上週二(11日)多家廠商發布4月份例行修補,包含微軟、Adobe、SAP等軟體業者,以及西門子、施耐德電機等OT設備業者。本週Oracle也發布了2023年4月的例行修補,當中總共修補超過400個漏洞,有相當大的比例是在Oracle Communications系列產品線,每6個漏洞就有1個與此有關。
公部門不慎將資料庫公開的情況也相當值得留意,例如,有研究人員發現菲律賓執法單位曝露的資料庫,不僅含有個資,甚至還有組織之間的行政命令。但該資料庫是否真為菲國政府機關所擁有?目前尚無法完全確定,因為研究人員通報了當地十餘個機關後,僅有收到菲律賓國家電腦緊急應變小組(NCERT)回復,表示他們將確認需要負責的單位。
勒索軟體駭客的攻擊也出現了新的手法,像是Trigona發動的攻擊裡,運用一種稱之為CLR Shell的惡意程式先進行探勘、提升權限,使得後續行動更加順利。
【攻擊與威脅】
VPN服務介紹網站vpnMentor揭露一個含有逾120萬筆記錄的資料庫,暴露在網際網路上,而且沒有使用密碼保護,經分析其內容與菲律賓執法單位有關,很有可能是與職員或是申辦業務的民眾個資。
這個在網路裸奔的資料庫裡面,存有護照、出生證明、結婚證明、駕照、成績單、報稅資料等掃描文件,資料量高達817.54 GB。來源包含了菲律賓多個公家單位,像是:國家警察、國家調查局(NBI)、國稅局、特別行動部隊管理局等,外洩資料的內容不只包含個資,還有針對執法人員的內部指令,但該網站的研究人員無法判斷其機密程度。
對此,菲律賓國家電腦緊急應變小組(NCERT)獲報後做出回應,表示他們著手調查需對此起資料曝露事故負責的單位。
微軟SQL Server用戶當心!出現專攻此種資料庫系統的勒索軟體Trigona
資安業者AhnLab發現勒索軟體Trigona近期的攻擊行動,主要鎖定微軟SQL Server而來,駭客先是透過暴力破解或是字典攻擊的方式,存取此種資料庫伺服器,然後部署名為CLR Shell的惡意程式,進而接收攻擊者發出的命令並提升權限,接著投放偽裝成svcservice.exe的惡意軟體,啟動偽裝為svchost.exe的勒索軟體Trigona。
研究人員指出,CLR Shell可用於提升權限、利用漏洞、收集系統資訊及使用者帳號配置,而能讓攻擊者進一步使用較高的權限執行各種惡意行為。
微軟Windows磁碟陰影複製工具遭駭客改裝,
勒索軟體Play以此竊取備份檔的資料
資安業者賽門鐵克揭露勒索軟體Play的新一波攻擊行動,駭客使用.NET開發兩個工具Grixba、磁碟陰影複製(VSS)工具,目的是在攻擊過程能更有效率。
Grixba可用於列出網路環境裡的所有使用者與電腦,並能掃描防毒軟體、EDR系統、備份工具、遠端管理工具,藉此讓攻擊者判斷如何進行後續攻擊。
而前述駭客自製的磁碟陰影複製(VSS)工具,則能於應用程式尚在使用檔案的情況下,從現有的備份資料竊取檔案。研究人員指出,這2個惡意程式都是Costura .NET開發工具編譯而成,而且只需單一執行檔就能運作
無需在受害電腦部署相依的DLL元件,就能正常執行。
根據新聞網站The Register的報導,研究人員Brett Callow發現勒索軟體駭客Medusa聲稱竊得大量微軟的內部資料,當中包含了搜尋引擎Bing及旗下產品,如Bing Maps與Cortana的原始碼。
研究人員看到12 GB資料,分析後研判內容可能是去年Lapsus$偷到37 GB的一部分。駭客聲稱竊得的檔案裡,有很多微軟的數位簽章。研究人員表示,從犯案的手法來看,Medusa與Lapsus$有些相似,但不確定兩個組織是否有關。微軟目前尚未對此回應。
惡意軟體AuKill被用於停用端點防毒軟體及EDR程式,發動自帶驅動程式攻擊
資安業者Sophos揭露利用名為AuKill的惡意程式攻擊行動,駭客將其用於在受害電腦上停用EDR用戶端程式,其手法是濫用微軟Sysinternals工具包裡、特定版本的Process Explorer元件procexp.sys,進而發動自帶驅動程式攻擊(BYOVD)。
研究人員指出,從今年初,他們至少看到3起利用AuKill的攻擊行動,1月、2月皆有駭客用來部署勒索軟體Medusa Locker的情況,另一起則是散布勒索軟體LockBit的事故,發生於2月。研究人員進一步調查,總共找到6個版本的AuKill,第1個版本在去年11月出現,最新版本則是在今年2月被用於勒索軟體Medusa Locker攻擊行動。
MFT系統GoAnywhere開發商公布零時差漏洞事故的調查結果
2月2日,資安新聞記者Brian Krebs針對MFT檔案傳輸管理系統GoAnywhere的用戶提出警告,指出該系統存在零時差漏洞CVE-2023-0669,可被用於RCE注入攻擊。開發商Fortra於3日證實確有此事,之後相關漏洞攻擊事故頻傳,事隔2個多月,該公司終於公布調查結果。
Fortra起初於1月30日,在部分雲端代管的GoAnywhere系統發現有異,著手調查得知駭客利用了未知漏洞建立使用者帳號,並下載檔案,且於受害系統部署了Netcat和Errors.jsp,疑似用來建立後門、掃描連結埠、傳輸檔案。
這起攻擊行動最早可追溯到1月18日,換言之,待Fortra察覺有異之前,駭客已進行約2個星期的攻擊行動。
【漏洞與修補】
4月18日Oracle發布本季例行更新,當中總共修補了433個漏洞,其中超過70個是重大等級。值得留意的是,上述漏洞當中有多達250個,若攻擊者要遠端利用,無需通過身分驗證就能執行。
其中出現最多漏洞的產品線是Oracle Communications系列,總共有77個(27個被評為重大等級),其次則是Financial Services Application、Fusion Middleware,分別有76個、49個。(補充說明:Oracle一年發布4次例行更新,分別在於1月、4月、7月、10月發布。)
列印管理軟體系統PaperCut出現RCE漏洞,已被用於攻擊
4月19日列印管理軟體業者PaperCut提出警告,表示3月修補的部分漏洞傳出已被用於攻擊行動的狀況,呼籲IT人員應儘速升級PaperCut伺服器軟體程式。
這個被利用的重大漏洞為CVE-2023–27350,可讓攻擊者在沒有通過身分驗證的情況下,於PaperCut應用程式伺服器遠端執行任意程式碼(RCE),CVSS風險評分為9.8。
不到一週Google再度更新Chrome 112,原因是又傳出零時差漏洞攻擊
Google於4月14日修補今年Chrome第1個零時差漏洞CVE-2023-2033,但事隔不到一個星期,該公司再度發布新版程式,修補第2個被用於攻擊行動的漏洞。Google於18日發布Windows及macOS版112.0.5615.137、112.0.5615.138,以及Linux版112.0.5615.165,當中一共修補了8項漏洞(其中5個有CVE編號),最值得留意的部分,是被用於攻擊行動的高風險漏洞CVE-2023-2136,存在於名為Skia的2D圖形程式庫元件,屬於整數溢位類型的漏洞。
【其他新聞】
多個南韓組織遭到北韓駭客Lazarus入侵,控制超過200臺電腦
微軟採用新規則命名駭客組織,以颱風命名中國駭客、暴風雪命名俄羅斯駭客
近期資安日報
【4月19日】 駭客挾持YouTube頻道散布竊資軟體Aurora,過程中利用惡意程式載入工具迴避資安系統偵測
熱門新聞
2024-11-05
2024-11-05
2024-11-07
2024-11-04
2024-11-02
2024-11-02