資安一周26期：保險公司拒絕理賠NotPetya攻擊損失、駭客以ZWSP手法對Office 365用戶發動網釣攻擊

0110-0116 一定要看的資安新聞

＃勒索軟體  ＃特定企業APT

短短5個月，Ryuk勒索軟體讓駭客得手370萬美元

近期CrowdStrike與McAfee等2大資安廠商，都針對新興的勒索軟體Ryuk，揭露研究成果。基本上，這款勒索軟體是基於攻擊遠東銀行的Hermes所改造而成，並且鎖定大型企業發動攻擊，估計自2018年8月至今，駭客得手705.8個比特幣，相當於370萬美元。

於2017年2月現身的Hermes是款商業勒索軟體，並於駭客論壇上以300美元的價格兜售，換言之，任何人都能取得。資安社群普遍認為，Hermes來自北韓，而最新的Ryuk便是基於這個勒索軟體改造而成，並在去年8月中納入公開的惡意程式資料庫。

CrowdStrike指出，從Ryuk阻止電腦還原的指令來看，駭客相當熟悉大型企業所採用的備份軟體，因此呼籲企業，要落實員工資安教育訓練，以及定期備份重要資料。詳全文

（圖片來源）McAfee

＃勒索軟體  ＃國家級攻擊  ＃資安保險

以戰爭除外為由，保險公司拒絕理賠NotPetya攻擊損失

2017年惡意軟體NotPetya肆虐歐美企業，導致許多公司行號受害。其中，擁有Ritz及Oreo兩大知名餅乾品牌，同時也是全球第二大食品集團億滋（Mondelez），當時也遭受NotPetya的攻擊。而最近億滋集團因投保的蘇黎世保險公司拒絕出險，憤而提告。

在遭受NotPetya攻擊之後，億滋超過1,700臺伺服器與2.4萬臺筆電遇害，事後向蘇黎世申請1億美元理賠。但該保險公司調查之後，根據英國等國政府接連指出，該事件是俄羅斯當局發動的戰爭為由，不予理賠。而這樣的事件，也突顯資安保險的機制中，企業與保險公司之間，對於理賠界定上的差異。詳全文

＃網路釣魚  ＃URL混淆手法

駭客以ZWSP手法對Office 365用戶發動網釣攻擊

為了防範釣魚郵件，微軟在Office 365服務裡，提供ATP安全連結（Safe Link）機制，針對電子郵件跟Office文件中的URL，進行信譽評等檢查。但是該公司資安人員去年11月發現，許多使用Office 365客戶都面臨網路釣魚攻擊，駭客運用了零寬空格（Zero-width Spaces，ZWSP）手法，竄改URL，迴避上述的安全機制。微軟接獲通報後，已經完成修補。

ZWSP是特殊的Unicode字元，主要用於文件內容排版，標記可能需要換行的位置。而上述攻擊中，駭客在惡意網站的URL上，加入這種符號，得以規避了安全連結的檢查機制。詳全文

＃假新聞  ＃URL混淆手法

Google知識圖表漏洞可用來散布假新聞

英國資安專家Wietze Beukema指出，Google的知識圖表（Knowledge Graph）含有漏洞，能讓使用者在Google的搜尋結果中嵌入任意圖表，有可能助長假新聞的散布。

當使用者在執行Google搜尋網站時，搜尋結果右方呈現的內容，就是來自知識圖表。由於該圖表的內容彙整自維基百科、World Factbook，以及Freebase等，不少使用者相當仰賴此處提供的參考資料。然而，Wietze Beukema指出，Google提供分享圖表的短網址，可被有心人士濫用，例如，搜尋誰應該為911負責時，卻顯示美國前總統布希的資料。

Wietze Beukema表示，他早在1年前就通報Google，所舉報的漏洞竟遭直接結案不予處理。Wietze認為，現在假新聞滿天飛，Google卻忽視這樣的問題相當不負責任。詳全文

＃作業系統元件漏洞  ＃Linux

Linux系統管理軟體Systemd驚爆3個嚴重漏洞

資安公司Qualys發現Systemd的3個重大安全漏洞，而且存在長達3到5年之久，幾乎所有Linux發行版本都受到影響。

為了驗證漏洞，研究人員針對其中的2個漏洞，開發了概念驗證（PoC）攻擊程式。在搭載AMD處理器的電腦上，他們以此平均花費70分鐘取得Root權限，而在採用Intel處理器的電腦，研究人員只需10分鐘，即可取得相關權限。

唯獨SUSE Linux Enterprise 15、OpenSUSE Leap 15.0，以及Fedora 28至29版，因Systemd部分元件組譯方式不同，而倖免於難。而RedHat已針對其中較為嚴重的2個漏洞，進行修補。詳全文

（圖片來源）Systemd

＃資料外洩  ＃資料庫公開

MongoDB資料庫門戶大開，逾2億中國民眾履歷外洩

Hacken網路風險研究總監Bob Diachenko指出，他發現了一個完全沒有任何防護、在公開網路上曝光至少一星期的MongoDB資料庫，內含多達2.02億名中國民眾的求職履歷。

Diachenko表示，他去年底已經透過Twitter揭露此事，隨即該資料庫就受到保護。但從這個資料庫的事件記錄中，透露資料庫曝光於公開網路上的期間，曾遭到來自數十個IP的存取。不過，該資料庫的所有人，迄今仍是個謎。詳全文

（圖片來源）Bob Diachenko

＃網站憑證  ＃HTTPS

美國政府停擺，聯邦網站所使用的逾80個TLS憑證失效

自2018年12月22日起，因美國參議院與總統川普（Donald Trump）之間，因美墨築牆的臨時支出法案意見相左，致使美國政府因預算不足，關閉部分政府機構或是服務，估計已有1/4的政府機構關門，80萬名員工停薪。根據資安業者Netcraft指出，至少有接近80個美國政府網站，所使用的TLS憑證失效。

這樣的情況，將會導致2種結果，使用者無法存取美國政府旗下網站，或是被迫改以未加密的HTTP連線執行。若是透過未加密的協定存取網站，將因此引來中間人（man-in-the-middle，MITM）攻擊。詳全文

＃滲透測試  ＃規避測試

知名滲透測試軟體Metasploit推出大改版，支援規避測試

Rapid 7推出滲透測試工具Metasploit Framework大改版，在新出爐的5.0版當中，採用全新資料庫與自動化API，並且加入規避測試的能力，同時，效能及易用性也得到改善，因此，使用者可透過單一模組，測試多臺主機。

此外，新版Metasploit支援多種程式語言，包含Go、Phython，以及Ruby等3種，希望吸引更多開發者投入。詳全文

＃密碼學  ＃加密機制

Mozilla技術長與加州大學密碼學教授因加密應用貢獻獲獎

為了表彰對於加密實際應用做出重大貢獻的研究者，自2015年開始成立的Levchin獎，今年的得獎者出爐了，包含Mozilla技術長Eric Rescoria，以及加州大學教授Mihir Bellar等2人。

其中的Eric Rescoria是TLS 1.3重要推手，並且也是免費憑證派發機構Let's Encrypt的創辦者之一；Mihir Bellar則是深耕密碼學的學者，論文受引用超過5萬次，同時，他也參與開發了多種廣泛應用的密碼演算法，涵蓋了HMAC、RSA-OAEP、RSA-PSS，以及DHIES等。詳全文

更多資安動態

●凱悅飯店集團推出網站與App抓漏計畫
●思科修補可能產生永久服務阻斷的AsyncOS漏洞
●GoDaddy遭爆未經客戶同意，於託管網頁植入JavaScript腳本
●Google公共DNS開始支援加密的DNS-over-TLS
●Librem 5智慧型手機最新進展，已完成通話、即時通訊與使用者介面
●波蘭政府以間諜罪名逮捕華為員工，再度掀起採用華為設備論戰
●Firefox 69預設將關閉Flash外掛
●麻州修法要求企業即時揭露資料外洩事件
●5大熱門網站代管平臺皆含有安全漏洞
●ForeScount指出智慧建築隱含有諸多漏洞
●全球最大線上票務系統漏洞可讓駭客變更用戶記錄，近半航空公司遭殃
●駭進SEC資料庫從事內線交易的烏克蘭駭客遭美國起訴
●Yubico發表首款支援蘋果Lightning介面的實體安全金鑰
●Chrome封鎖入侵式網頁廣告政策預計於7月推向全球用戶
●Windows 7修補程式造成網路無法共享，作業系統版權驗證失敗
●歐盟表示使用者個資被遺忘的權利不應推向全球
●中國區塊鏈法規出爐，採用戶實名制，內容必須受審
●中國要求網路短影片必需先審後播，還封鎖100種內容
●法官：警方不得強迫嫌犯解鎖自己的Face ID、Touch ID
●Google將開始掃蕩過度存取用戶簡訊、通話記錄的App
●DuckDuckGo整合Apple Maps強化地圖搜尋能力