【資安日報】2022年9月14日，趨勢企業防毒軟體漏洞已出現攻擊行動、研究人員揭露解鎖特斯拉Model Y的中繼攻擊手法

趨勢科技針對企業防毒軟體Apex One用戶發布資安通告，指出已在4月修補的漏洞被用於攻擊行動，呼籲用戶應儘速安裝新版的伺服器元件，以及用戶端的代理程式。

針對特斯拉電動汽車進行中繼攻擊，然後將車門打開的情況，這幾年已有多組研究人員找到相關手法，而最近有研究機構發現新的攻擊途徑，當中最大的不同之處，就是偷車賊必須兵分兩路，同時接近車輛與車主，而有可能在人車分隔兩地的情況下將車偷走。

網管人員用於遠端管理的工具PsExec，已出現被駭客濫用的情況，現在有研究人員指出，光是封鎖該工具主要使用的445埠，有可能無法防堵相關攻擊！對此，他們呼籲IT人員也要監控RPC連線行為來察覺疑似遭到攻擊的跡象。

【攻擊與威脅】

研究人員揭露解鎖特斯拉Model Y的中繼攻擊手法

特斯拉標榜他們車輛的網路安全防護措施，而能難以遭到破解，但現在又有研究人員找到能夠突破相關防護的手法。資安研究機構IOActive揭露針對特斯拉Model Y的NFC中繼攻擊手法，兩名偷車賊分工合作，一名靠近汽車，另一名則試圖接近車主（距離2呎內），進而透過車主持有的NFC鑰匙卡片，或是能夠解鎖車輛的手機，將Model Y解鎖。

靠近汽車的駭客使用名為Proxmark 3 RDV4的通訊設備，啟動駕駛座門柱上的NFC接收器的連線，並將相關訊號以Wi-Fi或藍牙傳送到另一名駭客所持有的手機，目的是與車主的NFC卡片或手機通訊，然後將訊號回傳到汽車進行解鎖。

研究人員指出，這樣的手法，有可能讓駭客在車主與Model Y相隔兩地的情況下，藉由網際網路來發動攻擊。不過，若是車主啟用PIN碼保護功能，就有機會防堵駭客以上述手法開走車輛，但小偷仍能打開車門竊取貴重物品。

勒索軟體DeadBolt攻擊行動兩個月爆增近7倍，臺灣受害設備數量全球排行第4

主要鎖定威聯通NAS的勒索軟體Deadbolt，大規模的攻擊行動今年已出現數起，但相關威脅到了9月初有急劇惡化的現象。

根據資安業者Censys的觀察，在6月27日有2,459臺設備遭到感染，到了7月10日一舉增加至3,214臺，於7月13日更突破7千大關。但值得留意的是自9月2日開始，針對CVE-2022-27593的零時差漏洞攻擊出現，遭到感染的設備數量首度破萬，達到13,802臺，3日、4日更增加到了18,725臺、19,029臺的高峰。換言之，經過兩個多月，DeadBolt感染設備數量增加了約674%。

而從受害設備的地區分布來看，美國最多，其次是德國與義大利，臺灣設備的數量為第4多。

駭客透過RPC呼叫的方式執行PsExec，可由135埠攻入，企業需調整網路埠防護政策加以控管

企業的IT人員所使用的遠端管理工具PsExec，也可能成為駭客利用的對象，用來執行、散播惡意程式，但現在有研究人員揭露新的攻擊手法，而讓組織更加難以防範相關威脅。

資安業者Pentera藉由以Python打造的網路通訊套件Impacket，讓原本主要使用445網路連接埠執行的PsExec，完全改以135埠執行，從而突破許多IT人員封鎖445埠來防堵駭客將其用於寄生攻擊（LOLBins）的情況。研究人員打造的PsExec變種改以RPC呼叫的方式連線，無須使用SMB協定與445埠就能執行傳輸資料，而能突破許多網路防護系統的監控、封鎖。

該公司認為，RPC呼叫經常被企業忽視而沒有採取適當的監控，他們呼籲管理者應密切監控這種駭客偏好的網路通訊協定。

【漏洞與修補】

趨勢科技於9月13日，針對企業防毒軟體Apex One的用戶發布資安通告，該公司於4月進行修補的CVE-2022-40139已出現攻擊行動，呼籲用戶應儘速安裝更新軟體。此漏洞與用戶端程式的版本復原機制有關，起因是部分元件會出現不適當驗證，攻擊者可透過伺服器管理員身分，要求存在漏洞的用戶端電腦下載未經驗證的版本復原套件，進而執行任意程式碼，CVSS風險評分為7.2分，無論是企業內部建置或是採用SaaS雲端服務的版本都受到影響。

除了上述已遭利用的漏洞，這次趨勢也修補了5個漏洞，其中最嚴重的是登入驗證旁路漏洞CVE-2022-40144，CVSS風險評分為8.2分。

微軟公布9月例行修補，揭露63個漏洞的資訊與緩解措施

9月13日微軟發布了每月例行修補（Patch Tuesday），總共修補了63個漏洞，其中有5個為重大等級，值得留意的是，有3個為已被公開細節的零時差漏洞，且當中的CVE-2022-37969被用於攻擊行動。

此遭到利用的漏洞與通用記錄檔檔案系統（CLFS）有關，可被攻擊者用於擴張權限，駭客往往會透過社交工程攻擊，誘導使用者開啟連結來觸發漏洞，甚至有可能接管受害電腦。雖然微軟沒有透露該漏洞被用於攻擊的廣泛程度，但有4名資安人員向微軟通報，代表可能有多組駭客已經開始用於攻擊行動。

【資安產業動態】

臺灣資安業者TeamT5引進日本創投6百萬美元A輪策略性募資

9月14日，臺灣資安業者杜浦數位安全（TeamT5）舉辦線上記者會宣布，他們獲得日本大型創投業者Jafco、伊藤商事，以及當地大型資安業者Macnica的A輪創投資金，預計募資金額超過600萬美元。TeamT5創辦人兼執行長蔡松廷（TT）表示，獲得這筆資金後，他們將在2年內站穩日本市場，並建立相關團隊，待日本子公司營收超越總公司時，再進行B輪募資。