【資安日報】2022年10月6日，新的ProxyNotShell緩解措施可被繞過、研究人員發現Akamai組態錯誤配置漏洞

針對如何防堵Exchange零時差漏洞ProxyNotShell的緩解措施，有人先在10月3日發現微軟提供的方法可被繞過，並企圖改良，但現在被發現仍不夠周延，而出現了第3個版本的緩解措施。這樣在一個星期內出現數次修改Exchange配置的情況，恐怕使得IT人員疲於奔命。

有研究人員找到Akamai組態配置錯誤的漏洞，幾乎該公司的客戶都可能受到影響。

自帶驅動程式（BYOVD）的攻擊手法最近越來越常出現！我們週一報導北韓駭客利用含有漏洞的Dell驅動程式發動攻擊，現在勒索軟體駭客組織BlackByte也採取此種手法，利用微星舊版驅動程式來停用防毒軟體。

【攻擊與威脅】

研究人員針對ProxyNotShell漏洞提出的緩解措施仍有不足之處，有人提出新的解法

9月30日，微軟公布名為ProxyNotShell的Exchange漏洞（CVE-2022-41040及CVE-2022-41082）緩解措施，但事隔數日，研究人員Jang發現能被輕易繞過，並提出新的解決方案，獲得微軟採用。然而，Jang提出新的URL過濾條件，有研究人員發現仍然不夠周延。

研究人員Pieter Hiele發現，Jang的過濾字串並未考慮到字元編碼的問題，而使得防護不足，研究人員Kevin Beamont指出，攻擊者只要對其中一個字母進行編碼，就足以繞過。Pieter Hiele也提出新的URL過濾規則並獲微軟採用。

另一方面，資安業者GreyNoise已偵測到24個IP位址正在掃描存在ProxyNotShell漏洞的Exchange Server，並確認其中22個是惡意IP位址。

勒索軟體BlackByte利用含有漏洞的微星驅動程式，來停用防毒軟體

又有駭客採取「自帶驅動程式（Bring Your Own Vulnerable Driver，BYOVD）」攻擊手法，來停用電腦防毒軟體！資安業者Sophos發現近期的勒索軟體BlackByte，挾帶了舊版微星顯示卡公用軟體Afterburner所提供的驅動程式RTCore64.sys，此驅動程式存在漏洞CVE-2019-16098，攻擊者可用於提升權限，並以高權限執行程式碼。研究人員指出，上述含有漏洞的驅動程式，能允許使用者模式執行的處理程序直接存取I/O控制的程式碼，進而停用防毒軟體或EDR系統的代理程式。

這種自帶驅動程式的攻擊手法，近期還有北韓駭客Lazarus利用存在漏洞的Dell驅動程式，以及原神（Genshin Impact）防作弊元件被用於勒索軟體攻擊的情況。

後門程式Maggie鎖定微軟SQL Server而來

資安業者DCSO揭露針對微軟SQL Server而來的後門程式Maggie，此惡意軟體為程式庫DLL檔案，其內部的處理程序為SQL Server「擴充預存程序（Extended Stored Procedure）」，一旦攻擊者將其載入伺服器，就能使用SQL語法查詢的方式來執行多種命令，並能在遭到感染的伺服器所屬網路環境做為橋接器，來處理檔案。

再者，這個後門也具備暴力破解來入侵其他SQL Server主機的能力，並在成功登入管理帳號後，加入特定的後門使用者帳號。研究人員總共發現全球有250臺伺服器受到影響，駭客攻擊的目標主要集中於亞太地區。

駭客組織Water Labbu入侵詐騙網站，轉走受害者錢包的加密貨幣

趨勢科技發現專門針對加密貨幣詐騙網站下手的駭客集團Water Labbu，這些駭客入侵網站並植入惡意JavaScript程式碼，一旦偵測到存取網站的使用者錢包內有鉅款，其程式碼就會假冒詐騙網站的名義發送授權請求，從錢包移轉泰達幣（USDT）給Water Labbu。研究人員總共發現45個詐騙網站遭到入侵，駭客從9個受害者竊得316,728個泰達幣（約31.6萬美元）。

繼Optus之後，另一家澳洲大型電信業者Telstra也傳出資料外洩事故

根據路透社的報導，澳洲最大的電信業者Telstra傳出員工資料外洩的情況，原因是他們的第三方合作夥伴遭到入侵所致。該媒體引述當地媒體的報導指出，該公司發送給員工的電子郵件指出，受影響的範圍涵蓋現任及離職員工，總共約有3萬人受到影響，外洩的資料為姓名與電子郵件信箱。針對此事，Telstra發言人認為，攻擊者此時公布這些外洩資料，很有可能是想要趁著Optus外洩事故獲利。但對於實際上有多少人受到影響，該公司沒有對外說明。

沙烏地阿拉伯、阿拉伯聯合大公國、新加坡的麥當勞及肯德基客戶遭網釣攻擊鎖定

資安業者CloudSEK揭露針對麥當勞、肯德基兩家大型速食業者客戶的網路釣魚攻擊，這起攻擊行動針對沙烏地阿拉伯、阿拉伯聯合大公國、新加坡的電腦使用者而來，企圖騙取他們的訂餐所使用的信用卡資料。

研究人員以其中一個釣魚網站為例，駭客製作與Google Play市集樣貌相似的網站，提供使用者下載名為KFC Saudi Arabia 4+的「App」，使用者按下安裝按鈕後，電腦版Chrome瀏覽器的首頁就會被加入KFC Saudi Arabia 4+「應用程式」，若是藉此訂購肯德基餐點，信用卡資料就有可能遭到側錄。研究人員指出，這類釣魚網站不只會檢查受害者的信用卡卡號，甚至有的還會要求輸入OTP簡訊認證碼。

【漏洞與修補】

研究人員發現Akamai組態錯誤配置漏洞

兩名研究人員Jacopo Tediosi、Francesco Mariani發現，Akamai在處理HTTP標頭的錯誤配置，有可能讓攻擊者得以利用任意內容來毒化快取。研究人員指出，這項弱點是結合了HTTP挾持與逐節點（hop-by-hop）標題濫用手法，將影響使用Akamai服務的大多客戶，包含美國國防部、PayPal、Airbnb、微軟、蘋果等，攻擊者可利用這項漏洞隨意竄改受害公司的網站外觀及行為。