不要错过 - 頁面 18

Microsoft 於近日推出 2022 年 9 月的 Patch Tuesday 每月例行更新修補包，一共修復 63 個該公司旗下各種產品的資安漏洞，其中包括 5 個嚴重等級資安漏洞，更有 1 個已遭大規模用於駭侵攻擊；用戶應立即將使用中的 Microsoft 各種產品更新至最新版本，以避免遭駭侵者用於攻擊。 以類型來區分，在這次 Patch Tuesday 得到修補的資安漏洞分別如下： 執行權限提升漏洞：18 個； 資安功能略過漏洞：1 個； 遠端執行任意程式碼漏洞：30 個； 資訊洩露漏洞：7 個； 服務阻斷攻擊漏洞：7 個； Edge - Chromium 瀏覽器組件漏洞：16 個。 本月的 Patch Tuesday 中同時修兩個已知的 0-day 資安漏洞，其中有一個 0-day 漏洞已遭駭侵者大規模用於攻擊；該漏洞的 CVE 編號為 CVE-2022-37969，存於 Windows Common Log 檔案系統驅動程式，駭侵者可用以提升執行權限，取得系統等級權限；已有多家資安廠商如 DBAPPSecurity、Mandiant、CrowdStrike、ZScaler 等發現駭侵者利用此漏洞發動攻擊活動。 另一個獲得修補的 0-day 漏洞是 CVE-2022-23960，屬於 Cache Speculation Restriction 漏洞。 此外，在這次 Patch Tuesday 中獲得修補的 5 個嚴重等級漏洞，有兩個存於 Microsoft Dynamics，兩個存於 Microsoft IKE Extension，另一個存於 Microsoft TCP/IP。 建議 Microsoft 各種作業系統與軟體用戶暨系統管理員，應立即依各該軟體的更新流程，將之更新為最新版本，以免遭到駭侵者利用已公開卻未及更新的軟體漏洞發動攻擊。

荷蘭警方近日宣布，於今（2022）年 9 月 6 日前逮捕一名 39 歲男子，該男子涉嫌竊取數千萬歐元等值加密貨幣並且進行洗錢。 荷蘭警方表示，在接獲該國與義大利受害者報案後，警方與該國中央網路犯罪偵辦單位協力合作，監控特定比特幣交易後，終於找到該名犯罪分子的行蹤，並於一個叫 Veenendaal 的小村將其逮捕。 警方在聲明中說，該名嫌犯所有透過犯行得到的不法獲利，目前均以加密貨幣形式遭到警方扣押；該嫌犯雖然在 9 月 8 日獲釋，但警方對其犯罪行為的調查仍在繼續進行中。 警方在聲明中指出，該嫌犯係利用植入惡意程式碼的更新版加密貨幣錢包 Electrum Wallet 來竊取受害者的加密貨幣。Electrum 是一個開源比特幣數位錢包，可以用來儲存用戶的加密貨幣資產。 警方目前尚未提供關於此案駭侵手法的詳細說明，不過荷蘭警方向媒體表示，嫌犯是透過釣魚攻擊來散布植入了惡意程式碼的 Electrum 錢包；嫌犯極可能在 Electrum 中植入了可竊取受害者電腦資訊的惡意程式碼，或是利用釣魚攻擊誘騙受害者輸入機敏資訊，因此能夠掌握受害者用以復原加密貨幣錢包的復原短語。 只要輸入正確的復原短語，駭侵者即可在自己的設備上，完全存取受害者加密貨幣錢包，並且輕易竊走錢包內的加密貨幣資產。 加密貨幣投資者應特別注意資產安全，避免將加密貨幣儲存在可透過網路連線存取的「熱錢包」，避免自不明來源下載相關軟體，同時絕不將復原短語告知任何人。

美國資安主管機關「網路安全暨基礎設施安全局」（Cybersecurity and Infrastructure Security Agency, CISA） 日前下達命令，要求聯邦政府旗下各單位必須在限期之內修補新加入「已知遭攻擊漏洞」清單（Known Exploited Vulnerabilities, KEV）的 12 個以上資安漏洞，其中包括 Google Chrome 0-day 漏洞。 這些漏洞多半已經遭到各大駭侵團體大規模用於攻擊，其中包括已在 9 月 2 日推出修補版本的 Google Chrome 0-day 漏洞 CVE-2022-3075、已經發生大規模 Deadbolt 勒贖攻擊的網通產品漏洞 CVE-2022-27593，以及遭到 Mirai 以及 Moobot 僵屍網路大規模攻擊的兩個嚴重漏洞 CVE-2022-28958 與 CVE-2022-26258 等。 其他於此次列入清單中的漏洞，還包括 Apple iOS、iPadOS、macOS 的輸入驗證漏洞（CVE-2022-9934）、Oracle WebLogic Server 的不明漏洞（CVE-2018-2628）、Android OS 權限提升漏洞（CVE-2011-1823）等。 根據 CISA 指出，在該局將最新漏洞加入其「已知遭攻擊漏洞」清單後，所有聯邦旗下的民事相關單位，都必須依照於去（2021）年 11 月頒布的強制操作指引（Binding Operational Directives, BOD) 22-01 之規定，限期完成新加入漏洞的修補作業。 以這次的情形而言，各聯邦所屬單位將有三星期的時間完成各項修補作業，最遲應於 11 月 29 日前全部完成。 雖然美國 CISA 這類命令只對美國聯邦政府旗下單位具有約束力，但仍建議我國各公私營單位密切注意 CISA 發布的各項資安通報與修補命令，參考其資安防護指引修補漏洞，並強化自身的駭侵攻擊防禦能力。

資安廠商 Norton 旗下研究單位 Norton Labs 的資安專家，近期發表研究報告指出，有超過 80% 的大型網站，會將網友在其網站上搜尋站內資訊時輸入的關鍵字，透露給如 Google 之類的網路廣告業者；這種行為可能造成用戶隱私侵害問題。 Norton Labs 為研究用戶瀏覽網站受到阻礙的情形，開發出一個網頁爬蟲程式，首先模擬真人用戶進行站內搜尋，並在搜尋框內輸入「JELLYBEANS」當做搜尋關鍵字，然後收集網站所有網路流量進行分析，結果發現分析目標的 100 萬個網站中，有高達 81.3% 網站與第三方網站之間的連線要求的後續傳送資料中出現了「JELLYBEANS」這個關鍵字，足證用戶輸入的站內搜尋關鍵字，被傳送到第三方網站中；而這些第三方網站中，絕大多數都是網路廣告相關業者的伺服器。 藉由分析這些連線要求封包標頭中的資訊，Norton Labs 可以掌握取得「JELLYBEANS」關鍵字的，是哪些第三方網站；Norton 同時也發現用戶輸入的站內搜尋關鍵字，有 75.8% 透過 Referer header 來傳送，也有高達 71% 透過 URL 的後綴參數來傳送。 Norton 指出，雖然各大網站都備有大篇幅的隱私保護政策，但真正有在其隱私保護政策中明確說明會將用戶的搜尋內容傳給第三方的網站，僅佔 13%；其他 75% 網站都只用概括性的描述「與第三方分享用戶相關資料」輕輕帶過。 針對網站把用戶輸入的關鍵字傳送給第三方網站的做法，目前沒有太多防範措施；不過為了避免這些輸入資訊與個人可追蹤身分連結起來，導致用戶隱私進一步的侵害，建議用戶可使用工具來阻擋網頁中埋入的跨站追蹤機制，或使用具備跨站追蹤阻擋功能的瀏覽器，例如 Safari、Firefox 等。

獨立資安研究人員 Bobby Rauch 近期發現一種針對工作社群討論軟體 Microsoft Teams 的全新攻擊手法，可利用 Microsoft Teams 的一系列資安漏洞，透過特製 GIF 圖檔來發動釣魚攻擊、資料竊取等多種駭侵攻擊。 專家指出，這種攻擊手法主要是利用一個稱為 GIFShell 的惡意軟體組件，利用 Microsoft Teams 一系列資安漏洞，在受害電腦中建立起「反向殼層」（Reverse Shell），並以此反向殼層來傳送夾帶惡意指令，以 base 64 編碼的 GIF 檔案。 為建立這種攻擊模式，駭侵者首先要設法讓 Microsoft Teams 工作群組中的某個成員，在其電腦中安裝一個可用以執行駭侵指令的惡意 stager，同時在該工作群組中設立一個駭侵者自己控制的帳號。 接下來，駭侵者可以利用 GIFShell 將含有惡意指令的特製 GIF 檔傳送到群組中，受害者電腦上的 Microsoft Teams 會將該圖檔存在 log 檔中；由於任何低執行權限的人都可以查看該 log 檔，因此 stager 也會監視並接收存在 log 檔 GIF 圖檔內的惡意指令，並將之解碼成文字指令，再交由 GIFShell 惡意軟體來執行；駭侵者便可以此流程發動各種駭侵攻擊，包括釣魚攻擊、資料竊取等等。 Bobby Raush 是在今（2022）年 5 月到 6 月之間發現這種攻擊手法，並立即通報  Microsoft，不過根據資安專業媒體 BleepingComupter 的報導，Microsoft 並未立即修正可導致這種攻擊手法的一系列資安漏洞，而是指出這種攻擊手法的運用必須先要有用戶遭駭入，只要用戶能夠提高自己的資安防護能力與意識，該公司認為沒有立即危險，將會在未來的版本再行修復相關漏洞。 不論一般用途或工作使用的社群溝通軟體，建議用戶都應避免自不明連結下載安裝任何應用程式，也勿輕率點按不明連結，以降低遭這類攻擊鎖定的機率。

美國西北大學的資安研究人員團隊，近來發現 Linux 核心中有一個存在長達 8 年未被發現的漏洞「Dirty Cred」，可能導致駭侵者提升執行權限，並可遠端執行任意程式碼。 該漏洞的 CVE 編號為 CVE-2022-2588，存於 Linux 核心內對於 cls_route 篩選器的實作中，屬於已釋放記憶體漏洞（use-after-free）。駭侵者如果取得本機的 CAP_NET_ADMIN 權限，即可利用此漏洞以進一步提升執行權限，造成系統崩潰或執行任意程式碼。 同一組研究人員，日前在於 Black Hat 資安研討會上揭露另一個存於 Linux 核心版本 5.8 及後續版本的「Dirty Pipe」漏洞（CVE-2022-0847），可輕易繞過 Linux 諸如隨機核心位址與指標完整性檢查等安全機制，利用 Linux 核心的管線機制，在任意檔案中注入資料；而新發現的 Dirty Cred 則不需利用 Linux 核心管線機制，因此使用更加簡便，破壞能力也更大。 研究人員指出，Dirty Cred 的運作原理，是將無權限的核心登入資訊更換成有權限者，無需在核心 heap 中覆寫任何重要資料欄位，只要利用 heap 記憶體重新使用機制，即可取得更高的執行權限。 研究人員也已透過概念證實程式，在 Linux 與 Android 系統上成功實作利用 Dirty Cred 的駭侵攻擊手法。 目前 Linux 開發團隊仍在針對此漏洞發展修補方式，尚未釋出更新；研究人員指出，在虛擬記憶體中將具備權限的登入資訊與不具備權限的登入資訊隔開，以防止跨快取攻擊，可能可以防止駭侵者利用 Dirty Cred 漏洞發動攻擊。

使用者眾多，功能與 Google Authenticator 相似的二階段驗證碼產生器 Authy，經證實在本（2022）年 8 月初 Twilio 遭到駭侵攻擊時，有部分帳號資訊遭到駭侵者竊走；因此駭侵者將可取得這些用戶在各種網路服務在使用時須輸入的二階段驗證碼。 Authy 是由 Twilio 公司於 2015 年併購的服務，主要服務是一種簡單好用的二階段驗證碼產生器，由於可以方便地跨平台同步用戶須產生驗證碼的服務帳號，不必逐一輸入或掃瞄二維條碼，因此相當受到歡迎。 Twilio 最近開始針對該公司在 8 月初遭到的駭侵攻擊事件進行調查，調查證實共有 93 名 Authy 用戶的帳號遭到駭侵者不當存取；這也表示駭侵者將可取得這些用戶在登入各種服務時使用的二階段驗證碼，這樣即可輕易竊取這些服務的帳號控制權。 Twilio 表示為了減低影響層面，該公司立即撤銷了未授權裝置上的 Authy 驗證相關資訊，並與受影響的使用者聯絡，建議採取以下策略： 檢查利用 Authy 產生驗證碼的帳號與服務，是否出現不正常的存取或使用情形。 移除任何未經授權裝置的 Authy 連結，阻止其使用 Authy 產生驗證碼。 設定一台備份裝置，然後暫時停用 Authy 的跨裝置使用功能。 雖然此次受影響的 Authy 使用者人數相對較少，但類似攻擊事件仍有可能再次發生；為避免自己的二階段驗證碼遭駭侵者取得，用戶可依上列建議策略操作，隨時注意保護自己的二階段驗證碼不會外洩。

資安廠商 PT SWARM 日前發表研究報告，指出該公司發現一種利用憑證透明度（Certificate Transparency, CT）機制發動攻擊的手法，可以利用「時間相關性」攻擊，可以一次取得大量網域。 報告指出，當代的網站為了避免安全憑證過期而造成網站無法存取，多會利用自動化的 TLS 憑證核發與更新機制，例如企業用的 DigiCert、民用的 Let’s Encrypt 與 ZeroSSL 等。 PT SWARM 發現在這種憑證核發的過程中，存有弱點可進行攻擊；任何人都可以利用這種方法，大量取得登記在同一台伺服器上的所有網域名稱；由於許多憑證核發單位都在同一時間更新憑證，該公司因而發現可以利用這種「時間相關性」弱點來發動攻擊。 該公司的研究人員，是在追蹤駭侵者大量設立的多個釣魚網站的網址設立流程中，意外發現這種攻擊方法：研究人員利用工具查詢某個惡意網站獲得 Let’s Encrypt 核發 SSL 憑證的時間戳記，然後以此戳記在 Censys 網站上查詢在同一時間獲得 SSL 憑證核發的網站，就能獲得大量公開甚至未曾公開的網域名稱。 研究人員雖然用這種方法，找出由單一駭侵者設立，將用於惡意釣魚網站的網域名稱，但這種方法同樣也能用來發現一般正常網站使用的網址；駭侵者也有可能利用這種簡單的方法，來找出目標網站擁有的所有網址，並且伺機發動攻擊。 建議網站管理員應勤於檢查 CT 記錄檔，就有機會發現遭受這類攻擊的跡象，並且及早因應。

美國 Johns Hopkins 大學的兩位資安研究人員，近來在今（2022）年度的 Usenix Security Symposium 資安研討會上發表論文，指出該研究團隊利用全新開發的圖像式分析工具 ODGen 進行分析，發現廣為網頁開發人員使用的 JavaScript 開發框架 Node.js 開源程式庫內的程式碼，存有 100 個以上的 0-day 漏洞。 這類圖像分析工具的運作原理，是分析程式碼，建立一個圖像架構，反映某應用程式中各種不同的單元及其執行分支，可以用來找出程式碼中的漏洞。這種分析工具能夠有效找出以某些程式語言撰寫程式碼內含的漏洞，例如 Code Property Graph (CPG) 即可有效運用於 C/C++ 與 PHP 程式碼的漏洞分析。 有鑑於 CPG 的運用成功，Johns Hopkins 大學的研究團隊也運用該原理，開發出運用於 JavaScript 程式語言的漏洞分析工具 ODGen，並且以此工具掃瞄 Node.js 這個廣受全球數百萬名開發人員歡迎，其程式庫已有數百萬種不同套件的開源程式開發框架，結果發現了 180 個 0-day 漏洞。 該團隊提報這些 0-day 漏洞後，已經有 70 個漏洞取得 CVE 編號。 據研究團隊表示，ODGen 可以準確發現 13 種不同的漏洞類型，包括 XSS、SSRF/CSRD、SQL 指令注入、原型污染（Prototype Pollution）、指令注入等等。該團隊也利用此工具分析廣受使用的 30 萬種 NPM 開發套件，結果發現超過 3,000 種資安漏洞，其中有 264 種存於每周下載次數超過 1,000 次的熱門套件。 研究團隊表示，接下來將延伸 ODGen 支援的程式語言種類，以便支援其他經常用於網站開發的程式語言，包括 PHP 與 Java 在內。 由於近年來在開源程式庫中發現的惡意與非惡意漏洞逐漸增加，開發人員在下載開源程式套件使用前，必須先確認該套件為最新版本，且未遭駭侵者修改並注入惡意程式碼。

資安研究單位 CYFIRMA 旗下的研究人員，近日發表研究報告，指出有超過 80,000 台海康威視監視攝影機，因內含一個嚴重的指令注入資安漏洞 CVE-2021-36260，使得駭侵者可輕易取得其影像資料，並且取得裝置控制權。 報告指出，駭侵者可利用此漏洞，傳送一個特製的訊息給含有此漏洞的海康威視裝置內的 web 伺服器，從而控制受駭裝置。 據 CYFIRMA 的報告指出，受此漏洞影響而存有弱點的 80,000 多台海康威視攝影機，普遍分布在全球多個國家，其中以中國、美國、越南、英國、烏克蘭、泰國、南非、法國、荷蘭、羅馬尼亞等國的數量最多。 CYFIRMA 說，雖然該漏洞在 2021 年 9 月就由海康威視於新版韌體中予以修復，但由於多數用戶都沒有經常更新 IoT 裝置韌體的習慣，導致至今仍有超過 100 國、2,300 以上使用該品牌產品的單位，其裝置都還在使用有漏洞的舊版韌體，造成極大的資安風險。 在 2021 年 12 月，一個使用 Mirai 惡意木馬程式碼的 Moobot 僵屍網路，就曾利用此漏洞與過去在海康威視裝置中發現的其他漏洞，發動大規模的 DDoS 攻擊；而在 2022 年 1 月，美國資安主管機關 CISA 也將 CVE-2021-36260 列為近來最常用於攻擊的資安漏洞之一。 建議採用各種連網 IoT 裝置的用戶，應經常注意資安單位與原廠發布的資安通報與更新消息，一但有相關的軟硬體更新發布，即應立即更新；切勿在設備安裝完成後就棄之不顧，這些裝置就很容易成為遭到各式駭侵攻擊的進入點。 CVE編號：CVE-2021-36260 影響產品(版本)：請見海康威視資安通報網頁。 解決方案：更新至最新版本韌體。