微軟在9月修補的漏洞CVE-2022-37958,最近受到很大的關注,因為他們後續將這個涉及SPENGO NEGOEX防護的弱點類型,調整為RCE漏洞,CVSS評分也提升至8.1分,由於SMB與RDP都使用NEGOEX安全機制,可能影響的層面相當廣,甚至有研究人員將此漏洞與EternalBlue漏洞相提並論。

今日密碼管理業者相關的資安新聞有兩起,首先是LastPass在22日發布資安事件公告,說明客戶資料庫的備份被入侵者複製,另一起是瑞士資安研究人員揭露密碼管理產品Passwordstate的漏洞通報細節。

網路犯罪者為了散布惡意網站,利用搜尋引擎透過購買關鍵字廣告,假冒品牌業者的情形,最近在臺灣受到民眾與媒體的注意,特別的是,美國FBI現在也針對此一情況示警,突顯駭客不斷改變其策略,頻頻躲過搜尋服務業者對於網路詐騙廣告的偵測。

 

【攻擊與威脅】

針對9月修補的CVE-2022-37958漏洞,微軟提高其風險評分

微軟在12月中調整了CVE-2022-37958的漏洞分類,從資訊洩漏漏洞改為RCE漏洞,CVSSv3評分也從7.5提升為8.1,這是微軟在9月修補、存在於SPENGO NEGOEX的漏洞。

值得關注的是,最近有多位資安研究人員對此漏洞發表看法,強調應正視其嚴重性。由於SMB與RDP都使用NEGOEX安全機制進行身分驗證,因此將更廣泛影響Windows系統,尤其是暴露於網際網路的服務,身處內部網路環境的這類系統也不能輕忽,而根據資安新聞網站Security Affair的報導,指出IBM Security X-Force研究人員也已證明這是個RCE漏洞,會影響多種協定,並表示將在明年第二季才會公布完整技術細節。目前微軟9月釋出的修補仍是有效,還沒修補的企業需儘速因應。

新興Zerobot殭屍網路威脅擴大,新鎖定7個重大漏洞

微軟在12月21日揭露Zerobot新能力,該殭屍網路病毒今年11月中旬冒出,月初Fortinet曾揭露Zerobot鎖定21個漏洞入侵。微軟指出,該惡意程式使用常見8個使用者帳號與130個密碼的組合,並透過連接埠23與2323,來嘗試獲取設備存取權,並增加7個鎖定目標,例如:Zivif網路攝影機(CVE-2017-17105)、Grandstream視訊設備(CVE-2019-10655),Sophos SG UTM設備(CVE-2020-25223),以及Apache(CVE-2021-42013)與Apache Spark(CVE-2022-33891)等,同時,Zerobot 1.1版還具有額外的DDoS攻擊功能。

FBI警告網路犯罪者正利用搜尋引擎廣告、假冒品牌業者來騙民眾上當

美國FBI在12月21日發出一則警告,指出網路犯罪分子利用搜尋引擎,投放冒充品牌名義的詐騙廣告,使用戶被引導至惡意網站的威脅狀況,需要特別注意。

FBI表示,這些惡意網站將讓用戶遭受勒索軟體、帳密與金融資訊被竊等危害,因此,他們對企業提出3項建議,分別是可利用網域名稱保護服務、向用戶介紹詐騙網站與識別正確URL的重要性,以及告訴用戶哪裡可以找到合法下載管道,同時,FBI也對個人提供預防建議,包括:點擊廣告需檢查URL以確保是真正的網站(注意拼寫錯誤與錯放等混淆手法),直接在瀏覽器網址列輸入網址,以及安裝廣告攔截程式等。

美國司法部起訴書透露紐約JFK機場計程車調度系統遭駭事件,網路犯罪者藉改變排班順序牟利

昨日美國多家媒體報導紐約JFK機場計程車調度系統遭俄駭客操控,兩名涉嫌的美國公民被捕。根據美國司法部此案的起訴書顯示,這項行動發生至少在2019年9月到2021年9月間,入侵者嘗試了各種方式,包括:賄絡某人將惡意USB插入調度系統電腦,透過Wi-Fi存取調度系統,以及竊取連接調度系統的電腦設備,在成功入侵後,這些犯罪者藉由改變計程車司機排班順序,並以口耳相傳方式讓司機們得到消息,聲稱只需支付10美元給該集團即可優先排班,藉此牟利。

LastPass發布安全事件公告,客戶加密密碼資料庫備份遭存取

密碼管理服務業者LastPass在12月22日發布資安公告,提及8月底坦承遭遇資安事故,初步調查後發現未經授權的第三方存取其開發環境與雲端服務,導致部分程式碼被盜,原本他們認為不會影響用戶資料,如今又有了新的進展。

入侵者先是透過雲端環境複製了客戶資料庫的備份,當中包含未加密的資料(如URL網址),以及完全加密的資料(如使用者帳號與密碼)。不過,該公司再次強調他們採用的零知識(Zero Knowledge)安全架構,需從每個使用者主密碼產生的唯一金鑰來解密,也就是除了用戶自己,無人能存取密碼庫的資料。即便無資料外洩狀況,但該公司還是提醒用戶當心網路釣魚,不要將主密碼用於其他網路服務。

 

【漏洞與修補】

Passwordstate密碼管理方案修補多個嚴重漏洞

Passwordstate是澳洲資安業者Click Studio的密碼管理產品,在12月19日,瑞士資安業者Modzero研究人員揭露裡面有多個漏洞。他們指出,當中的CVE-2022-3875最嚴重,是存在於API的身分驗證繞過漏洞。Click Studio收到通報後,已於11月初釋出Passwordstate 9.6 - Build 9653版本,修補這批漏洞,並呼籲用戶盡速更新。

 

【資安防禦措施】

美國白宮簽署量子運算網路安全準備法案(H.R. 7535),以實踐後量子密碼學過渡計畫

美國總統拜登於12月21日簽署量子運算網路安全準備法案(Quantum Computing Cybersecurity Preparedness Act;H.R. 7535),根據這項法案規定,美國行政管理和預算局(OMB)需在NIST發布新指南後的1年內,進行PQC的轉換,另一方面,此法案頒布後的1年內,OMB需向國會提出報告,說明因應戰略、資金,以及與各機構組織的協調工作。

法國醫療業今年下半遭遇兩次重大資安事件,該國政府祭出強化安全新承諾

法國政府在12月21日宣布將加強該國醫療機構網路安全,該國醫療院所今年8月與12月初遭遇兩次重大事件,均造成病患手術取消或轉院情況,對此,該國內政、醫療與電信主管機關召開會議,宣布將啟動大型網路安全事件準備計畫,首先在2023年5月前,要讓所有重要醫療機構完成新的資安演練,在第一季之內,也將為各機構提供資安事件應變、影響評估的指引。同時,他們也持續強調國家公共機構遭勒索攻擊不付贖金的一貫立場。

 

【其他資安新聞】

2022年臺灣APT攻擊研究大公開,TeamT5觀察到APT攻擊行動109起,受駭單位有26個

Google在臺闡述其零信任防禦原則,聚焦以身分作為存取控制的安全邊界

多倫多兒童醫院遭勒索軟體攻擊

Mandiant揭露針對2022年美國中期選舉的影響行動

思科揭露Ghost CMS存在兩個漏洞

2022年MITRE CNA成員增加超過50個

 

近期資安日報

【2022年12月22日】 資安研究人員提出硬體斷點規避EDR監控新技術;用ChatGPT與Codex降低攻擊門檻情況受關注

【2022年12月21日】 駭客利用新手法OWASSRF入侵Exchange、烏克蘭軍事情報系統遭駭客鎖定

【2022年12月20日】 FBI威脅情資交換平臺用戶個資驚傳流入暗網、4至5年前修補的思科產品漏洞出現攻擊行動

熱門新聞

Advertisement