產品資安議題約從兩年前出現大幅變化,歐盟、英國、美國、南韓及新加坡已採取多項行動,現在臺灣也有相關規畫。在昨日數位發展部資通安全署(資安署)與國家資通安全研究院(資安院)聯手舉辦的產品資安論壇裡,資安院產品資安漏洞獵捕計畫正式登場最受到矚目,另外,數位產業署順應國際態勢,將鼓勵共同供應契約廠商,從明年起依機關要求提供軟體物料清單(SBOM)。
另一個資安焦點,與生命週期即將結束的Windows 10有關。微軟近日調整延伸安全更新(ESU)的說明,透露ESU在特定地區可能會有所差異,而這些差異很可能源自歐洲消費者組織(Euroconsumers Group)的要求,必須對歐盟地區用戶提供免成本得到ESU的選項。
【攻擊與威脅】
嚴重影響歐洲多座機場營運的資安事故證實是勒索軟體攻擊,英國目前逮捕一名涉案中年男子
自9月19日晚間開始,傳出歐洲有多個大型機場登機系統運作中斷,部分航班受到影響而延誤,攻擊者針對的目標,是航太暨國防業者Collins Aerospace打造的Muse登機系統,歐盟主管機關介入調查,初步判定是勒索軟體攻擊,現在英國找到疑似涉案的人士並逮捕,以釐清案情。
9月24日英國國家犯罪局(NCA)宣布,在東南地區的區域打擊犯罪機構ROCU協助之下,他們於西薩塞克斯郡逮捕一名四十多歲的男子,罪名是涉嫌違反《電腦濫用法(Computer Misuse Act)》,並強調這次逮捕行動與Collins Aerospace網路事故有關。不過,目前此人獲得有條件的保釋。
NCA指出,逮捕此人是踏出突破僵局的第一步,但目前仍處於早期階段,他們將持續進行。
研究人員揭露凍結EDR運作新手法,濫用Windows錯誤報告系統就能達到目的
為了迴避偵測,駭客通常會無所不用其極地癱瘓防毒軟體及EDR的運作,其中一種最常見的手法被稱做自帶驅動程式(BYOVD),駭客攜帶存在弱點的合法驅動程式,藉此在受害電腦提升權限,然而有研究人員發現,他能透過視窗作業系統內建的工具來達到類似目的,而無須設法植入驅動程式,或是找到電腦上存在弱點的內建驅動程式加以利用,就能讓端點防護機制無法正常運作。
資安研究員Zero Salarium在部落格發表文章指出,他發現透過Windows錯誤報告系統(Windows Error Reporting,WER,WerFaultSecure.exe),就有機會讓防毒軟體或是EDR的處理程序休眠,而且,所有的過程都是運用使用者模式(User-mode)程式碼來達成,完全不需要其他的第三方工具。Zero Salarium也打造名為EDR-Freeze的程式來進行概念驗證(PoC)。
資安業者揭露疑似全球最早的LLM驅動惡意程式MalTerminal
資安業者SentinelOne於9月19日揭露整合了大型語言模型(LLM)的惡意程式MalTerminal,並說它在2023年就現身,很可能是全球首個LLM惡意程式,早於今年6月出現的LameHug,以及8月現身的PromptLock。
針對此惡意程式出現的時間點,該公司找到多項證據來佐證,其中一個是惡意程式使用的OpenAI Chat Completions API端點,在2023年11月就被官方棄用,因而推斷MalTerminal很可能是目前所知最早的LLM惡意程式。
不過,SentinelOne並沒有發現MalTerminal被應用在實際攻擊行動中,亦未被大規模部署,猜測它或許只是個概念驗證(PoC)惡意程式,或是紅隊測試工具。
網釣套件租用服務Lucid、Lighthouse橫行,範圍橫跨74國、攻擊316品牌
資安公司Netcraft發現兩個以訂閱制形式的網釣套件租用服務(Phishing-as-a-Service,PhaaS)平臺Lucid與Lighthouse,近期快速擴張,研究期間已偵測超過17,500個釣魚網域,鎖定74國共316個品牌。
Lucid為高流量PhaaS之一,其樣板涵蓋金融、政府、郵務與道路收費等產業,樣板以主題名稱管理,例如針對金融業者Kuda的樣板標記為kuda295。為避免被資安研究或攔截系統發現,Lucid通常以三項條件保護釣魚內容,除了必須帶有指定路徑如/servicios之外,還要是來自特定代理國家,而且以行動裝置User-Agent存取,三者任一不符通常會回應一個看似正常的假電商頁面,以混淆偵測。Netcraft報告指出,Lucid目前已被用於攻擊63國164個品牌。
Lighthouse由開發者WangDuoYu維護,具有頻繁更新與可客製化樣板,報告指出可透過模板蒐集雙因素憑證,其訂閱價格從每周88美元到每年1,588美元不等。研究人員研判,一系列採用高度HTML混淆的攻擊行動與Lighthouse相關,判斷依據包括攻擊所用模板與官方示範素材的一致性,以及在示範影片常見的測試網域test-24.top上確實觀測到部署跡象。
其他攻擊與威脅
◆Volvo北美分公司資料外洩,起因是第三方供應商遭勒索軟體攻擊
◆竊資軟體Xcseet鎖定macOS開發人員而來,並透過Xcode專案散布
◆中國駭客Salt Typhoon鎖定電信基礎設施,範圍涵蓋臺灣、美國、歐盟
◆針對遭遇Scattered Spider攻擊的事故,英國消費者合作社Co-op認列逾1億美元營業損失
【漏洞與修補】
思科本周發布二起安全公告,警告Adaptive Security Appliance(ASA)防火牆二項之前未知的重大漏洞已被駭客濫用發動攻擊,包括一個風險值9.9的重大漏洞。
這二項漏洞分別是CVE-2025-20333和CVE-2025-20362,都是影響思科ASA防火牆及思科安全防火牆威脅防護(Cisco Secure Firewall Threat Defense,FTD)軟體的安全問題。
其中CVE-2025-20333存在VPN Web Server軟體。它出於使用者HTTP請求輸入驗證不足,使具有有效VPN憑證的攻擊者可傳送改造的HTTP請求來濫用漏洞。成功濫用的攻擊者能在受害系統上以root權限執行任意程式碼,導致完全接管受害裝置。漏洞風險值高達9.9。
其他漏洞與修補
◆SolarWinds修補IT服務臺產品重大層級漏洞,若不處理可被用於遠端執行任意程式碼
【資安產業動態】
產品安全議題已成國家議題,數位發展部資通安全署(資安署)與國家資通安全研究院(資安院)在9月25日,特別舉辦一場產品資安論壇,吸引一百多位產業人士與會,現場不僅公布資安院的產品資安漏洞獵捕計畫,同時解析了2025國際間的最新產品安全發展態勢,讓國內所有資通訊產品製造商,可以更好應對未來趨勢。
畢竟,產品安全議題從兩年前開始有大幅變化,當時國際已有相當多行動展開,包括:歐盟網路韌性法(CRA)、英國PSTI法案發布,還有美國推動US Cyber Trust Mark安全標章,美CISA公布Secure by Design系列警報,以及南韓與新加坡簽署物聯網安全認證體系MOU等消息。
就在Windows 10技術支援快要到終止期限的前二周,傳出微軟將對歐盟消費用戶提供免費延伸安全更新(Extended Security Update,ESU)的特殊待遇,不需付費也不需啟用Windows備份服務。
微軟兩周前提醒全球Windows 10用戶,Windows 10即將在10月14日結束技術支援,呼籲用戶升級到Windows 11,或是啟用ESU。而根據微軟規劃,消費者若是不願支付30美元取得ESU,也可以藉由啟用Windows備份、或是使用Microsoft Rewards換取ESU。
根據歐洲消費者組織(Euroconsumers Group)和微軟的信件,微軟對歐盟Windows 10消費者提供免成本ESU選項,而且這項選擇無需消費者備份設定、應用程式、憑證,也不必用Microsoft Rewards。歐盟消費者組織認為,他們先前擔心,將必要的安全更新連結微軟自有服務,有違反歐盟數位市場法(DMA)的問題。
近期資安日報
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
