不要错过 - 頁面 3

蘋果於3月5日發布多個更新修補程式，其中包含2個針對iOS zero-day弱點緊急修補更新資訊，弱點編號分別為CVE-2024-23225、CVE-2024-23296，均屬於影響系統核心操作，致使記憶體保護失效，可能造成任意寫入未授權程式之情形，影響範圍包含iOS 17.4、iPadOS 17.4、iOS 16.7.6以及iPadOS 16.7.6。 雖然蘋果尚未透露有關利用這些零日漏洞的攻擊具體細節或幕後團體，但這種無需用戶互動即可利用的零點漏洞對於具有國家支持的駭客組織和高級網路犯罪組織極為搶手。 據稱iOS zero-day弱點已遭政府資助之組織型駭侵團體廣泛利用以植入間諜軟體，攻擊特定族群，在去年蘋果就修補了20個已遭利用的zero-day弱點。鑒於行動裝置iOS系統市占率高，建議使用者應即時更新作業系統，避免不必要損失。 受影響的產品如下: iPhone 8 iPhone 8 Plus iPhone X iPhone XS 及後續機型 iPad Pro 9.7吋 iPad Pro 12.9吋 第一代及後續機型 iPad Pro 10.5吋 iPad Pro 11 第一代及後續機型 iPad Air 第三代及後續機型 iPad 第五代及後續機型 iPad mini 第五代及後續機型

微軟的Exchange Server近期修補了一個嚴重的安全漏洞CVE-2024-21410(CVSS分數9.8)，網路上已有攻擊者利用該漏洞進行攻擊。CVE-2024-21410允許遠端未經身份驗證的攻擊者進行NTLM relay攻擊，從而提升其在系統中的權限並取得機敏資訊。根據最新報告顯示，高達97,000台Microsoft Exchange伺服器可能受到此漏洞的影響，當中28,500台已經確認存在漏洞。 攻擊者可能會以 NTLM 客戶端（例如 Outlook）為目標，利用 NTLM 憑證洩漏的漏洞，將洩漏的憑證中繼至 Exchange 伺服器，取得受害客戶端的特權，並以受害者的身分到 Exchange 伺服器上執行各項操作。 Shadowserver統計，受影響最嚴重的國家包括德國、美國、英國、法國等。微軟已於2月13日針對此問題發布了更新檔，建議系統管理員立即更新Exchange Server 2019 Cumulative Update 14（CU14）以解決此漏洞，該更新增強了NTLM憑證中繼保護。 美國國家資訊安全中心（CISA）已將CVE-2024-21410添加到其「已知遭利用的清單」中，目前尚未發現公開的CVE-2024-21410漏洞攻擊工具，因此也提高了攻擊者使用此漏洞攻擊的門檻。然而，考慮到其嚴重性，應盡早安裝更新程式和實施減緩攻擊的措施，以保護其Exchange伺服器被攻擊利用。

資安廠商Avast近日發表技術報告指出，北韓所屬駭客Lazarus利用Windows作業系統內AppLocker相關驅動程式(appid.sys)zeroday漏洞，取得系統核心(kernel)權限，用以關閉系統內安全防護機制，藉以規避異常BYOVD(Bring Your Own Vulnerable Driver)告警，降低異常行為遭察覺的可能性。 另外，在調查過程當中亦發現關聯至Lazarus族群之惡意程式樣本，包含經過升級版本的FudModule rootkit、新型態的後門等，可躲避Microsoft Defender與CrowdStrike Falcon等偵測防護機制；另提供FudModule相關yara規則可供自我檢測確認自身是否有所影響。 該弱點對應編號為CVE-2024-21338，微軟已納入排程(February Patch)並於近日完成修補，建議企業組織能即時完成作業系統更新，提高資安防護能力，減少遭利用攻擊並造成損失之風險。

美國網路安全暨基礎設施安全局(CISA)於近期將漏洞CVE-2020-3259加入CISA已知遭利用的清單中，並表示Akira勒索軟體組織正積極尋找尚未修補的Cisco Adaptive Security Appliance (ASA) 與 Firepower Threat Defense (FTD)安全漏洞。   資安研究員Kevin Beaumont也提出警示，發現Akira 和 Lockbit 勒索軟體組織正在尋找尚未修補的Cisco ASA安全漏洞，並嘗試進行攻擊。   Cisco於2020年5月已針對CVE-2020-3259發布更新，此漏洞主要造成資訊洩漏，允許未經身份驗證的遠端攻擊者取得受影響設備上的記憶體內容，進而導致機密資訊洩露。資安研究員Heresh Zaremand表示，CVE-2020-3259漏洞並沒有公開可利用的程式碼，若要利用該漏洞，需要購買或自行產生攻擊程式。   Akira是2023成立的資料外洩網站之一，公開聲稱有200名的受害者，2023 年第四季，Akira 在其資料外洩入口網站列出49名受害者。依據Trellix部落格顯示的資訊，受害國家以歐美地區為主，其中是以服務業、製造業領域為對象。   Cisco 設備廣泛的應用在各個組織之中，也因此經常成駭客攻擊的目標，已修補的漏洞仍有PoC不斷出現，簡化了攻擊者的流程，同時也降低門檻。建議應定期檢視使用Cisco ASA/FTD更新情況，並若設備開啟AnyConnect SSL VPN功能，建議將ASA升級到最新版本。

五眼聯盟發布了新的網路安全警示，指出攻擊者正在利用 Ivanti Connect Secure 與 Ivanti Policy Secure 已知的安全漏洞發動攻擊。此外，五眼聯盟提出完整性檢查工具(ICT)可能有設計上的瑕疵，因此不能提供正確的安全狀態。 美國CISA與國際合作夥伴共同發布之聯合網際安全警示報告（Joint Cybersecurity Advisory）提到"Ivanti ICT 不足以檢測入侵行為，即使對系統進行出廠重置，攻擊者仍可能可以控制存在漏洞的系統。” 自 2024 年 1 月 10 日以來，Ivanti 產品已被揭露五個安全漏洞，其中有四個正在被多個攻擊者活躍利用以部署惡意軟體： CVE-2023-46805（CVSS 評分：8.2）- Web 元件中的身份驗證繞過漏洞 CVE-2024-21887（CVSS 評分：9.1）- Web 元件中的命令注入漏洞 CVE-2024-21888（CVSS 評分：8.8）- Web 元件中的權限提升漏洞 CVE-2024-21893（CVSS 評分：8.2）- SAML 元件中的 SSRF 漏洞 CVE-2024-22024（CVSS 評分：8.3）- SAML 元件中的 XXE 漏洞 Mandiant發表的分析報告中，描述了一個名為BUSHWALK的惡意軟體加密版本，該軟體被放置在ICT排除掃描的目錄/data/runtime/cockpit/diskAnalysis中。 澳洲、加拿大、紐西蘭、英國及美國的研究機構則表示：「對於網路防禦者來說，最安全的做法是假設攻擊者可能會在系統被重置後布署rootkit持續潛伏與控制設備。」，並敦促組織在決定是否繼續在企業環境中操作這些設備時，要 "考慮到攻擊者存取與持續使用 Ivanti Connect Secure 與 Ivanti Policy Secure 的重大風險。” 網路安全公司Akamai分享的資料顯示，每天檢測到約 25 萬次的利用嘗試，針對超過1,000個客戶進行攻擊，這些攻擊來自18個不同國家，超過3,300個攻擊IP位址。 Noam Atias與Sam Tinklenberg表示：“這些攻擊嘗試大多是試圖傳遞一個payload，該payload會向攻擊者控制的網域發送一個請求，作為成功遠端執行命令的證明。” Ivanti 針對五眼聯盟提出的警示表示，在實施安全性更新與恢復出廠設定後，尚未發現有任何攻擊者仍持續存在的情況。此外，他們亦發布ICT的新版本，聲稱這個新版本為客戶系統上存在的所有檔案提供了更多的可見性。

Google 日前宣布在其 Android 應用程式商店 Google Play Store 的 Google Play Protect 保護機制中推出全新惡意軟體即時掃瞄功能，以強化該平台對於 Android 平台上日益猖獗惡意軟體的防護能力。 Google Play Protect 是 Google Play Store 中內建的主要防護機制，可在裝置上進行惡意軟體掃瞄，每日總掃瞄次數可達 1,250 億次。該工具不只可掃瞄下載自 Google Play Store 的應用軟體，也可以掃瞄自第三方 App Store 或網路上不明來源處下載的 APK 檔案。 過往駭侵者常會利用「安裝後載入」的手法來規避 App 上架到 Google Play Store 時的惡意軟體掃瞄措施，方法是在上架 Google Play Store 時先上架無害的版本，待使用者下載安裝到其裝置後，再從外部伺服器載入惡意軟體酬載。 為防止駭侵者繼續以這種方式植入惡意軟體，強化版的 Google Play Protect 會在裝置上進行掃瞄，並將掃瞄結果傳送到 Google Play Protect 的後端架構進行程式碼分析，同時以機器學習來累積掃瞄經驗；，一旦發現惡意軟體訊號時，即會通知使用者。 Google 目前已在印度和部分指定國家推出 Google Play Protect 新機制，且會陸續在全球其他國家推出。 資安專家指出，Google 這套新系統雖然無法防杜所有 Android 平台上的惡意軟體，但應能有效降低該平台上過去未能偵測出的惡意軟體數量。 專家也表示，惡意軟體開發者當然也會試圖找出這套系統的弱點，因此加強使用者自我保護的觀念與使用習慣，仍然十分重要。 建議 Android 平台使用者在此系統可使用時下載安裝，且仍應維持良好習慣，絕不安裝來路不明的 APK 檔案。

資安廠商 Guardio 旗下的資安專家，近期發現有駭侵者使用一種全新的手法來散布惡意程式碼；即利用區塊鏈來藏匿惡意程式碼，藉其去中心化的特性，使其駭侵手法更不容易偵測防範。 Guardio 在兩個多月前發現有駭侵者利用這種稱為「ClearFake」的手法來進行攻擊。原本該駭侵者係使用遭到入侵成功的 WordPress 網站來放置惡意程式碼，並利用 CloudFlare 的 Worker 功能進行重新導向；但因該 ClouldFlare Worker 遭發現而下架，之後駭侵者便改用 Binance Smart Chain 區塊鏈來存放其惡意程式碼。 Guardio 指出，駭侵者首先利用已知漏洞駭入多個 WordPress 網站，或是竊得該網站的 admin 登入權限，然後在其網站頁面中植入兩段指令碼，該指令碼會自 Binance Smart Chain 中載入惡意程式碼，再將這段惡意程式碼嵌入到 WordPress 的頁面中。這段程式碼會連線到一台控制伺服器，並載入第三段惡意軟體酬載；受害者如果不慎進入該受駭的 WordPress 網站，會看到假冒的 Chrome、Firefox、Edge 瀏覽器更新畫面，誘騙使用者按下更新按鈕並下載另一段惡意軟體。 Guardio 說，這種利用區塊鏈來放置惡意程式碼的手法十分新穎。由於區塊鏈具備去中心化與不可篡改的特性，因此置入到區塊鏈中的惡意軟體程式碼是無法下架的。而 ClearFake 也利用區塊鏈來記錄控制伺服器的位置資訊，因此要是有某台控制伺服器遭到破獲下線，駭侵者也可在區塊鏈上輕鬆新增新伺服器的位址資訊。 這種利用區塊鏈來存放惡意程式碼的新手法，目前難以防治；以此案為例，僅能由加強 WordPress 網站本身的資安防護功能來入手。

美國資安主管機關「網路安全暨基礎設施安全局」（Cybersecurity and Infrastructure Security Agency, CISA），日前公布一批勒贖攻擊團體經常用於攻擊的漏洞與資安設定錯誤樣態， 目的是要協助關鍵基礎設施強化資安防護能力。 CISA 於 2023 年 1 月起開始推動「勒贖軟體漏洞警告先導計畫」（Ransomware Vulnerability Warning Pilot, RVWP）專案，並且經常新增相關資訊；本次公布的資訊即屬 RVWP 專案的防護資訊更新。 至今為止，CISA 的 RVWP 計畫已經公布超過 800 個經常遭到勒贖團體攻擊使用的各式軟體與系統的資安漏洞與錯誤資安設定，其目的在於提供各種經常遭勒贖攻擊鎖定的全球關鍵基礎設施或服務，依其指引提升資安防護量能，避免因為遭到勒贖攻擊而導致關鍵基礎設施服務中斷，因而造成重大影響。 CISA 指出，雖然該單位過去已經推出「遭攻擊已知漏洞」（Known exploited vulnerabilities, KEV）清單供各公私單位參考使用，且在該清單中額外加上一個欄位，專門標示易遭勒贖攻擊駭侵者使用的資安漏洞，但為因應日益猖獗的勒贖攻擊，CISA 決定推出 RWVP 通報，以強化針對勒贖攻擊的防護量能。 CISA 也同時推出一個專為防杜勒贖攻擊的入口網站「StopRansomware.gov」，其目的在於集中提供各種防範並處理勒贖攻擊的多種有用資訊。 建議各公私單位可參考 CISA 提供的各類資安防護通報，並依其指引提升防護能力，以提高安全性。

資安廠商 Proorfpoint 與 Ponemon Institute 日前聯合發表一份針對醫療保健單位的資安研究調查報告「The Cost and Impact on Patient Safety and Care」；報告指出，僅有 45% 的醫療單位具備防護 BEC 與供應鏈攻擊的能力，且 64% 醫事單位在近兩年內平均遭到 4 次供應鏈攻擊。 這份調查報告向 17,805 名負責醫事單位資安或 IT 權責人員發出問卷，有效填答問卷有 653 份，調查對象包括各大公私立醫療院所、醫療健康保險業者、生物科技相關業者、藥事單位等。 調查報告揭露的重要數字如下： 88% 的受訪者曾在過去 12 個月內至少遭到 1 次駭侵攻擊； 平均遭到的資安攻擊次數達 40 次； 54% 受訪者在過去 2 年內平均遭到 4 次勒贖攻擊； 54% 受訪者在過去 2 年內平均遭到 5 次 BEC 攻擊； 64% 受訪者在過去 2 年內平均遭到 6 次供應鏈攻擊； 63% 受訪者在過去 2 年內其雲端平均遭到 21 次駭侵攻擊； 53% 受訪者表示遭到攻擊最多的雲端服務為專案管理與遠距會議系統； 高達 100% 受訪者都曾發生至少 1 次造成醫療資料被竊或損失的攻擊； 各受訪者平均有 19 次攻擊事件會造成資料損失； 47% 受訪者表示院內員工不了解其透過 email 分享的資料會有隱私與機密問題。 另外有 61% 受訪者認為自攜設備（BYOD）的使用會帶來更多資安隱患，比例較去（2022）年提高 34%；而對 BEC/冒名釣魚攻擊的憂慮，也自前一年的 46% 提高到今年達 62%。 建議各醫療單位除應強化自身的資安防護能力外，對從業人員的資安教育訓練亦應大幅加強。

資安廠商趨勢科技 (Trend Micro) 日前發表研究報告，指出該公司發現一個名為 DarkGate 的惡意軟體，近期利用竊得的 Skype 帳號，以訊息傳遞含有惡意軟體指令檔的附件給目標攻擊對象來發動駭侵攻擊。 趨勢科技的研究人員，在 2023 年 7 月到 9 月間觀察到 DarkGate 的一波攻擊行動；駭侵者利用不明方式駭入某些 Skype 帳號並混入該帳號進行中的對話，然後將含有惡意軟體的檔案名稱，改成符合對話內容的形式後傳遞給受害者。 傳送給受害者的檔案中，含有 VBA 載入指令，可進一步載入 AutoIT 惡意軟體酬載，用來載入並執行最終的 DarkGate 惡意軟體酬載。 趨勢科技指出，目前並不清楚這些 Skype 帳號是如何遭到竊取，以用於發送惡意軟體的，有可能是來自於駭侵討論區或暗網中出售的使用者登入資訊。 此外，趨勢科技也觀察到 DarkGate 駭侵者試圖透過駭入企業通訊用的 Microsoft Teams 對話串來散布 DarkGate 惡意軟體與其他釣魚惡意程式碼；遭到攻擊的主要是開放給企業外部使用者加入對話的 Teams 工作群組對話。 趨勢科技指出，駭侵者係利用已遭到攻擊竊取的企業外部 Office 365 使用者帳號，並使用可輕易取得的駭侵工具 TeamsPhisher 來發動攻擊；駭侵者利用該工具來跳過針對 Microsoft Teams 外部使用者的檔案分享限制，並且發送釣魚附件檔案給討論群組中的使用者。 建議企業加強對內部訊息討論群組的資安防護，分享相關文件、試算表或簡報應盡可能避免直接分享檔案，可改使用線上版生產力工具，以杜絕惡意指令碼的執行。