這一星期最重大的資安消息,當屬7月19日(週五)資安業者CrowdStrike旗下的EDR系統更新後,引起全球大量微軟Windows電腦出現藍色當機畫面(BSoD)的事故。由於本該幫助電腦能偵測與應變威脅的資安工具,卻因為一次更新問題導致大規模公司電腦當機、服務癱瘓的狀況,引發全球高度重視。
事實上,當日發生了兩起事件,首先是微軟,在19日臺灣清晨6點,美國中部區域一座Azure資料中心出現故障問題,導致包含M365在內等雲端服務大中斷,影響線上版SharePoint、商用版OneDrive、Teams等眾多服務。
到了下午1點,我們注意到國內社群網站的資安群組開始討論Windows電腦出現藍色當機畫面,並點出問題可能出在資安業者CrowdStrike,當下我們查詢更多資訊,發現美國社群網站Reddit已經指出CrowdStrike更新造成當機的情形,在此同時,筆者身邊友人也通報其公司電腦1點多發生當機,同樣確認原因出在CrowdStrike。
兩點後,大規模電腦當機消息開始在全球新聞媒體傳開,國內傳出桃園機場、臺大醫院、臺北榮總營運受影響,全球各國也有大量藍色當機畫面情形的報導。後續,CrowdStrike發布相關公告,說明發生EDR更新檔案與Windows系統衝突造成電腦當機,並指出C-00000291.sys是有問題的版本,同時指出這次事件並非遭遇網路攻擊,微軟在Azure Status服務狀態頁面也指出,他們在臺灣時間中午12點09分同樣受到CrowdStrike的影響(事件編號為1VT1-LX0),並表示這次事件與已解決的美國中部Azure資料中心中斷事件無關(該事件編號為1K80-N_8)。
至於何起事件是影響航班管理系統服務供應商Navitaire的主因,有待後續釐清。
周末期間又有新的消息曝光,首先,微軟表示這次CrowdStrike引發的事件估計影響全球850萬臺的Windows電腦,另也發布因應這次事件的手動安裝更新KB5042421,此外,有研究人員在社群平臺X上指出,分析CrowdStrike當機資料後找出是有段C++程式存在記憶體安全錯誤,詳情有待後續CrowdStrike說明。
在其他重要資安事件與威脅態勢方面,國內有建設公司與人力銀行的消息,國際間也有不少資料外洩、攻擊行動的揭露,我們整理如下:
●國內上市公司宏盛建設發布資安重訊,設說明該公司發生網路資安事件,另也代子公司助群營造公告發生網路資安事件。
●國內檢調單位接獲104人力銀行通報,有人企圖透過公司名義收集求職者個資,新北地檢署已在17日搜索涉案公司並查扣物證。
●專案管理工具Trello有逾1,500萬用戶個資遭人公開於Breach Forums地下論壇,對方並聲稱是透過公開的API取得。
●美國電信公司AT&T通報美SEC,說明發生資料洩事故,有駭客在今年4月存取AT&T在第三方雲端平臺的工作區,導致所有客戶的通話與簡訊歷程記錄被竊。
●義大利資安業者TG Soft揭露一起攻擊行動,他們在6月24日、7月2日偵測到中國駭客組織APT17針對當地企業及政府機關下手,意圖散布9002 RAT惡意程式。
●日本JPCERT/CC警告,當地企業組織遭到攻擊行動MirrorFace鎖定,攻擊者入侵企業後的目的是散布後門程式NoopDoor。
在漏洞消息方面,我們注意到有4個已知漏洞首次被發現遭駭客利用的情形,近期已被美國CISA列入限時修補名單,包括:3月底VMware vCenter Server已修補的漏洞CVE-2022-22948,6月初SolarWinds Serv-U已修補的漏洞CVE-2022-22948,6月中Adobe Commerce及Magento Open Source已修補的CosmicSting漏洞(CVE-2024-34102),以及7月1日GeoServer已修補的RCE漏洞CVE-2024-36401。其中CosmicSting漏洞值得留意,有資安業者指出這是該電商平臺歷年來最嚴重的漏洞之一。
在資安防禦與產業動向上,各有一則重要消息,首先,是關於OTP碼容易遭攔截與網釣的問題,談了很多年,最近國際間有政府積極行動,近日新加坡金融管理局宣布,要求當地金融業者在限期3個月內,汰除以簡訊提供OTP碼供客戶網銀登入,並要求改成安全性更高的應用程式驗證;另一項消息,是Google母公司Alphabet傳出將以230億美元收購雲端資安新創Wiz,藉此強化該公司的雲端安全業務,如收購成功將成Google最大併購案。
【7月15日】美國電信業者AT&T針對今年4月的資安事故通報調查結果,客戶通話及簡訊記錄遭到外流
美國電信業者AT&T再傳資料外洩事故而受到外界關注,原因是他們在交給美國證券交易委員會(SEC)的8-K文件當中,提及對方透過第三方雲端平臺複製行動通話及簡訊互動記錄,而且,幾乎所有用戶都受到影響。
值得留意的是,文件當中提及的第三方雲端平臺,外界直指就是Snowflake,5月發生的Ticketmaster資料外洩事故也與該業者有所關連。
【7月16日】駭客組織NullBulge聲稱入侵迪士尼,從近萬個Slack頻道竊得超過1 TB內部檔案,但真實性有待進一步確認
繼大型售票業者TicketMaster、電信業者AT&T驚傳大規模資料外洩,近日有駭客組織聲稱握有大量迪士尼內部資料並在駭客論壇公布,號稱資料來自約1萬個Slack頻道。
值得一提的是,有新聞媒體對其公布的內容進行分析,指出資料涵蓋的層面相當廣,像是網站維護、軟體開發、應徵員工,甚至還包含了員工討論自家小狗的對話內容、照片。不過,他們也無法確認這些資料的真實性。
【7月17日】專案管理工具Trello逾1,500萬名使用者個資流入地下論壇,對方聲稱是透過公開的API取得
繼大型售票業者TicketMaster、電信業者AT&T、娛樂業者迪士尼驚傳大規模資料外洩,本週又有駭客宣稱握有超過1,500萬筆專案管理工具Trello用戶資料。
值得留意的是,外洩這批巨量資料的人表示,取得管道居然是Trello公開的API端點,他能在未通過身分驗證的情況下將電子郵件信箱對應到Trello帳號。
【7月18日】日本揭露新一波MirrorFace攻擊行動,對方鎖定防火牆、SSL VPN設備已知漏洞而來,散布後門程式
日本企業組織自2022年遭遇MirrorFace攻擊行動鎖定,當地電腦緊急應變團隊暨協調中心JPCERT/CC持續追蹤相關動態,最近他們提出警告,這些駭客更換攻擊目標,同時也調整入侵的手段,並使用新的惡意程式NoopDoor。
值得留意的是,在部分攻擊行動裡,對方使用了相當罕見的手法執行惡意程式,他們濫用MSBuild公用程式載入含有程式碼的XML檔案,從而產生相關作案工具。
【7月19日】CrowdStrike旗下EDR系統更新出錯釀禍,全球出現Windows電腦大量當機,影響機場、醫院等設施運作
本日最重大的資安事故,應該就屬資安業者CrowdStrike旗下的EDR系統更新出錯的情形,這樣的情況不僅有許多用戶上網抱怨電腦當機,也在全球造成災情,值得留意的是,國內也傳出桃園機場、臺大醫院、臺北榮總營運受到影響的情況,究竟有多少企業組織受害?有待進一步追蹤。
另一方面,國內外不少新聞媒體也指出,今天凌晨微軟的雲端服務出現異常,也與該資安業者有關。
熱門新聞
2024-12-03
2024-11-20
2024-11-15
2024-11-15