不要错过 - 頁面 8

印度海德拉巴國際資訊科技研究所（International Institute of Information Technology, IIIT ）的資安研究人員，近日發現一種新式攻擊方式，命名為 AutoSpill；駭侵者可以透過這種方式，在 Android 手機密碼管理員自動填寫密碼時進行竊取。 研究人員指出，許多 Android 平台上的 app，經常使用 WebView 控制項來顯示網頁內容，例如 app 的登入頁面，而非將用戶導向到系統瀏覽器；這樣雖然可以提高使用者體驗的順暢度，讓使用者不必頻繁切換前景應用程式，但這也給 AutoSpill 帶來可趁之機。 研究人員說，Android 平台上的各種密碼管理工具，在各個 App 出現登入畫面時，也多會使用 WebView 架構來自動輸入使用者儲存下來的帳號與密碼；由於 Android 平台本身對於自動輸入的資料，在架構上就缺少明確的責任歸屬定義，因此這些資料可能被 host 應用程式所攔截。 IIIT 的研究人員指出，據該單位的測試，多數 Android 平台上的密碼管理工具，都無法避免遭到 AutoSpill 竊取密碼；即使沒有任何 JavaScript 指令注入，也無法倖免。包括多種極受歡迎的密碼管理工具如 LastPass 5.11.0.9519、1Password 7.9.4、Enpass 6.8.2.666、Keeper 16.4.3.1048、Keypass2Android 1.90c-r0 都在各種測試中遭到 AutiSpill 成功取得自動填寫的使用者名稱或密碼。 相對的，研究人員也指出，Google Smart Lock 13.30.8.26 和 DashLane 6.2221.3 由於採用了不同方式來自動填寫登入資訊，因此在未有 JavaScript 注入的情形下，不會洩露自動填寫的帳號與密碼。 在各密碼管理工具推出修復 AutoSpill 攻擊的新版本前，Android 使用者應提高警覺，避免自非正常管理下載安裝任何軟體或 APK 檔案，以免登入資訊遭竊。

資安廠商 Veracode 近日發表統計報告發現，在 Log4J 嚴重資安漏洞 CVE-2021-44228 公開後近 2 年，仍有近 38% 使用 Log4J 的應用程式，仍在使用含有漏洞的舊版程式庫。 Log4J 是由 Apache 基金會推出的開源程式庫，廣泛運用於大量網路相關應用程式中；在 2021 年 12 月時發現內含一個嚴重的免驗證遠端執行任意程式碼漏洞 Log4Shell，其 CVE 編號為 CVE-2021-44228，其漏洞危險程度評分高達滿分的 10 分。由於其使用的便利性，加上廣泛用於大量應用程式中，幾可稱為近年來最嚴重的資安漏洞，造成極大的危機。 而在 Log4J 漏洞公開並發布修補版本的兩年後，Veracode 以 90 天的時間，自 2023 年 8 月中到 11 月中，針對 3,866 個公私單位所使用的 38,278 個使用 Log4J 程式庫版本 1.1 到 3.0.0-alpha1 的應用程式進行普查，發現下列問題： 有 2.8% 仍在使用 Log4J 2.0-beta9 到 2.15.0，而這些版本直接內含 Log4Shell 漏洞； 有 3.8% 使用 Log4J 2.17.0，雖然這個版本不含 Log4Shell 漏洞，但仍含有另一個遠端執行任意程式碼漏洞 CVE-2021-44832； 有高達 32% 仍使用早在 2015 年 8 月就不再受到 Apache 官方支援的 Log4J 1.2.x 版本；這些版本含有多個漏洞，包括 CVE-2022-23307、CVE-2022-23305 和 CVE-2022-23302 等。 上述應用程式合計達到 38%，仍在使用含有多種漏洞的舊版 Log4J 程式庫。 Veracode 也在調查中指出，有高達 79% 開發者在完成其程式碼後，為了擔心功能受到影響，因而從不更新使用的第三方程式庫版本；然而 65% 的開源程式碼的小改版，並不會影響其功能。 統計也指出，有 50% 的程式開發專案，在被發現高危險性安全漏洞後，要花上超過 65 天才會處理其資安問題。 使用各種第三方程式庫的開發專案，應更加注意程式庫的資安通報，在有更新版本時盡早更新程式庫，以免造成資安問題。

Microsoft 日前推出 2023 年 12 月例行資安更新修補包「Patch Tuesday」，共修復 34 個資安漏洞；其中含有 1 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。 本月 Patch Tuesday 修復的漏洞數量僅有 34 個，較上個月（2023 年 11 月）的 58 個資安漏洞大為減少；而在這 34 個漏洞中，僅有 4 個屬於「嚴重」等級，另有 1 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 8 個遠端執行任意程式碼 (RCE) 漏洞。 以漏洞類型來區分，這次修復的資安漏洞與分類如下： 執行權限提升漏洞：10 個； 遠端執行任意程式碼漏洞：8 個； 資訊洩露漏洞：6 個； 服務阻斷（Denial of Service）漏洞：5 個； 假冒詐騙漏洞：5 個。 上述在本月的 Patch Tuesday 中修復的 34 個資安漏洞，並不包含已於 12 月 7 日修復的 8 個 Microsoft Edge 瀏覽器漏洞；而本月共解決了一個 1 個 0-day 漏洞如下： 該 0-day 漏洞是 CVE 編號為 CVE-2023-20588，存於特定 AMD 處理器中的除以 0 錯誤，可能讓駭侵者可以用來取得某些機敏資訊。原本 AMD 並未針對此漏洞推出修復，僅提供建議給開發者，以避免誘發此漏洞；而 Microsoft 則在本月的 Patch Tuesday 中針對本漏洞加以修復。 此外，本月的 Patch Tuesday 修復的 4 個嚴重等級顎洞，其中一個存於 Power Platform 中，屬於假冒詐騙漏洞，兩個存於 Internet Connection Sharing 中，屬於遠端執行任意程式碼漏洞，另一個存於 Windows MSHTML Platform 中，亦屬於遠端執行任意程式碼漏洞。 CVE 編號：CVE-2023-20588 等 影響產品：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。 解決方案：系統管理者與 Microsoft 用戶應立即依照指示，以最快速度套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。

荷蘭 Vrije Universiteit Amsterdam 的系統與網路安全研究小組（System and Network Security Group, VUSec Group）人員，日前發表一種全新的 CPU 攻擊方法，稱為 SLAM， 可透過旁路攻擊，自 AMD、Intel 與 ARM CPU 來竊取核心記憶體中的根密碼雜湊值。 報告指出，SLAM 是一種短暫執行攻擊方式，利用一種可以讓軟體使用位於 64 位元 metadate 儲存線性位址中的未轉譯位址位元（LAM）來進行攻擊。研究人員在一台執行舊版 Ubuntu 作業系統的 Intel 處理器電腦，利用模擬 LAM 功能的方式成功示範了 SLAM 攻擊。 研究人員指出，這種攻擊方式是針對軟體程式碼中可用以攻擊的無遮罩「gadgets」來著手；所謂「gadgets」是指駭侵者可在軟體程式碼中操弄以誘發預測執行的指令。攻擊者可透過觀察快取狀態的變更，取得其他程式甚至作業系統相關的機敏資料。 研究人員編寫了一個掃瞄工具，在 Linux 核心中發現了數百個可藉以發動攻擊的 gadgets，並在一段影片中示範如何透過 SLAM 攻擊 gadgets 來取得系統核心的根密碼雜湊值。 VUsec 指出，下列類型的各廠牌 CPU 都可能遭到 SLAM 攻擊： 含有 CVE-2020-12965 的現存所有 AMP CPU 機型； 支援 LAM 攻能的未來所有 Intel CPU 機型（包括四階段與五階段分頁功能）； 支援 UAI 與五階段分頁功能的未來 AMD CPU 所有機型； 支援 TBI 與五階段分頁功能的未來 ARM CPU 所有機型。 軟體開發者應依照各 CPU 製造商發表的指引編寫程式碼，以避免軟體系統遭到這類攻擊。

Google Play 日前開始在上架到該平台的 VPN（虛擬私人網路） App 欄位中，新增一個資安稽核標章，可顯示該 App 與其服務平台是否通過第三方的獨立資安認證。 Google 指出，要能在 Google Play 的 App 說明欄位中獲得此標示，App 與其服務平台必須符合 Mobile App Security Assessment (MASA) 的標準；而 MASA 則是由 App Defense Alliance (ADA) 制訂出的行動 App 資安認證標準。 MASA 的標準要求 App 與其服務平台，在資料儲存、資料隱私、加密、存取認證和工作階段管理 (session management)、網路通訊、平台互動與程式碼品質方面，都有相當嚴格的要求。 Google 會選擇 VPN App 作為首度導入 App 資安稽核標章的先導應用程式類型，主要原因是 VPN 應用程式對於使用者的資安與隱私保護深度相關，且會涉及使用者機敏資訊存取；在 Google Play 中顯示該標章的 App，即表示通過獨立第三方以 MASA 標準進行的資安認證，可為使用者提供多一層的保護與信任。 第三方資安認證廠商，會以 MASA 標準來對 App 的源碼、伺服器設定與配置進行稽核，並且試圖發現 App 中的資安錯誤與弱點，來判斷該 App 是否符合 MASA 標準，可以獲頒認證合格標章。 由於 Google Play 是屬於 Android 系統的官方 App Store，因此這個標章的推廣，對於強化 Android 平台的安全性，可以帶來正面的影響。 Google 目前要求所有在 Google Play 上架的 VPN App，都必須通過該認證；目前已通過第三方 MASA 認證且獲得認證標章的 VPN app，包括 Nord VPN、Google One、ExpressVPN 等。 未來 Android 使用者在 Google Play 下載各類 App 時，建議可以選擇具有該資安認證標章的 App，以提升安全性。

全球大型社群討論平台 Discord 日前發布新聞稿指出，該平台將在今年年底之前改用暫時性連結來提供檔案下載服務，以防駭侵者使用其 CDN 服務來放置惡意軟體。 Discord 在回覆資安專業媒體 BleepingCompter 的採訪時指出，該平台正在調整存於其 CDN 中檔案 URL 連結的實作方式，以加強資安防護，提供使用者更安全的使用環境。Discord 指出，新措施將可逐漸減少存放在該平台上的惡意軟體檔案數量，且讓該平台的資安團隊更有效地限制經使用者檢舉的檔案連結。 Discord 即將推出的暫時性檔案連結 URL，在今年年底全面實施後，URL 的有效期限將限縮在 24 小時以內，且檔案連結 URL 會新增三種參數，以強化對 URL 的控制。 資安專家指出，Discord 的新做法是外部期待已久的改變，因為有愈來愈多的駭侵者，利用 Discord 的檔案分享功能來置放其惡意軟體檔案，將 Discord 的 CDN 服務變成惡意檔案擴散平台；特別是進行金融詐騙或由國家力量幕後支援的惡意檔案，數量佔比最高。 據資安廠商 Trellix 的統計，至少有 10,000 個以上的駭侵攻擊活動，使用置放於 Discord CDN 服務的惡意軟體下載 URL 來散播惡意軟體檔案，或是將第二階段的惡意軟體酬載放在 Discord 平台上。 包括 RedLine Stealer、Vidar、AgentTesla、zgRAT、Raccoon Stealer 等惡意軟體，都會使用 Discord 來放置惡意檔案或指令檔。 建議使用者應避免任意點按不明來源傳來的連結，以免遭惡意軟體攻擊或植入。

資安廠商趨勢科技 (Trend Micro) 日前發表研究表告，指出該公司發現 4 個存於 Microsoft Exchange 的 0-day 漏洞，可能造成駭侵者藉以遠端執行任意程式碼，或竊取設備上的機敏資訊。 該公司在發現這批漏洞的 2023 年 9 月初，就立即向 Microsoft 通報這批 0-day 漏洞，這 4 個 0-day 漏洞目前暫無 CVE 編號，但有 Trend Micro 自有的編號 ZDI，分列如下： ZDI-23-1578：該漏洞為存於 ChainedSerializationBinder 類別的 RCE 漏洞；該漏洞原因是未能適當驗證使用者資料，駭侵者可以利用該漏洞來對未受信任的資料進行序列化還原（deserialization），並以 Windows 最高執行權限等級 SYSTEM 來執行任意程式碼； ZDI-23-1579：存於 DownloadDataFromUri 方法的漏洞，在資源存取前未能有效驗證 URI，可導致駭侵者竊取 Exchange Server 內的機敏資訊； ZDI-23-1580：存於 DownloadDataFromOfficeMarketPlace 方法，同樣屬於 URI 驗證不足的漏洞，可導致未經授權的資訊洩露； ZDI-23-1581：存於 CreateAttachmentFromUri 方法中，也屬於 URI 驗證不足漏洞，亦可造成機敏資訊遭竊。 所有漏洞都需要通過使用者身分驗證才能進行，致使其 CVSS 分數較低，約在 7.1 到 7.5 之間（滿分為 10 分）。 為避免駭侵者取得系統存取權並利用此批 0-day 漏洞，建議系統管理者應加強帳密安全性，並使用多重登入驗證機制。

印度中央調查局（Central Bureau of Investigation, CBI）日前指揮多個印度執法單位，同步於全印度 76 個地點展開全國網路犯罪大型查緝活動，以扼止各種網路詐騙活動。 這波大規模查緝的行動代號為 Operation Chakra-II，主要目標是要阻斷各種透過網路進行的金融犯罪集團運作。CBI 會同多個國際、國內執法單位和 Microsoft、Amazon 等跨國科技巨頭，共同展開這次執法行動。 這次展開掃蕩活動的地點多達 76 處，分別位於印度 Tamil Nadu、Pubjab、Bihar、Delhi、West Bengal 等省分；執法人員一共緝獲 32 部行動電話、48 部筆記型電腦與硬碟，以及 33 張 SIM 卡。 據 CBI 指出，這次執行行動也破獲 2 個涉嫌假冒 Microsoft 和 Amazon 客服支援中心的攻擊活動。該攻擊活動已進行長達 5 年以上，受害者多達 2,000 人以上，且分布遍及美國、加拿大、德國、澳洲、西班牙、英國等。 這批駭侵者會利用惡意軟體，在訪客電腦中顯示詐騙支援訊息，謊稱客戶的系統發生問題，需要撥打免費客服專線電話。當受害者撥打該電話後，由駭侵者假冒的客服人員，就會謊稱客戶的電腦系統發生嚴重問題，藉以收取高額維護費用。 根據美國聯邦調查局在 2022 年的網路犯罪調查報告指出，假冒客服人員的詐騙案件，在 2018 年到 2022 年間高居各式網路犯罪的前五大類型之一。單在 2022 年一年之間，這類詐騙造成的財務損失就高達 8 億美元。 建議各公私單位應隨時加強資安防護，如遇疑似詐騙客服，要求高額維修費用，應立即洽詢原廠管道進行確認。

資安廠商 Doctor Web 旗下的資安研究人員，近來發現有多個惡意 Android 應用軟體成功上架到官方應用程式商店 Google Play Store 內，假扮成各種遊戲來誤導使用者下載安裝；其總下載安裝次數突破 200 萬次。 研究人員指出，這些 App 內含的多半是 FakeApp、Joker、HiddenAds 的惡意軟體，其中 FakeApp 會將使用者導向投資詐騙網站或是網路賭場、Joker 會擅自訂閱高價服務，騙取訂閱費用分潤，而 HiddenAds 則是廣告惡意軟體，會不斷在使用者手機上顯示大量廣告。 據 Doctor Web 的報告指出，含有 FakeWeb 的惡意 Android 應用軟體，下載次數最多的如下：Eternal Maze (50,000 次)、Jungle Jewels (10,000 次)、Stellar Secrets (10,000 次)、Fire Fruits (10,000 次)、Cowboy’s Frontier (10,000 次)、Enchanted Elixir (10,000 次)。 內含 Joker 的惡意 Android App，下載次數較多的則有：Love Emoji Messenger (50,000 次)、Beauty WallPaper HD (1,000 次)。 內含 HiddenAds 惡意軟體的 Android App 下載次數則遠多於上述二者，包括 Super Skibydi Killer (1,000,000 次)、Agent Shooter (500,000 次)、Rainbow Stretch (50,000 次)、Rubber Punch 3D (500,000 次)。 建議 Android 使用者即使在官方 Google Play Store 中下載安裝軟體前，都應提高警覺，仔細閱讀其他使用者評價，再決定是否下載安裝。

資安廠商 F-Secure 近日發現一個名為 SpyNote 的 Android 木馬軟體捲土重來，再度展開大規模攻擊，竊取使用者通訊內容中的金融資訊，以竊取受害者帳戶中的資金。 這個名為 SpyNote 的 Android 木馬惡意軟體，首次發現是在 2022 年；據資安廠商的報告指出，這次 SpyNote 仍透過「Smishing」方式感染，即透過惡意釣魚簡訊發送含有惡意軟體 apk 檔下載連結的簡訊給潛在受害在，使用者如果點按該連結，並在自己的 Android 手機上安裝該 apk 檔案，就會遭到該惡意軟體的感染。 接下來 SpyNote 會要求使用者給予各種權限，甚至會自己產生點按動作，代替使用者授予全部系統服務存取權限，接著就會在使用者的 Android 手機中建立背景服務，開始將使用者手機中的各項資訊，包括盜錄用戶的通話內容錄音、擅自進行畫面截圖或錄影、記錄使用者的輸入按鍵與通聯對象記錄、各種服務的登入資訊、手機所在地的地理座標資訊等等，並將這些資訊傳送到駭侵者設立的控制伺服器。 此外，如同多種 Android 惡意軟體，SpyNote 也有多種設計以防遭使用者移除；除了隱藏該 App 的 icon，讓使用者難以發現之外，也會利用 Android 的內部系統服務來混淆其存在，使得 SpyNote 極難移除；如想完全移除，使用者只能將 Android 手機重置為出廠狀態。 Android 使用者應避免自來路不明處下載安裝任何 apk 檔案，例如即時通訊、網路討論區、不明人士傳來的簡訊等，以避免遭惡意軟體潛入裝置。