現的新駭客組織ToddyCat、Tropic Trooper,前者大肆針對政府與軍事單位,利用Exchange Server漏洞發動攻擊,研究人員指出,除了在2021年2月至3月初,駭客鎖定了ProxyLogon做為入侵受害組織的管道,至於其他攻擊行動利用的Exchange Server漏洞,仍有待進一步確認。

駭客組織Tropic Trooper在攻擊行動裡,使用了透過程式語言Nim打造的惡意程式Nimbda,來投放Shell Code與其他的作案工具,進而在受害電腦收集多種環境資訊。此外,這些駭客加密作案工具的手法也相當複雜,而使得研究人員調查更為困難。

另一個由中國駭客APT41與APT10發起的攻擊行動也相當特別。一般來說,駭客植入木馬程式通常是偷偷摸摸,但這次兩個駭客組織卻是大張旗鼓發動勒索軟體攻擊,來讓受害組織將心力集中在這類攻擊行動,而有可能忽略駭客實際上的目的,是要散布木馬程式並從事間諜活動。

網路間諜公司RCS Lab與電信業者聯手的攻擊行動陸續引起研究人員關注,但研究人員認為,利用這種商業間諜軟體監控特定人士手機的攻擊者,很可能就是當地政府,而使得電信業者也參與了攻擊行動。

而在烏克蘭戰爭相關的網路攻擊行動裡,俄羅斯駭客將目標擴及曾經幫助烏克蘭的盟友,繼5月Killnet大肆攻擊義大利後,該組織旗下的駭客Legion – Cyber Spetsnaz RF疑似開始攻擊立陶宛。

駭客發動勒索軟體攻擊的目標,通常是針對受害組織的電腦或是伺服器下手,但雲端的檔案共享服務也可能被駭客鎖定。有研究人員揭露針對SharePoint、OneDrive等服務攻擊手法,使得受害者即使藉由檔案多版本的備份功能,也難以恢復資料。

存在Log4Shell漏洞的遠距工作平臺VMware Horizon仍是駭客偏好的攻擊目標!在本週的新聞裡,不只傳出有勒索軟體攻擊,也使得美國對於這樣的態勢再度提出警告。

【攻擊與威脅】

駭客組織ToddyCat鎖定臺灣、越南等國政府機關,利用Exchange漏洞發動攻擊

資安業者卡巴斯基在6月21日揭露新的國家級駭客組織,該組織專門攻擊亞洲及歐洲的微軟Exchange Server用戶,值得關注的是,臺灣、越南政府機關是其主要攻擊目標。

研究人員自2020年底發現其活動,並將這個駭客組織命名為ToddyCat,攻擊目標為Exchange Server歐洲及亞洲用戶,專門鎖定高知名度組織,包括政府、軍事單位,以及軍方外包商。該組織第一波攻擊時間,是在2020年底到2021年2月之間,且臺灣與越南有3個組織的一些Exchange Server遭到攻擊。隨後的2月底到3月初,駭客更是積極開始鎖定ProxyLogon漏洞,攻擊歐洲及亞洲組織。

這些駭客入侵Exchange Server後,會部署名為中國菜刀(China Chopper)的Web Shell,最後在受害組織的網路上植入後門程式Samurai,以及木馬程式Ninja Trojan,以便進行橫向移動及遠端控制。

駭客組織Tropic Trooper使用Nimbda惡意程式發動攻擊

駭客利用新的程式語言打造惡意程式,進而規避資安系統偵測的情況,最近又有相關攻擊行動出現。資安業者Check Point揭露中國駭客組織Tropic Trooper近期的攻擊行動,駭客假借提供SMS Bomber程式的名義,偷渡名為Nimbda的惡意程式載入工具,此軟體是透過Nim程式語言打造而成。

攻擊者利用Nimbda在後臺將Shell Code注入記事本(Notepad.exe)的處理程序,從GitHub儲存庫下載惡意程式Yahoyah的變種,並將其解密後,利用挖空處理程序(Process Hollowing)的注入手法,透過dllhost.exe執行此惡意程式,收集受害電腦鄰近的無線網路SSID,以及特定的電腦資訊。

研究人員指出,駭客加密Yahoyah的手法相當特別,該組織透過兩輪的AES演算法倒序作業,而被研究人員稱做AEES。研究人員指出,這種加密手法使得資安人員要解析惡意程式的難度大幅提升。

中國駭客透過勒索軟體攻擊掩人耳目,在受害組織植入木馬程式

駭客發動勒索軟體攻擊的動機千奇百怪,但最近有人目的竟是為了轉移焦點,讓受害組織忽略他們真正的攻擊意圖。資安業者Secureworks發現,中國駭客組織APT10(該公司稱為Bronze Starlight)、APT41(Bronze Riverside)於去年初,開始利用惡意軟體載入器HUI Loader,入侵受害組織後開始投放勒索軟體,而該組織使用的勒索軟體相當多元,包含了LockFile、AtomSilo、Rook、Night Sky,以及Pandora。

但詭異的是,這些勒索軟體在受害組織活動的時間都很短,像是Night Sky僅有一天,而時間最長的是AtomSilo,但不超過3個月;再者,則是駭客攻擊的受害組織不算多,一年多總共加起來僅有21個。

經研究人員的調查,有四分之三的攻擊行動與中國政府的利益相關,且這些駭客所使用的工具與基礎設施疑似也來自中國政府資助,他們推測該組織發動勒索軟體攻擊的目的並非向受害組織要錢,而是打算利用這樣的攻擊事故掩蓋網路間諜行動。研究人員指出,對於駭客來說,發動勒索軟體攻擊不只能誤導受害組織因應攻擊事件的方向,還可以藉由這類工具湮滅相關證據。

安卓間諜軟體Hermit被用於攻擊敘利亞、哈薩克、義大利

上個月Google公布網路間諜公司Cytrox利用數個零時差漏洞對安卓手機下手,又有研究人員揭露其他間諜軟體的態勢。資安業者Lookout指出,他們發現義大利網路間諜公司RCS Lab與電信業者Tykelab Srl聯手,開發的間諜程式Hermit,自2019年開始在敘利亞、哈薩克、義大利等國下手,鎖定安卓與iPhone手機發動攻擊。其中,研究人員在今年4月,看到哈薩克政府疑似用來對當地民眾進行監控。

此間諜程式散布的管道,很可能是透過簡訊,並引誘使用者點選連結,駭客宣稱提供三星、Oppo,以及Vivo等廠牌推出的應用程式,但實際上若是使用者照做,手機就會被植入Hermit。此惡意軟體的功能,與其他網路間諜公司的產品類似,具備側錄使用者的聲音、收集聯絡人資訊、照片的能力。研究人員呼籲,使用者要對於簡訊連結特別提防。

網路間諜公司疑似與ISP狼狽為奸,攻擊義大利與哈薩克手機用戶,但背後原因很可能是當地政府主導

網路間諜公司無所不用其極想要為客戶監控特定人士的行蹤,但現在傳出有網路服務業者(ISP)參與其中,誘導受害者下載惡意程式。Google旗下的威脅情報小組,最近揭露了義大利網路間諜公司RCS Labs涉案的攻擊行動,該行動鎖定義大利與哈薩克的手機用戶展開攻擊,但研究人員發現,駭客針對iPhone用戶攻擊的過程裡,ISP竟然參與了部分行動,這些ISP疑似關閉受害者的行動網路服務,而能讓駭客假借恢復電信網路的名義,引誘受害者下載惡意程式。

根據研究人員的分析,受害者下載的檔案含有6款攻擊程式,這些惡意軟體利用了4個已知漏洞與2個零時差漏洞(CVE-2021-30883與CVE-2021-30983),一旦成功植入受害手機,駭客將能存取記憶體、安裝程式,或是建立檔案。由於iOS使用者只能透過App Store下載軟體,RCS Labs濫用了Apple Developer Enterprise Program簽章來繞過相關限制。

而針對安卓手機的部分,研究人員看到駭客假借提供三星應用程式的名義,來散布RCS Labs的間諜程式Hermit,這樣的發現與資安業者Lookout相同。但為何ISP會配合駭客從事網路間諜行為?研究人員認為,義大利與哈薩克的網路間諜攻擊行動很有可能是當地政府主導,而使得這些業者必須配合。

鎖定立陶宛政府的DDoS攻擊大幅增加,疑為俄羅斯的報復行動

自歐美多個國家於4月底提出警告,俄羅斯駭客不再只是集中火力攻擊烏克蘭,而是將範圍擴及曾經幫助烏克蘭的盟友,此後義大利在5月陸續遭到俄羅斯駭客組織Killnet的DDoS攻擊,但現在又有其他國家疑似遭到鎖定。

立陶宛國家網路安全中心(NKSC)於6月23日提出警告,指出針對該國政府單位的DDoS攻擊急劇增加,當地的運輸單位、金融機構,以及其他大型組織一度出現服務暫時中斷的現象,他們呼籲關鍵基礎設施要遵循NKSC的防護建議,來因應相關攻擊行動。

但攻擊者的身分為何?根據資安新聞網站Bleeping Computer的報導,名為Legion – Cyber Spetsnaz RF的俄羅斯駭客組織,透過Telegram頻道宣稱要對許多立陶宛組織發動攻擊,這些組織包含了大型銀行、物流業者、機場、能源業者等。該新聞網站認為,此駭客組織疑似因立陶宛政府封鎖部分俄羅斯的運輸管道,而打算藉此採取報復行動。

俄羅斯駭客APT28也使用Follina漏洞攻擊烏克蘭

俄羅斯駭客利用Follina漏洞(CVE-2022-30190)對烏克蘭發動攻擊的現象,可說是越來越氾濫,先前有駭客組織Sandworm自4月開始利用上述漏洞,但現在有更多有更多攻擊行動。烏克蘭電腦緊急應變小組(CERT-UA)於6月20日發布資安通告,指出俄羅斯駭客組織APT28利用戰爭警報的名義,散布名為Nuclear Terrorism A Very Real Threat.rtf的惡意檔案,受害者一旦不慎開啟,電腦將會下載HTML檔案並執行JavaScript指令碼,並觸發Follina漏洞,進而植入惡意程式CredoMap。

CERT-UA也發現另一組利用Follina漏洞的駭客UAC-0098,他們假借烏克蘭政府財政部的名義,宣稱對方尚未繳稅,發送Imposition ofpension.docx的檔案,進而於受害電腦投放Cobalt Strike的Beacon。由於烏克蘭戰爭尚未結束,上述的釣魚郵件攻擊可能會不斷發生,CERT-UA呼籲關鍵基礎設施的員工應特別提高警覺。

研究人員揭露新的NTLM中繼攻擊手法DFSCoerce

去年7月研究人員公布名為PetitPotam的漏洞,攻擊者可藉由微軟的加密檔案系統遠端協定(EFSRPC),來發動NTLM中繼(NTLM Relay)攻擊,如今又有新的管道能發動類似的攻擊。

研究人員Filip Dragovic近期公布名為DFSCoerce的攻擊手法,並提供概念性驗證(PoC)攻擊指令碼。這個指令碼同樣是透過利用PetitPotam漏洞為基礎打造,但不同的是這次研究人員沒有使用EFSRPC,而是利用了Windows分散式檔案系統(DFS)通訊協定MS-DFSNM,來達到發動NTLM中繼攻擊的目的。

關於上述的攻擊指令碼,資安新聞網站Bleeping Computer接到其他研究人員的通報,這些研究人員表示,這個手法確實很容易讓權限不高的使用者成為網域管理員。該新聞網站呼籲,組織應透過微軟先前針對PetitPotam漏洞的緩解措施,來防範類似的NTLM中繼攻擊。

駭客有可能更動Office 365配置讓多版本備份失效,並對OneDrive、SharePoint用戶發動勒索軟體攻擊

在防範勒索軟體的威脅態勢裡,不少資安人員會建議透過雲端的檔案共享服務來備份資料,來增加重要資料的可用性,一旦遭到相關攻擊,有機會從這些服務提供的多版本備份功能來復原檔案,然而最近有研究人員找到能針對這類系統用戶發動勒索軟體攻擊的手法。

資安業者Proofpoint指出,他們針對Office 365(或Microsoft 365)的服務裡,發現了潛藏危險的機制,使得駭客可加密儲存在SharePoint或OneDrive服務裡的檔案,同時因為多版本備份功能失效,使受害者在無法復原檔案,向駭客支付贖金來換取解密金鑰。

為什麼會發生這樣的狀況?攻擊者可藉由微軟的API、CLI指令碼,或是PowerShell指令碼,先是挾持組織部分用戶的SharePoint或OneDrive帳號並進行接管,然後竄改系統保留先前版本的數量上限配置。以OneDrive為例,通常預設是500個版本,但在這邊駭客會把保留版本數量竄改成1個,然後攻擊者再對檔案進行2次的加密處理,使得SharePoint或OneDrive上存放的檔案,以及保留的先前版本都遭到加密,受害者無法將檔案復原。

該公司指出,上述手法主要影響存放於雲端服務的檔案,若是企業採用混合雲模式部署SharePoint,或是使用者透過用戶端軟體留存OneDrive的檔案,就有機會倖免於難。他們將上述發現進行通報,微軟表示,檔案版本的組態配置功能運作正常,若是用戶無法自行復原檔案,透過該公司客服亦有機會還原14天前的版本。

勒索軟體AvosLocker利用Log4Shell漏洞發動攻擊

自Log4Shell漏洞於去年年底被揭露後,不時有駭客鎖定採用Apache Log4j元件的遠距辦公系統VMware Horizon下手,而最近也有勒索軟體駭客跟進而引起研究人員關注。

思科在3月7日,接獲客戶遭到勒索軟體AvosLocker攻擊的事故通報,而駭客入侵受害組織的媒介,就是經由VMware Horizon的存取閘道Unified Access Gateways(UAG)元件,存取曝露於網際網路的ESXi伺服器,此UAG存在Log4Shell相關漏洞,包含了CVE-2021-44228、CVE-2021-45046、CVE-2021-45105,以及CVE-2021-44832,使得攻擊者能在沒有取得root權限下執行程式碼,進而運用多種商業軟體發動寄生攻擊(LoLBins)。

研究人員調查後發現,駭客至少1個月前(2月7日)就開始入侵受害組織,並於2月11日利用Windows伺服器上的WMI提供者主機(WMI Provider Host,WmiPrvSE.exe)程式,以DownloadString的方法執行加密PowerShell程式碼。直到3月4日,駭客才再度以類似的手法執行PowerShell指令,並於6日投放滲透測試工具Sliver、Cobalt Strike,以及網路盤點工具SoftPerfect Network Scanner,最後駭客於8日投放AvosLocker,並利用軟體部署工具PDQ Deploy來在網路環境散布勒索軟體。

該公司指出,他們觀察到AvosLocker駭客正在招兵買馬,相關攻擊行動日後可能會大幅增加,呼籲組織不只要透過靜態檢測機制,也要留意資安系統發出的重要警訊,才能防範這種攻擊行動。

駭客持續利用Log4Shell漏洞攻擊VMware遠距工作系統

自去年12月Log4Shell漏洞公布後,不時傳出有駭客用來攻擊攻擊VMware Horizon遠距工作系統,這樣的情況目前仍在持續當中,而使得美國政府提出警告。美國網路安全暨基礎設施安全局(CISA)、美國海岸警衛隊網路司令部(CGCYBER)聯手,提出警告指出,駭客迄今仍針對尚未修補Log4Shell漏洞的VMware Horzion、Unified Access Gateway伺服器下手,進而取得受害組織網路的初始存取權限,CISA與CGCYBER提供相關攻擊細節,並呼籲組織應儘速安裝更新軟體,同時也要儘可能避免該系統直接曝露於網際網路上。

勒索軟體DeadBolt、eCh0raix再度攻擊威聯通NAS

鎖定NAS設備的勒索軟體行動近期又再度升溫。威聯通(QNAP)於6月17日發布資安通告,表示他們近期偵測到新的勒索軟體DeadBolt攻擊行動,攻擊者疑似針對執行QTS 4.x版作業系統的威聯通NAS而來,該公司呼籲用戶應使用最新版本的QTS或QuTS hero作業系統,來防範相關攻擊行動。

無獨有偶,另一波針對該廠牌NAS的勒索軟體攻擊也引起關注。根據資安新聞網站Bleeping Computer於6月18日的報導,有多個威聯通用戶在該網站的論壇表示,他們的NAS遭到勒索軟體ech0raix攻擊,最早通報的事故約發生在6月8日。雖然ech0raix也曾攻擊群暉(Synology)的NAS設備,但在這波攻擊行動中,似乎只有威聯通的設備受害。

Atlassian Confluence重大漏洞再傳被用於投放挖礦軟體與勒索軟體

自6月初Atlassian修補Confluence重大漏洞CVE-2022-26134,相關的漏洞攻擊行動就不斷傳出。資安業者Sophos於6月16日指出,他們近日觀察到數起Confluence漏洞攻擊行動,並指出大部分的運作過程是自動化進行,其中有些攻擊者透過無檔案式的Web Shell,鎖定Linux主機投放漏洞工具包PwnKit,或是挖礦軟體z0miner。

針對執行Windows作業系統的受害伺服器,研究人員則是看到駭客執行PowerShell命令,推送Cobalt Strike的Shell Code的事故,他們也發現有2次鎖定Windows伺服器的Cerber勒索軟體攻擊。研究人員也提供入侵指標(IoC)供組織識別相關攻擊行動。

日本汽機車零件製造商Nichirin遭勒索軟體攻擊

最近半年,駭客鎖定日本的汽車零件供應商發動勒索軟體攻擊,已有數起事故,現在又再度出現有相關業者受害。根據資安新聞網站Bleeping Computer的報導,生產多種汽機車軟管零件的Nichirin,於6月22日發布聲明指出,他們的美國子公司Nichirin-Flex USA於14日遭到勒索軟體攻擊,導致相關訂單的出貨可能會受到影響,美國分公司網站一度於17日早上發生故障而無法存取。該公司表示,他們正在調查駭客如何入侵,並警告員工或是客戶有可能會收到假冒該公司的惡意郵件。

駭客透過語音訊息發動網釣攻擊,意圖竊取美國大型企業的Microsoft 365帳密

利用語音留言的網路釣魚攻擊,不時有事故傳出,最近又有攻擊行動出現,鎖定美國的大型企業而來。資安業者Zscaler發現利用語音訊息作為幌子的釣魚郵件攻擊,目標包含了美國軍方、安全解決方案供應商、醫療保健與製藥廠,以及製造商的供應鏈等,竊取這些組織用戶的Microsoft帳密。

駭客在郵件內容宣稱,對方有尚未讀取的語音郵件,需要開啟附件的HTML檔案,一旦收信人開啟,就有可能被攻擊者引導到人機驗證系統CAPTCHA,通過驗證後再前往假造的Microsoft 365登入頁面,攻擊者進而有機會挾持對方的微軟帳號。

由於在寄件者的名稱中,駭客使用了收信人公司的網域名稱,而很容易讓人以為是從公司寄來的通知信件,但根據研究人員的分析,這些釣魚郵件實際上來自日本的郵件伺服器,且上述的登入網頁也不在微軟網域,他們呼籲使用者要提高警覺因應。

Arm電腦在安裝Patch Tuesday更新程式後,衍生Azure AD登入異常現象,微軟緊急發布修補程式

微軟於6月14日發布例行修補(Patch Tuesday)更新,但傳出不少用戶更新後造成部分功能無法使用,該公司於20日推出緊急更新KB5016138、KB5016139,來解決搭載Arm晶片的Windows電腦無法正常存取Azure AD的問題。微軟指出,上述情況影響需要使用Azure AD帳號存取的應用程式與服務,例如Teams、Outlook,或是VPN連線等,但網頁版本不受影響,若是使用者無法及時安裝相關更新,可暫時使用網頁版本來因應。上述問題並未影響採用Intel與AMD處理器的電腦。

 

【漏洞與修補】

OT:Icefall漏洞恐導致10個廠牌的OT裝置曝險

操作科技(OT)環境系統的不安全,很有可能與設計當初並未將資安納入規畫,而使得攻擊者能加以利用。資安業者Forescout揭露名為OT:Icefall的一組漏洞,此漏洞組由56個漏洞組成,漏洞類型涵蓋層面甚廣,可能導致攻擊者能遠端執行程式碼、竊取帳密、竄改韌體或是組態設置,以及繞過身分驗證等,影響Honeywell、Motorola、Omron、Siemens、Emerson、JTEKT、Bently Nevada、Phoenix Contract、ProConOS,以及Yokogawa等廠牌的OT設備。研究人員指出,他們公布的這些漏洞,已經成為針對工控環境發動攻擊的惡意軟體利用的目標,這些惡意軟體包含了俄羅斯駭客針對烏克蘭發電廠所使用的Industroyer 2與CaddyWiper。

研究人員指出,有7成4易受到攻擊的系統通過相關安全認證,這也突顯相關檢驗程序涵蓋的資安面向可能有所不足,他們呼籲用戶應參考系統製造商提供的資安通告,了解漏洞的影響範圍,以及相關的緩解措施。

西門子公布與修補15個工控網路管理系統的漏洞

用於操作科技(OT)環境的網路管理系統,一旦出現漏洞,有可能讓攻擊者用於掌控OT網路環境。資安業者Claroty近日揭露,西門子旗下的SINEC網路管理系統(NMS)漏洞,西門子總共登錄為15個CVE編號進行列管,並發布1.0 SP2 Update 1予以修補。研究人員指出,這些漏洞中最值得留意的是CVE-2021-33723與CVE-2021-33722,前者為能讓攻擊者藉由不適當的權限挾持帳號,後者則是路徑穿越(Path Traversal)漏洞,攻擊者可經由受限制的資料夾,以及不適當的檔案名稱限制,來加以利用,CVSS風險評分為8.8分與7.2分。

但這兩個漏洞的危險之處,在於駭客可以將其串連,進而取得NT AUTHORITY\SYSTEM的權限,不只能遠端執行程式碼,還能破壞SINEC管理的西門子設備。由於SINEC專門用於集中管控與設定OT網路環境中的PLC裝置,以及其他相關的工業控制系統(ICS)裝置,攻擊者一旦掌握了SINEC,就有機會在受害組織的OT環境站穩腳跟,且成功利用上述2個漏洞後,攻擊者還能順勢運用其他13個漏洞,研究人員呼籲企業應儘速升級新版SINEC。

威聯通NAS設備恐受到PHP漏洞波及,用戶應儘速更新作業系統

威聯通於6月22日發布資安通告,指出旗下的NAS設備,可能會受到PHP漏洞CVE-2019-11043影響,若Nginx組態配置不當,可能會受到此漏洞影響,一旦攻擊者利用這項漏洞,就有可能遠端執行程式碼,呼籲用戶更新QTS、QuTS hero來防範相關攻擊。該公司表示,這項漏洞可能會影響QTS 4.5與5.0版、QuTS hero h4.5版與h5.0版,以及QuTScloud c5.0以上的作業系統,他們推出QTS 5.0.1.2034 build 20220515、QuTS hero h5.0.0.2069 build 20220614等版本予以修補。

不過,威聯通指出,上述漏洞需要某些元件存在才會形成,這包含了Nginx與php-fpm兩項元件都必須在執行的狀態,才會觸發該漏洞。由於在該廠牌NAS預設的組態中,並未安裝Nginx元件,有可能不會受到上述漏洞影響。

思科公布防火牆產品線重大漏洞

思科近期針對旗下產品發布資安通告,這些漏洞存在於防火牆與郵件安全系統。其中,CVSS風險評分最高的是CVE-2022-20829,該漏洞存在於思科旗下的ASA防火牆產品,評分高達9.1分,一旦取得管理者權限的攻擊者利用這項漏洞,可上傳含有惡意程式碼的ASDM映像檔到前述的防火牆系統,該公司指出,防火牆必須執行ASA軟體9.18.2、ASDM軟體7.8.1.150,以及包含ASDM-IDM載入器1.9版的ASDM映像檔,才能完全防堵這項漏洞,且沒有安裝修補程式以外的緩解措施。目前思科已推出了ASDM軟體7.8.1.150版,但ASA軟體的修補程式可能要到8月才能提供。

檔案共享服務Mega修補加密機制可能遭到破解的漏洞

加密演算法的漏洞,有可能讓標榜資料點對點加密的檔案共享服務,用戶資料遭到洩露。瑞士蘇黎世聯邦理工學院的研究人員於3月24日,向前身為全球知名免費檔案儲存與分享網站MegaUpload的Mega通報有關加密演算法的5個漏洞,近期亦公布5種可能的利用攻擊手法,這些手法多半仰賴竊得並解密RSA金鑰進行。

研究人員指出,Mega標榜以用戶端控制的全面加密(User-Controlled End-to-End Encryption,UCE)機制來傳出資料,該公司透過使用者登入Mega的密碼來產生加密金鑰,所有使用者的RSA金鑰都存放在Mega伺服器,該公司卻沒有採取完整性保護的相關措施,使得研究人員能透過中間人攻擊(MitM)的手法,來取得特定用戶的RSA金鑰,甚至有可能逆向工程解密AES-ECB主鑰,以及整個金鑰組。

Mega獲報後於6月21日發布新版用戶端程式,修補了其中3個漏洞,並承諾將於後續版本修補另外2個漏洞,該公司亦強調要利用這些漏洞的門檻相當高,但確實突破該公司提供的資料保護機制,使得他們相當重視這些研究人員通報的內容。

研究人員揭露微軟二度修補的RDP漏洞細節

資安業者CyberArk於今年1月向微軟通報CVE-2022-21893,並得到修補,但研究人員後來又發現可利用上述漏洞的手法,使得微軟再度製作了新的修補程式。該業者最近公布漏洞的相關細節。研究人員指出,CVE-2022-21893存在於遠端桌面連線(RDP),一旦攻擊者加以利用,就機會透過有多個使用者存取的RDP伺服器,存取其他使用者連線到遠端桌面所使用的用戶端電腦(Clinet),且無須取得特殊權限就能觸發前述漏洞。

研究人員指出,這項漏洞還允攻擊者檢視或竄改RDP連線用戶的資料,像是剪貼簿、傳輸的檔案,甚至是智慧卡的PIN碼等,而且,攻擊者能藉此冒用他人帳號存取RDP主機。

針對微軟首度推出的修補內容,研究人員表示,該公司限縮使用管道(Pipe)的權限,避免一般使用者建立具名管道(Named Pipe)伺服器,來防堵漏洞的觸發,但若是攻擊者使用相同名稱建立多個管道個體(Pipe Instance),則作業系統第一次呼叫的CreateNamedPipe()函式,將適用於其他相同名稱的個體,而能突破上述的修補程式,微軟獲報後於4月份的例行修補(Patch Tuesday)再度提供更新軟體,並將後續修補的部分登錄為CVE-2022-24533列管。

Google發布電腦版Chrome 103,並修補14個漏洞

Google於6月22日發布電腦版Chrome 103版,主要加入了HTTP 103狀態代碼來協助瀏覽器預載部分內容,來提升網頁的載入速度,但在此同時,該公司也修補了14個漏洞,其中較為嚴重的是Base元件的記憶體釋放後使用(UAF)漏洞CVE-2022-2156,此外,與UAF有關的漏洞還有CVE-2022-2157、CVE-2022-2161、CVE-2022-2163,分別涉及Interest groups、WebApp Provider、Cast UI and Toolbar等元件。Google宣稱,他們向通報漏洞的研究人員發出了4.4萬美元獎勵。

 

【資安防禦措施】

美、德、荷、英4國執法單位聯手,切斷俄羅斯殭屍網路RSOCKS基礎設施運作

針對攻擊者集結物聯網(IoT)裝置作為殭屍網路大軍的情況,有駭客建置了租賃服務,出租受到控制的裝置讓他人加以運用,而遭到執法單位圍剿。美國司法部(DOJ)於6月16日宣布,他們與德國、荷蘭、英國的執行機構聯手,摧毀俄羅斯駭客建立的殭屍網路RSOCKS基礎設施。

該殭屍網路主要由物聯網裝置組成,裝置類型相當廣泛,不只包含了電腦和行動裝置,還有工業控制系統(ICS)、路由器、影音串流裝置,以及智慧家電等。美國司法部指出,該殭屍網路提供租賃服務,客戶付費後就能藉由這些裝置的流量來發動攻擊──每天30美元可使用2千個裝置的流量、每天200美元則可運用9萬個裝置的流量。RSOCKS用戶很可能運用上述服務發動大規模的帳號填充(Credential Stuffing)攻擊,或是寄送釣魚郵件。為了避免客戶發動攻擊的來源IP位址曝光,RSOCKS也提供代理伺服器的服務(Proxy Service),將受害裝置的IP位址分配給客戶使用。

根據美國聯邦調查局(FBI)於2017年開始著手進行的調查,當時全球至少有32.5萬臺裝置遭到RSOCKS擺布,其中有不少位於該國加州的聖地牙哥郡。

人機驗證系統CAPTCHA惱人又可能影響用戶隱私!蘋果計畫在新版作業系統加入自動身分驗證功能,繞過此種機制

蘋果於6月初的開發者大會WWDC上,表示人機驗證系統CAPTCHA不只會影響使用者體驗,還可能危害用戶隱私,對此,他們宣布將以私有存取令牌(Private Access Tokens,PAT)來取代。而最近有開發人員在測試版iOS 16與iPadOS 16發現,蘋果很可能已經在測試相關功能──他們看到蘋果在Apple ID新增了自動身分驗證(Automatic Verification)的功能,啟用後將會透過iCloud自動檢驗使用者的裝置與帳號,而有可能讓使用者直接繞過應用程式或網頁上的CAPTCHA,上述機制未來也有機會在下一版macOS Ventura出現。

 

【資安產業動態】

Intel宣布恢復舉辦SGX社群日活動

為了推廣機密運算與自家公司開發的軟體防護延伸技術(SGX),英特爾實驗室曾於2020年7月中舉辦第二屆SGX Community Day,為期兩天,當時有超過1百位研究人員、工程師參加,他們來自英特爾、其他公司、大學、政府單位,並且展示了6種支援SGX應用的軟體框架,例如:Graphene、Occlum、Enarx、Mage、SCONE,能讓一般Linux應用程式、多種見證框架,以及Rust、WebAssembly執行時期元件無需修改,即可在SGX執行。

或許是因為COVID-19的疫情關係,2021年並未舉辦SGX Community Day,但今年6月英特爾實驗室首席工程師Mona Vij在他們公司的社群部落格,宣布英特爾將於7月26日舉辦第三屆SGX Community Day,地點是美國俄勒岡州希爾斯伯勒市,屆時以實體與線上混合的方式進行,大會議程將於6月24日公布。

 

【其他資安新聞】

紅帽RHEL宣布支援物聯網裝置安全規範FDO

解壓縮軟體7-Zip加入MoTW支援,防範從網路下載的的威脅

Adobe Acrobat、Acrobat Reader疑似會干擾防毒軟體掃描PDF檔案

惡意軟體Matabuchus被用於投放Cobalt Strike

安卓木馬Brata鎖定英國、義大利、西班牙而來

美國大型銀行Flagstar資料外洩,波及150萬客戶

英國快遞業者Yodel遭到網路攻擊

電子佈告欄服務Reddit修補CSRF漏洞

SMA流程自動化系統OpCon修補重大漏洞,攻擊者恐用於取得root權限

思科RV路由器存在重大漏洞,攻擊者可執行任意指令或造成服務中斷

熱門新聞

Advertisement