文/周峻佑 | 2025-04-21發表

微軟每個月例行更新(Patch Tuesday)修補的資安漏洞,少則40、50個,多的時候往往會超過100個,也因此大家通常會優先注意已遭到利用的零時差漏洞,以及危險程度較高的弱點,但被認定較不可能被利用的漏洞,若不處理,有可能成為駭客攻擊的目標。

最近資安業者Check Point公布針對NTLM雜湊值洩露漏洞CVE-2025-24054的攻擊行動,就是這種例子,他們在一週內看到超過10起攻擊。

 

【攻擊與威脅】

微軟3月修補的NTLM漏洞危機升溫,至少出現10起實際濫用的攻擊行動

今年3月微軟在例行更新(Patch Tuesday)總共修補57個漏洞,其中有7個零時差漏洞最受到關注,且有6個已有實際攻擊行動而成為焦點,但也有當時公布的資安漏洞,微軟評估利用的可能性不高,觸發漏洞存在必要條件,認為其風險不高,後續被駭客盯上並相繼用於攻擊。例如,當時修補的NTLM雜湊值洩露漏洞CVE-2025-24054(CVSS風險6.5分),近期有資安業者提出警告,在微軟公告一週後,他們察覺有人將其用於實際攻擊行動。

資安業者Check Point指出,他們約從3月19日發現相關攻擊,駭客試圖用於洩露NTLM雜湊值或是使用者密碼,並用來入侵受害電腦。到了20至21日,研究人員看到有人試圖針對波蘭及羅馬尼亞的政府機關及企業,利用垃圾郵件接觸受害者,藉此散布Dropbox連結。一旦使用者依照指示開啟,就會觸發與NTLM有關的已知漏洞,從而讓攻擊者能挖掘NTLMv2-SSP雜湊值,而其中一個遭到攻擊者利用的漏洞,就是CVE-2025-24054。值得留意的是,針對這波試圖利用CVE-2025-24054的情況,Check Point自3月19日至25日總共發現超過10起攻擊行動。

網路上有超過1.6萬臺Fortinet裝置含有符號連結後門

專門開發各種軟、硬體安全解決方案的美國資安業者Fortinet在今年4月中旬揭露了一個與符號連結(Symbolic Link)有關的後門問題,這是駭客藉由攻陷已知漏洞,建立了一個可連結用戶檔案系統及根檔案系統的符號連結,就算用戶修補了遭到攻擊的安全漏洞,此一符號連結依然存在,因而允許駭客持續存取根檔案系統中的機密配置。Shadowserver基金會的掃描發現,在Fortinet揭露此事後,網路上含有符號連結後門的Fortinet裝置顯著增加,從1.2萬臺增加到近1.7萬臺。

當初Fortinet其實是在調查遠端程式執行漏洞CVE-2022-42475與CVE-2023-27997,以及越界寫入漏洞CVE-2024-21762等重大漏洞遭到駭客利用的事件,駭客針對網路上未修補的已知漏洞展開攻擊並非新聞,特別的是Fortinet發現駭客採用了新技術,透過符號連結功能來建立可存取FortiGate防火牆根檔案的能力,就算只能唯讀,卻可向駭客揭露該防火牆設備的系統配置與存取憑證等重要資訊。

萬海海運網站遭遇攻擊

4月18日晚間海運業者萬海於股市公開觀測站發布資安重訊,指出該公司資訊網站當天下午遭到攻擊,他們發現此事後即刻啟動資安防護措施因應,將網站進行隔離。此網站暫時停止提供服務。

而對於這起事故可能造成的影響,萬海表示根據他們的初步評估,對公司營運、資訊安全、個資無重大影響。

其他攻擊與威脅

殭屍網路XorDDoS透過暴力破解入侵Linux設備,在全球廣泛發動攻擊

惡意軟體攻擊行動Proton66鎖定重大漏洞而來,散布勒索軟體SuperBlack

Node.js惡意軟體攻擊行動鎖定加密貨幣用戶而來,假借提供加密貨幣工具散布惡意酬載

 

【漏洞與修補】

Windows工作排程工具遭揭多項弱點,恐被濫用於提升SYSTEM權限

資安公司Cymulate研究人員揭露Windows作業系統中的工作排程工具schtasks.exe,存在多項可被濫用的安全弱點,攻擊者可透過合法命令列參數及任務排程XML檔案,在特定條件下繞過使用者帳戶控制(UAC)提示,並以SYSTEM權限執行任意程式。研究人員指出,這些行為雖未被微軟視為漏洞,但其設計邏輯仍可能被惡意人士作為提升權限、橫向移動或隱匿行蹤的工具。

針對Cymulate研究人員提出的安全質疑,微軟安全回應中心(MSRC)回覆表示,Author欄位與RegistrationInfo區塊僅為儲存一般任務資訊而設計,並非安全用途,因此不構成漏洞。不過,研究人員認為,使用者與資安人員仍應注意被惡意濫用的系統設計,特別是在系統管理工具與事件記錄這些高度仰賴預設行為可信度的情境。

其他漏洞與修補

啟用AiCloud功能的華碩路由器存在重大漏洞,恐被用於繞過身分驗證流程

SSH程式庫Erlang/OTP存在風險滿分漏洞,攻擊者有機會未經授權執行任意程式碼

 

【資安產業動態】

資策會導讀臺灣最新出爐的PQC遷移指引,預告兩週後將推出自動化加密盤點工具

隨著全球主要國家陸續發表後量子密碼遷移指引,為因應量子破解威脅做好準備,臺灣也需積極布局,上個月後量子資安產業聯盟(PQC-CIA)召集人李維斌曾透露,資策會正在負責我國「後量子密碼遷移指引」的制定,如今數位發展部數位產業署於2025臺灣資安大會上正式發表這項指引,目的是協助產業及早因應量子破密威脅的挑戰,讓後PQC遷移能順利過渡。

在這場活動中,負責此項指引開發的資策會資安科技研究所主任蕭榮興,有更具體說明。基本上,關於遷移指引對臺灣產業的重要性,這不僅是對齊國際趨勢,最大重點是促使企業瞭解量子破密威脅,重視後量子加密的必要性並加速遷移,並提供企業組織一套清晰的遷移路徑與實施步驟,確保遷移過程安全並且可以實行。

 

近期資安日報

【4月18日】趨勢科技公布勒索軟體駭客CrazyHunter攻擊手法

【4月17日】CVE專案長年靠美國政府資金運作議題浮上檯面

【4月16日】MITRE停止維護CVE等多項專案,恐波及全球資安漏洞分析

iThome Security

熱門新聞

Advertisement