不要错过 - 頁面 8

印度海德拉巴國際資訊科技研究所（International Institute of Information Technology, IIIT ）的資安研究人員，近日發現一種新式攻擊方式，命名為 AutoSpill；駭侵者可以透過這種方式，在 Android 手機密碼管理員自動填寫密碼時進行竊取。 研究人員指出，許多 Android 平台上的 app，經常使用 WebView 控制項來顯示網頁內容，例如 app 的登入頁面，而非將用戶導向到系統瀏覽器；這樣雖然可以提高使用者體驗的順暢度，讓使用者不必頻繁切換前景應用程式，但這也給 AutoSpill 帶來可趁之機。 研究人員說，Android 平台上的各種密碼管理工具，在各個 App 出現登入畫面時，也多會使用 WebView 架構來自動輸入使用者儲存下來的帳號與密碼；由於 Android 平台本身對於自動輸入的資料，在架構上就缺少明確的責任歸屬定義，因此這些資料可能被 host 應用程式所攔截。 IIIT 的研究人員指出，據該單位的測試，多數 Android 平台上的密碼管理工具，都無法避免遭到 AutoSpill 竊取密碼；即使沒有任何 JavaScript 指令注入，也無法倖免。包括多種極受歡迎的密碼管理工具如 LastPass 5.11.0.9519、1Password 7.9.4、Enpass 6.8.2.666、Keeper 16.4.3.1048、Keypass2Android 1.90c-r0 都在各種測試中遭到 AutiSpill 成功取得自動填寫的使用者名稱或密碼。 相對的，研究人員也指出，Google Smart Lock 13.30.8.26 和 DashLane 6.2221.3 由於採用了不同方式來自動填寫登入資訊，因此在未有 JavaScript 注入的情形下，不會洩露自動填寫的帳號與密碼。 在各密碼管理工具推出修復 AutoSpill 攻擊的新版本前，Android 使用者應提高警覺，避免自非正常管理下載安裝任何軟體或 APK 檔案，以免登入資訊遭竊。

資安廠商 Veracode 近日發表統計報告發現，在 Log4J 嚴重資安漏洞 CVE-2021-44228 公開後近 2 年，仍有近 38% 使用 Log4J 的應用程式，仍在使用含有漏洞的舊版程式庫。 Log4J 是由 Apache 基金會推出的開源程式庫，廣泛運用於大量網路相關應用程式中；在 2021 年 12 月時發現內含一個嚴重的免驗證遠端執行任意程式碼漏洞 Log4Shell，其 CVE 編號為 CVE-2021-44228，其漏洞危險程度評分高達滿分的 10 分。由於其使用的便利性，加上廣泛用於大量應用程式中，幾可稱為近年來最嚴重的資安漏洞，造成極大的危機。 而在 Log4J 漏洞公開並發布修補版本的兩年後，Veracode 以 90 天的時間，自 2023 年 8 月中到 11 月中，針對 3,866 個公私單位所使用的 38,278 個使用 Log4J 程式庫版本 1.1 到 3.0.0-alpha1 的應用程式進行普查，發現下列問題： 有 2.8% 仍在使用 Log4J 2.0-beta9 到 2.15.0，而這些版本直接內含 Log4Shell 漏洞； 有 3.8% 使用 Log4J 2.17.0，雖然這個版本不含 Log4Shell 漏洞，但仍含有另一個遠端執行任意程式碼漏洞 CVE-2021-44832； 有高達 32% 仍使用早在 2015 年 8 月就不再受到 Apache 官方支援的 Log4J 1.2.x 版本；這些版本含有多個漏洞，包括 CVE-2022-23307、CVE-2022-23305 和 CVE-2022-23302 等。 上述應用程式合計達到 38%，仍在使用含有多種漏洞的舊版 Log4J 程式庫。 Veracode 也在調查中指出，有高達 79% 開發者在完成其程式碼後，為了擔心功能受到影響，因而從不更新使用的第三方程式庫版本；然而 65% 的開源程式碼的小改版，並不會影響其功能。 統計也指出，有 50% 的程式開發專案，在被發現高危險性安全漏洞後，要花上超過 65 天才會處理其資安問題。 使用各種第三方程式庫的開發專案，應更加注意程式庫的資安通報，在有更新版本時盡早更新程式庫，以免造成資安問題。

Microsoft 日前推出 2023 年 12 月例行資安更新修補包「Patch Tuesday」，共修復 34 個資安漏洞；其中含有 1 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。 本月 Patch Tuesday 修復的漏洞數量僅有 34 個，較上個月（2023 年 11 月）的 58 個資安漏洞大為減少；而在這 34 個漏洞中，僅有 4 個屬於「嚴重」等級，另有 1 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 8 個遠端執行任意程式碼 (RCE) 漏洞。 以漏洞類型來區分，這次修復的資安漏洞與分類如下： 執行權限提升漏洞：10 個； 遠端執行任意程式碼漏洞：8 個； 資訊洩露漏洞：6 個； 服務阻斷（Denial of Service）漏洞：5 個； 假冒詐騙漏洞：5 個。 上述在本月的 Patch Tuesday 中修復的 34 個資安漏洞，並不包含已於 12 月 7 日修復的 8 個 Microsoft Edge 瀏覽器漏洞；而本月共解決了一個 1 個 0-day 漏洞如下： 該 0-day 漏洞是 CVE 編號為 CVE-2023-20588，存於特定 AMD 處理器中的除以 0 錯誤，可能讓駭侵者可以用來取得某些機敏資訊。原本 AMD 並未針對此漏洞推出修復，僅提供建議給開發者，以避免誘發此漏洞；而 Microsoft 則在本月的 Patch Tuesday 中針對本漏洞加以修復。 此外，本月的 Patch Tuesday 修復的 4 個嚴重等級顎洞，其中一個存於 Power Platform 中，屬於假冒詐騙漏洞，兩個存於 Internet Connection Sharing 中，屬於遠端執行任意程式碼漏洞，另一個存於 Windows MSHTML Platform 中，亦屬於遠端執行任意程式碼漏洞。 CVE 編號：CVE-2023-20588 等 影響產品：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。 解決方案：系統管理者與 Microsoft 用戶應立即依照指示，以最快速度套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。

荷蘭 Vrije Universiteit Amsterdam 的系統與網路安全研究小組（System and Network Security Group, VUSec Group）人員，日前發表一種全新的 CPU 攻擊方法，稱為 SLAM， 可透過旁路攻擊，自 AMD、Intel 與 ARM CPU 來竊取核心記憶體中的根密碼雜湊值。 報告指出，SLAM 是一種短暫執行攻擊方式，利用一種可以讓軟體使用位於 64 位元 metadate 儲存線性位址中的未轉譯位址位元（LAM）來進行攻擊。研究人員在一台執行舊版 Ubuntu 作業系統的 Intel 處理器電腦，利用模擬 LAM 功能的方式成功示範了 SLAM 攻擊。 研究人員指出，這種攻擊方式是針對軟體程式碼中可用以攻擊的無遮罩「gadgets」來著手；所謂「gadgets」是指駭侵者可在軟體程式碼中操弄以誘發預測執行的指令。攻擊者可透過觀察快取狀態的變更，取得其他程式甚至作業系統相關的機敏資料。 研究人員編寫了一個掃瞄工具，在 Linux 核心中發現了數百個可藉以發動攻擊的 gadgets，並在一段影片中示範如何透過 SLAM 攻擊 gadgets 來取得系統核心的根密碼雜湊值。 VUsec 指出，下列類型的各廠牌 CPU 都可能遭到 SLAM 攻擊： 含有 CVE-2020-12965 的現存所有 AMP CPU 機型； 支援 LAM 攻能的未來所有 Intel CPU 機型（包括四階段與五階段分頁功能）； 支援 UAI 與五階段分頁功能的未來 AMD CPU 所有機型； 支援 TBI 與五階段分頁功能的未來 ARM CPU 所有機型。 軟體開發者應依照各 CPU 製造商發表的指引編寫程式碼，以避免軟體系統遭到這類攻擊。

Google Play 日前開始在上架到該平台的 VPN（虛擬私人網路） App 欄位中，新增一個資安稽核標章，可顯示該 App 與其服務平台是否通過第三方的獨立資安認證。 Google 指出，要能在 Google Play 的 App 說明欄位中獲得此標示，App 與其服務平台必須符合 Mobile App Security Assessment (MASA) 的標準；而 MASA 則是由 App Defense Alliance (ADA) 制訂出的行動 App 資安認證標準。 MASA 的標準要求 App 與其服務平台，在資料儲存、資料隱私、加密、存取認證和工作階段管理 (session management)、網路通訊、平台互動與程式碼品質方面，都有相當嚴格的要求。 Google 會選擇 VPN App 作為首度導入 App 資安稽核標章的先導應用程式類型，主要原因是 VPN 應用程式對於使用者的資安與隱私保護深度相關，且會涉及使用者機敏資訊存取；在 Google Play 中顯示該標章的 App，即表示通過獨立第三方以 MASA 標準進行的資安認證，可為使用者提供多一層的保護與信任。 第三方資安認證廠商，會以 MASA 標準來對 App 的源碼、伺服器設定與配置進行稽核，並且試圖發現 App 中的資安錯誤與弱點，來判斷該 App 是否符合 MASA 標準，可以獲頒認證合格標章。 由於 Google Play 是屬於 Android 系統的官方 App Store，因此這個標章的推廣，對於強化 Android 平台的安全性，可以帶來正面的影響。 Google 目前要求所有在 Google Play 上架的 VPN App，都必須通過該認證；目前已通過第三方 MASA 認證且獲得認證標章的 VPN app，包括 Nord VPN、Google One、ExpressVPN 等。 未來 Android 使用者在 Google Play 下載各類 App 時，建議可以選擇具有該資安認證標章的 App，以提升安全性。

全球大型社群討論平台 Discord 日前發布新聞稿指出，該平台將在今年年底之前改用暫時性連結來提供檔案下載服務，以防駭侵者使用其 CDN 服務來放置惡意軟體。 Discord 在回覆資安專業媒體 BleepingCompter 的採訪時指出，該平台正在調整存於其 CDN 中檔案 URL 連結的實作方式，以加強資安防護，提供使用者更安全的使用環境。Discord 指出，新措施將可逐漸減少存放在該平台上的惡意軟體檔案數量，且讓該平台的資安團隊更有效地限制經使用者檢舉的檔案連結。 Discord 即將推出的暫時性檔案連結 URL，在今年年底全面實施後，URL 的有效期限將限縮在 24 小時以內，且檔案連結 URL 會新增三種參數，以強化對 URL 的控制。 資安專家指出，Discord 的新做法是外部期待已久的改變，因為有愈來愈多的駭侵者，利用 Discord 的檔案分享功能來置放其惡意軟體檔案，將 Discord 的 CDN 服務變成惡意檔案擴散平台；特別是進行金融詐騙或由國家力量幕後支援的惡意檔案，數量佔比最高。 據資安廠商 Trellix 的統計，至少有 10,000 個以上的駭侵攻擊活動，使用置放於 Discord CDN 服務的惡意軟體下載 URL 來散播惡意軟體檔案，或是將第二階段的惡意軟體酬載放在 Discord 平台上。 包括 RedLine Stealer、Vidar、AgentTesla、zgRAT、Raccoon Stealer 等惡意軟體，都會使用 Discord 來放置惡意檔案或指令檔。 建議使用者應避免任意點按不明來源傳來的連結，以免遭惡意軟體攻擊或植入。

資安廠商趨勢科技 (Trend Micro) 日前發表研究表告，指出該公司發現 4 個存於 Microsoft Exchange 的 0-day 漏洞，可能造成駭侵者藉以遠端執行任意程式碼，或竊取設備上的機敏資訊。 該公司在發現這批漏洞的 2023 年 9 月初，就立即向 Microsoft 通報這批 0-day 漏洞，這 4 個 0-day 漏洞目前暫無 CVE 編號，但有 Trend Micro 自有的編號 ZDI，分列如下： ZDI-23-1578：該漏洞為存於 ChainedSerializationBinder 類別的 RCE 漏洞；該漏洞原因是未能適當驗證使用者資料，駭侵者可以利用該漏洞來對未受信任的資料進行序列化還原（deserialization），並以 Windows 最高執行權限等級 SYSTEM 來執行任意程式碼； ZDI-23-1579：存於 DownloadDataFromUri 方法的漏洞，在資源存取前未能有效驗證 URI，可導致駭侵者竊取 Exchange Server 內的機敏資訊； ZDI-23-1580：存於 DownloadDataFromOfficeMarketPlace 方法，同樣屬於 URI 驗證不足的漏洞，可導致未經授權的資訊洩露； ZDI-23-1581：存於 CreateAttachmentFromUri 方法中，也屬於 URI 驗證不足漏洞，亦可造成機敏資訊遭竊。 所有漏洞都需要通過使用者身分驗證才能進行，致使其 CVSS 分數較低，約在 7.1 到 7.5 之間（滿分為 10 分）。 為避免駭侵者取得系統存取權並利用此批 0-day 漏洞，建議系統管理者應加強帳密安全性，並使用多重登入驗證機制。

資安廠商 F-Secure 近日發現一個名為 SpyNote 的 Android 木馬軟體捲土重來，再度展開大規模攻擊，竊取使用者通訊內容中的金融資訊，以竊取受害者帳戶中的資金。 這個名為 SpyNote 的 Android 木馬惡意軟體，首次發現是在 2022 年；據資安廠商的報告指出，這次 SpyNote 仍透過「Smishing」方式感染，即透過惡意釣魚簡訊發送含有惡意軟體 apk 檔下載連結的簡訊給潛在受害在，使用者如果點按該連結，並在自己的 Android 手機上安裝該 apk 檔案，就會遭到該惡意軟體的感染。 接下來 SpyNote 會要求使用者給予各種權限，甚至會自己產生點按動作，代替使用者授予全部系統服務存取權限，接著就會在使用者的 Android 手機中建立背景服務，開始將使用者手機中的各項資訊，包括盜錄用戶的通話內容錄音、擅自進行畫面截圖或錄影、記錄使用者的輸入按鍵與通聯對象記錄、各種服務的登入資訊、手機所在地的地理座標資訊等等，並將這些資訊傳送到駭侵者設立的控制伺服器。 此外，如同多種 Android 惡意軟體，SpyNote 也有多種設計以防遭使用者移除；除了隱藏該 App 的 icon，讓使用者難以發現之外，也會利用 Android 的內部系統服務來混淆其存在，使得 SpyNote 極難移除；如想完全移除，使用者只能將 Android 手機重置為出廠狀態。 Android 使用者應避免自來路不明處下載安裝任何 apk 檔案，例如即時通訊、網路討論區、不明人士傳來的簡訊等，以避免遭惡意軟體潛入裝置。

近日在以巴戰爭造成眾多死傷與破壞時，資安專業媒體 BleepingComputer 的資安專家，發現有多組詐騙者利用各種社群管道發起詐騙募捐，誑騙網友以加密貨幣轉帳並侵吞愛心捐款。 BleepingCoumpter 報導指出，該社的資安專家發現在 X（舊名 Twitter）、Telegram 與 Instagram 上出現許多疑似詐騙募捐活動；駭侵者假冒各種公益慈善團體，要求網友以加密貨幣進行捐款轉帳，以做為戰爭受害者的人道救援之用；但其中有許多錢包位址都並非所宣稱的公益團體所擁有，明顯屬於詐騙。 其中一個假冒為「Gaza Relief Aid」（加薩救援協助）的所謂公益團體，在 Telegram 和 Instagram 上都開設了捐款帳號，並且列出其捐款錢包位址；但其使用的網域名稱「aidgaza[.]xyz」是在 2023 年 10 月 15 日才註冊完成，且不屬於任何已知的正牌公益團體所擁有。該網站的版型和內容直接盜用自真正的 Islamic Relief 救援團體官網，而其「最新消息」中的內容也盜自其他新聞網站，網站中放置了許多來自新聞媒體的戰地照片，且網站中也沒有附上該組織的地址、聯絡資訊等訊息。 據 BleepingComputer 追蹤其接受捐款的三個錢包位址，目前都沒有任何轉帳記錄。 另外，也有詐騙分子假冒為以色列方的人道救援組織，以類似手法企圖騙取愛心捐款；所幸到目前為止均無任何人捐款。 資安廠商 Kaspersky 也指出，該公司的資安研究人員截獲 500 封以上的詐騙電子郵件，同樣以搧動性的文字和圖片，企圖騙取收信人的愛心捐款；且有多個詐騙活動都使用同樣的錢包位址，顯見是同一詐騙集團所為。 建議在網路上進行愛心捐款時，捐款人務必多方查證，確認募款者為真，且募款方提供可查證的資訊，捐款才不致落入詐騙分子手中。

奧地利警方日前宣布破獲一個大型國際版權影片盜播 IPTV 網路，該執法行動同步於維也納、下奧地利、薩爾茲堡等多個城市展開，除了逮捕 20 人之外，也破獲多台網路電腦設備與該集團的不法獲利達 160 萬歐元。 奧地利警方指出，該集團自 2016 年開始販售經過破解的加密版權電視節目觀看服務；奧國警方是在接獲德國方面的報案後開始進行調查，終於破獲這個共有 80 名嫌犯的大型盜版犯罪集團，嫌犯全數為土耳其國籍。 警方指出，該盜版集團成員中有負責破解加密電視訊號的內容提供者，也有負責招募訂戶的經銷商；經銷商以一年 50 美元的價格購買盜播網會員資格後，再以一年 200 美元的價格販售給想看盜版電視節目的網友。 警方說，每名經銷商手上約有 300 到 2,500 名訂戶，經銷商雖然會使用 Facebook 廣告進行宣傳，但主要的客戶來源以口耳相傳為主。 警方破獲的設備，包括 35 台用於訊號解碼與 IPTV 廣播的伺服器，以及 55 台電腦、硬碟、智慧型手機等，甚至還包括一台 Audi A7 豪華轎車。 警方說，主要的嫌犯靠盜版生意賺取大筆不法收入，除了擁有多輛豪華轎跑車外，也擁有多筆豪宅、多家公司、俱樂部等。 警方表示遭到逮捕的嫌犯，包括 3 名內容提供者與 15 名經銷商，都將以商業詐騙、洗錢、著作權侵權等罪名遭到起訴，尚未落網的嫌犯主要都在德國境內，目前也已掌握其犯罪地點的相關情報。 建議使用網路影音的觀眾，不應安裝來路不明的盜版影音機上盒或加入盜版網站會員，以免同時吃上侵害著作權的官司，面臨鉅額罰款。