針對如何防堵Exchange零時差漏洞ProxyNotShell的緩解措施,有人先在10月3日發現微軟提供的方法可被繞過,並企圖改良,但現在被發現仍不夠周延,而出現了第3個版本的緩解措施。這樣在一個星期內出現數次修改Exchange配置的情況,恐怕使得IT人員疲於奔命。

有研究人員找到Akamai組態配置錯誤的漏洞,幾乎該公司的客戶都可能受到影響。

自帶驅動程式(BYOVD)的攻擊手法最近越來越常出現!我們週一報導北韓駭客利用含有漏洞的Dell驅動程式發動攻擊,現在勒索軟體駭客組織BlackByte也採取此種手法,利用微星舊版驅動程式來停用防毒軟體。

【攻擊與威脅】

研究人員針對ProxyNotShell漏洞提出的緩解措施仍有不足之處,有人提出新的解法

9月30日,微軟公布名為ProxyNotShell的Exchange漏洞(CVE-2022-41040及CVE-2022-41082)緩解措施,但事隔數日,研究人員Jang發現能被輕易繞過,並提出新的解決方案,獲得微軟採用。然而,Jang提出新的URL過濾條件,有研究人員發現仍然不夠周延。

研究人員Pieter Hiele發現,Jang的過濾字串並未考慮到字元編碼的問題,而使得防護不足,研究人員Kevin Beamont指出,攻擊者只要對其中一個字母進行編碼,就足以繞過。Pieter Hiele也提出新的URL過濾規則並獲微軟採用。

另一方面,資安業者GreyNoise已偵測到24個IP位址正在掃描存在ProxyNotShell漏洞的Exchange Server,並確認其中22個是惡意IP位址。

勒索軟體BlackByte利用含有漏洞的微星驅動程式,來停用防毒軟體

又有駭客採取「自帶驅動程式(Bring Your Own Vulnerable Driver,BYOVD)」攻擊手法,來停用電腦防毒軟體!資安業者Sophos發現近期的勒索軟體BlackByte,挾帶了舊版微星顯示卡公用軟體Afterburner所提供的驅動程式RTCore64.sys,此驅動程式存在漏洞CVE-2019-16098,攻擊者可用於提升權限,並以高權限執行程式碼。研究人員指出,上述含有漏洞的驅動程式,能允許使用者模式執行的處理程序直接存取I/O控制的程式碼,進而停用防毒軟體或EDR系統的代理程式。

這種自帶驅動程式的攻擊手法,近期還有北韓駭客Lazarus利用存在漏洞的Dell驅動程式,以及原神(Genshin Impact)防作弊元件被用於勒索軟體攻擊的情況。

後門程式Maggie鎖定微軟SQL Server而來

資安業者DCSO揭露針對微軟SQL Server而來的後門程式Maggie,此惡意軟體為程式庫DLL檔案,其內部的處理程序為SQL Server「擴充預存程序(Extended Stored Procedure)」,一旦攻擊者將其載入伺服器,就能使用SQL語法查詢的方式來執行多種命令,並能在遭到感染的伺服器所屬網路環境做為橋接器,來處理檔案。

再者,這個後門也具備暴力破解來入侵其他SQL Server主機的能力,並在成功登入管理帳號後,加入特定的後門使用者帳號。研究人員總共發現全球有250臺伺服器受到影響,駭客攻擊的目標主要集中於亞太地區。

駭客組織Water Labbu入侵詐騙網站,轉走受害者錢包的加密貨幣

趨勢科技發現專門針對加密貨幣詐騙網站下手的駭客集團Water Labbu,這些駭客入侵網站並植入惡意JavaScript程式碼,一旦偵測到存取網站的使用者錢包內有鉅款,其程式碼就會假冒詐騙網站的名義發送授權請求,從錢包移轉泰達幣(USDT)給Water Labbu。研究人員總共發現45個詐騙網站遭到入侵,駭客從9個受害者竊得316,728個泰達幣(約31.6萬美元)。

繼Optus之後,另一家澳洲大型電信業者Telstra也傳出資料外洩事故

根據路透社的報導,澳洲最大的電信業者Telstra傳出員工資料外洩的情況,原因是他們的第三方合作夥伴遭到入侵所致。該媒體引述當地媒體的報導指出,該公司發送給員工的電子郵件指出,受影響的範圍涵蓋現任及離職員工,總共約有3萬人受到影響,外洩的資料為姓名與電子郵件信箱。針對此事,Telstra發言人認為,攻擊者此時公布這些外洩資料,很有可能是想要趁著Optus外洩事故獲利。但對於實際上有多少人受到影響,該公司沒有對外說明。

沙烏地阿拉伯、阿拉伯聯合大公國、新加坡的麥當勞及肯德基客戶遭網釣攻擊鎖定

資安業者CloudSEK揭露針對麥當勞、肯德基兩家大型速食業者客戶的網路釣魚攻擊,這起攻擊行動針對沙烏地阿拉伯、阿拉伯聯合大公國、新加坡的電腦使用者而來,企圖騙取他們的訂餐所使用的信用卡資料。

研究人員以其中一個釣魚網站為例,駭客製作與Google Play市集樣貌相似的網站,提供使用者下載名為KFC Saudi Arabia 4+的「App」,使用者按下安裝按鈕後,電腦版Chrome瀏覽器的首頁就會被加入KFC Saudi Arabia 4+「應用程式」,若是藉此訂購肯德基餐點,信用卡資料就有可能遭到側錄。研究人員指出,這類釣魚網站不只會檢查受害者的信用卡卡號,甚至有的還會要求輸入OTP簡訊認證碼。

 

【漏洞與修補】

研究人員發現Akamai組態錯誤配置漏洞

兩名研究人員Jacopo Tediosi、Francesco Mariani發現,Akamai在處理HTTP標頭的錯誤配置,有可能讓攻擊者得以利用任意內容來毒化快取。研究人員指出,這項弱點是結合了HTTP挾持與逐節點(hop-by-hop)標題濫用手法,將影響使用Akamai服務的大多客戶,包含美國國防部、PayPal、Airbnb、微軟、蘋果等,攻擊者可利用這項漏洞隨意竄改受害公司的網站外觀及行為。

這兩名研究人員於3月下旬通報Akamai,該公司於4月初著手修補。

 

【其他資安新聞】

【臺灣資安大會直擊】上市櫃企業年報資安揭露現況大公開,115家中有113揭露資安管理架構,有14家如實說明重大資安事件

使用勒索軟體Netwalker發動攻擊的加拿大人將面臨20年徒刑、2,150萬美元罰款

美國大型醫療組織CommonSpirit Health遭到攻擊,關閉部分IT系統

安卓間諜軟體RatMilad鎖定中東手機竊取資料

防毒軟體業者Avast發布勒索軟體Hades的解密工具

 

近期資安日報

【2022年10月5日】  電玩業者暴雪娛樂遭大規模DDoS攻擊、駭客透過YouTube頻道向中國用戶散布惡意Tor瀏覽器安裝程式

【2022年10月4日】  微軟針對Exchange零時差漏洞提出的緩解措施可被輕易繞過、美國防承包商遭勒索軟體BlackCat攻擊

【2022年10月3日】  駭客設置冒牌財星500大企業資安長LinkedIn帳號、前IT人員竄改企業的網域配置遭起訴

熱門新聞

Advertisement