本日最值得留意的情況,是迄今市占仍超過4成的Windows 10作業系統,正式邁入終止支援的階段,讓這款自2015年問世的作業系統下臺一鞠躬。不過,有別於其他微軟旗下產品終止支援的情況,該公司罕見為一般使用者推出要價30美元的延伸安全更新(Extended Security Update,ESU),後續亦開放透過Rewards點數及啟用特定備份功能換取,甚至歐盟用戶可無條件獲得。此外,微軟也為Windows 10用戶提供Microsoft 365額外的3年支援。
另一個相當值得注意的消息與ERP系統Oracle E-Business Suite(EBS)零時差漏洞攻擊有關,勒索軟體Clop將哈佛大學列於資料外洩網站,引起外界關注,這很可能是此次攻擊首度曝光的受害者。
【攻擊與威脅】
哈佛大學發生資料外洩事故,傳出因ERP系統Oracle EBS零時差漏洞而釀禍
根據資安新聞網站Bleeping Computer的報導,近日Clop將哈佛大學列於資料外洩網站,疑似透過ERP系統Oracle E-Business Suite(EBS)零時差漏洞而得逞。對此,哈佛大學表示他們正著手調查。
哈佛大學資訊技術發言人向該新聞網站透露,他們得知有人藉由EBS零時差漏洞取得該校資料的情況,此漏洞並非哈佛獨有,而且影響許多EBS用戶。目前相關調查仍在進行當中,哈佛初步認為,這起事故影響1個小型行政單位下轄的多個團體。
針對Oracle近日發布的修補程式,哈佛大學表示,他們從Oracle取得後已經套用,並持續監控,目前該校其他系統並未出現遭到入侵的跡象。
Crimson Collective鎖定企業AWS雲端環境竊取機密,並進行勒索
駭客組織Crimson Collective聲稱入侵Red Hat,從內部開發儲存庫竊得約800份客戶互動報告(Customer Engagement Report,CER),並已經利用這些資料入侵下游客戶,因而引起關注。然而有資安業者發現,這個駭客組織也針對企業組織的雲端環境而來,試圖竊取資料並進行勒索。
資安業者Rapid7近日發現Crimson Collective攻擊AWS雲端環境的活動增加,駭客試圖竊取企業組織的機敏資料,並進行勒索。他們通常透過外流的身分驗證及存取管理系統(IAM)帳號,或是長期存取金鑰來啟動攻擊流程,過程中藉由建立額外的政策來新增使用者並提升權限。若是得逞,駭客就會找出有價值的資料並濫用AWS服務傳送至外部,最後留下勒索訊息。
根據目前掌握的資訊,Crimson Collective似乎偏好資料庫與專案儲存庫,以及其他有價值的資料。附帶一提的是,這些駭客通常會使用相同環境的多個憑證遭外洩的帳號,並透過數個IP位址從事活動,加上他們還會在勒索軟體自稱「我們」,因此Rapid7認為,該組織背後可能有許多人參與,但仍不清楚組織的組成。
中央廣播電臺網站橫幅遭置換,檢警二度搜索,涉案員工意圖國慶日再度犯案
9月底中央廣播電臺(央廣)發布公開聲明表示,他們在9月11日晚間發現網站遭不明人士入侵,首頁的橫幅(Banner)被惡意置換,他們主動檢送相關事證到臺北市警察局,並向法務部調查局報案,根據資通安全管理法規定向主管機關數位發展部通報,由於該電臺專門代表臺灣向全球發聲,消息一出引起臺灣社會高度關注。後續傳出這起事故可能是有資訊背景的吳姓員工所為,該員工喊冤,聲稱是要讓公司知道網站不安全才這麼做,究竟是真的想要提出警告還是另有目的?最近檢警有了進一步的動作。
10月13日臺北地方檢察署發布新聞稿,認為有3人涉案,分別是:央廣網站管理技術人員吳姓員工,以及岳姓主管與資訊廠商黃姓男子,他們涉犯刑法第342條第1項背信及刑法第358條、第359條妨害電腦使用等罪嫌,且多次入侵央廣的網路系統。值得留意的是,這些被告原本還打算在國慶日當天,再度發動置換網頁的攻擊行動,這樣看來,顯然與提出警告的說法沒有直接關連。
另一個與嫌疑人「警告」說法無關的事證,則是各家新聞媒體報導不約而同提及的狀況:吳嫌在央廣網站植入的內容,是中共的五星旗。
今年5月輔大醫院傳出周姓治療師在院內電腦安裝轉發伺服器元件Ngrok,恐將病人資料外流惹議,近日出現新的消息引起媒體報導。9月25日新北地方法院做出判決,指出該名治療師明知不得在醫院電腦設備擅自安裝軟體的情況下,去年10月21日於該院呼吸治療辦公室的其中兩臺電腦主機植入Ngrok,並在另一臺電腦安裝雲端硬碟掛載程式RaiDrive,然後藉此使用外部電腦存取輔大醫院網頁,製作上下班出勤記錄、讀取檔案,損害輔大醫院資訊系統、差勤系統之正確性及完整性。
新北地方法院指出,周嫌涉犯刑法第358條無故侵入他人電腦相關設備罪嫌,雖然他坦承犯行並與院方和解,然而此人曾在2019、2020年犯下類似案件,被判處有期徒刑2個月及緩刑2年,並非初犯,不宜宣告緩刑。法院決定判處有期徒刑2個月,或以1千元折算1日易科罰金。
10月13日輔仁大學院長黃瑞仁表示,他們已召開人力資源規劃暨評議委員會,決議解雇這名治療師,強調絕不容忍任何可能危害資訊安全的行為。
其他攻擊與威脅
◆美國律師事務所Williams & Connolly遭駭,中國駭客疑透過零時差漏洞得逞
◆針對防火牆雲端組態備份服務遭駭,逾100個SSL VPN帳號受影響
◆針對GoAnywhere零時差漏洞攻擊事故,Fortra公布事件發生經過
◆中國駭客UTA0388濫用大型語言模型從事網釣活動,意圖散布惡意程式GoverShell
【漏洞與修補】
Oracle修補EBS高風險漏洞,若不處理,攻擊者可未經授權存取敏感資料
10月11日Oracle發布資安公告,修補旗下ERP系統E-Business Suite(EBS)資安漏洞CVE-2025-61884,攻擊者可在不需通過身分驗證(輸入帳號、密碼)的情況下,進行遠端利用,一旦成功觸發,就有機會存取敏感資源。由於本月初才爆發勒索軟體Clop(Cl0p)附屬團體利用零時差漏洞CVE-2025-61882發動大規模攻擊,這項新漏洞的揭露,很難不讓人聯想,可能與這起事故有關。
CVE-2025-61884出現在EBS的Runtime UI元件,影響12.2.3至12.2.14版EBS,CVSS風險為7.5分。這項漏洞相當容易利用,未經授權的攻擊者只需透過HTTP進行網路存取,就有機會以此滲透Oracle Configurator。一旦成功利用漏洞發動攻擊,攻擊者就有機會未經授權存取重要資料,或是完全存取Oracle Configurator能夠存取的所有資料。
【資安產業動態】
經過多年宣導和提醒,時間來到了2025年10月14日,微軟將正式為Windows 10軟體更新畫下句點。從10月15日起,Windows 10大部分商用及消費者版本(Enterprise、Pro、Home、Education、IoT Enterprise)都不會再獲得安全及功能更新,以及技術支援。微軟呼籲用戶為確保安全性,應升級到Windows 11,或為Windows 10取得延伸安全更新(Extended Security Update,ESU)。
此外,在Windows 10平臺部署的單機版Office應用程式(Office 2016、Office 2019、Office 2021、Office 2024,以及對應的LTSC版本)雖然仍可使用,但再也不會獲得功能更新。不過,根據微軟說明,為了讓用戶在轉換Windows 11之前維護安全性,他們決定為Windows 10的Microsoft 365用戶提供額外的3年安全更新,預計支援到2028年10月10日。
近期資安日報
【10月13日】中國駭客利用監控工具Nezha攻擊網頁伺服器,臺灣受害最嚴重
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
2025-12-04