【資安週報】2022年10月3日到10月7日

在10月初的資安新聞中，微軟Exchange伺服器的零時差漏洞ProxyNotShell（CVE-2022-41040、CVE-2022-41082）最受關注，在資安業者的事件調查中才使此漏洞曝光，儘管微軟公布緩解措施，又傳出緩解能被繞過的消息，以及一再釋出新緩解對應的消息，讓企業人員可說是疲於奔命。

在攻擊態勢上，利用已知漏洞的問題不斷，較特別的是，關於利用驅動程式漏洞的攻擊有兩起，一是北韓駭客組織Lazarus成功利用了CVE-2021-21551漏洞，一是在勒索軟體BlackByte亦利用了自帶驅動程式攻擊手法（Bring Your Own Vulnerable Driver，BYOVD），在電腦植入具有漏洞的驅動程式用以提升權限。此外，本周美國公布了一份中國駭客最常利用漏洞的清單，共有20個，Log4Shell居於第一，Pulse Secure VPN漏洞CVE-2019-11510居於第二，當中大部分為2021年揭露的漏洞。

在攻擊手法方面，受關注的包括：駭客組織Witchetty將惡意軟體埋藏在Windows圖案的BMP圖片檔案格式，以及有駭客打造針對微軟SQL Server的後門程式Maggie，還有，國家級駭客利用惡意軟體CovalentStealer及滲透測試工具Impacket鎖定國防單位入侵，這些攻擊行動相當值得留意。

另外，還有一起美國FTC定罪判刑案件受關注，原因是2016年遭駭當時的Uber資安長蓄意隱瞞公司與FTC，這導致了駭客免於落網，之後駭客又得以成功入侵另家公司，美國司法部此舉，強調保護使用者，以及資安事件通報主管機關重要性。

【10月3日】駭客設置冒牌財星500大企業資安長LinkedIn帳號、前IT人員竄改企業的網域配置遭起訴

有人假冒是財星500大企業的資安長，並設置LinkedIn帳號，且他們的經歷看起來相當完整而難辨真假，甚至使用者想要透過Google搜尋確認，有機會先看到假資安長的帳號。由於攻擊者很有可能利用這種帳號進行詐騙，大家關注資安長動態時要提高警覺。

我們之前曾報導不少離職員工造成的資安事故，而最近美國司法部起訴的案件也是類似狀況，有IT人員離職後，利用尚未註銷的權限入侵前東家，再度突顯企業若未收回離職員工權限，恐釀大禍。

Dell去年修補存在漏洞的驅動程式，如今被實際用於攻擊行動──駭客自行攜帶存在漏洞的驅動程式（BYOVD），而能夠在受害電腦提升權限並停用防毒軟體。

【10月4日】微軟針對Exchange零時差漏洞提出的緩解措施可被輕易繞過、美國防承包商遭勒索軟體BlackCat攻擊

上週被資安業者揭露的Exchange零時差漏洞被命名為ProxyNotShell，微軟目前在提供正式修補之前，先公布緩解措施，但事隔數日，有研究人員發現，即使管理者採取微軟提供的措施，駭客還是可以繞過，並利用上述的零時差漏洞發動攻擊。

由於微軟尚在製作ProxyNotShell修補程式，研究人員並未透露更詳細的資料，但有人竟然以此為誘餌，趁機以概念性驗證程式向資安人員行騙。

又有美國國防承包商傳出遭到勒索軟體攻擊！這次受害的是為美國政府機關、國防部提供IT基礎設施的NJVC，但罕見的是，駭客聲稱竊得NJVC大量機密後不久，網站就無法存取。

【10月5日】電玩業者暴雪娛樂遭大規模DDoS攻擊、駭客透過YouTube頻道向中國用戶散布惡意Tor瀏覽器安裝程式

近期Ubisoft、Rockstar、2K Games等多家遊戲公司遭到網路攻擊，駭客主要的目的，不是竊取玩家的帳號資料，就是鎖定未上市的遊戲開發資料，藉此牟取利益；而針對遊戲廠商發動的DDoS攻擊則較為少見。最近暴雪娛樂的新遊戲「鬥陣特攻2」正式上線，就因為伺服器遭到DDoS攻擊，玩家面臨無法登入遊戲的情況而抱怨連連。

駭客利用YouTube頻道散布惡意程式的做法，之前不少是針對尋求遊戲破解的玩家而來，然而現在出現針對特定國家的攻擊行動──有人打著讓中國使用者能存取暗網的名義，散布帶有惡意程式的Tor瀏覽器。

近期針對開發者的攻擊可說是相當頻繁，駭客主要大多是針對他們使用的套件下手，但假如攻擊目標是套件管理器，很可能影響更為嚴重。研究人員揭露他們發現的PHP套件管理器漏洞，並指出一旦遭到利用，攻擊者就可用於植入惡意軟體。

【10月6日】新的ProxyNotShell緩解措施可被繞過、研究人員發現Akamai組態錯誤配置漏洞

針對如何防堵Exchange零時差漏洞ProxyNotShell的緩解措施，有人先在10月3日發現微軟提供的方法可被繞過，並企圖改良，但現在被發現仍不夠周延，而出現了第3個版本的緩解措施。這樣在一個星期內出現數次修改Exchange配置的情況，恐怕使得IT人員疲於奔命。

有研究人員找到Akamai組態配置錯誤的漏洞，幾乎該公司的客戶都可能受到影響。

自帶驅動程式（BYOVD）的攻擊手法最近越來越常出現！我們週一報導北韓駭客利用含有漏洞的Dell驅動程式發動攻擊，現在勒索軟體駭客組織BlackByte也採取此種手法，利用微星舊版驅動程式來停用防毒軟體。

【10月7日】利用電信公司Optus外洩資料進行簡訊詐騙的青年遭到逮捕、Uber前資安長掩飾被駭事件罪名成立

澳洲大型電信業者Optus資料外洩引起關注，但在此同時，有人竟動起歪腦筋，想要利用流出的資料來恐嚇取財。澳洲警方最近逮捕一名青年，原因就是他利用駭客公布的資料進行簡訊詐騙攻擊。這種青少年參與網路犯罪的情況越來越頻繁，相當值得家人留意。

負責企業網路安全的資安長，竟想要私下付錢給駭客了事！Uber前資安長Joe Sullivan於2016年的資安事故知情不報，近日判決罪名成立。美國司法部指控，他隱匿事故使得另一家公司也遇害。

思科針對旗下的協作系統Expressway、視訊會議系統TelePresence，修補兩個高風險漏洞，並呼籲用戶安裝更新程式。