Zero Day Initiative
1112-1118 一定要看的資安新聞
#漏洞挖掘競賽
Pwn2Own Tokyo 2020成績出爐,臺灣抱走亞軍、季軍
聚焦於連網裝置漏洞的Pwn2Own Tokyo賽事,今年於11月6日到8日,以線上的形式舉行,總共有12個隊伍參與,比賽進行的方式,是由參賽者提供漏洞攻擊程式碼,主辦方Zero Day Initiative(ZDI)於趨勢科技多倫多辦公室驗證,並進行線上實況轉播。到了8日賽程結束的成果揭曉,由Team Flashback以總分4分奪冠,臺灣隊伍Devcore與Trapa Security,以3.5分與3分,得到第2名與第3名。詳全文
圖片來源:Zero Day Initiative
#勒索軟體攻擊 #社群網站 #廣告濫用
駭客盜用他人臉書帳號發送廣告公開勒索軟體攻擊事件,迫使受害者支付贖金
為了讓遭到勒索軟體攻擊的企業付贖金,最近有駭客把腦筋動到社群網站的廣告身上。根據Krebs on Security的報導,他們在11月9日傍晚,看到疑似是Ragnar Locker勒索軟體駭客組織在臉書投放的廣告,宣稱於11月初攻擊義大利酒莊Campari成功,得手2TB機密資料,要這家酒莊在北美東部時區(EST)的10日下午6時之前付贖金,以換取駭客承諾不將這些資料公開。
這則廣告的投放,駭客挾持名為Hodson Event Entertainment的帳號所為。此帳號所有者Chris Hodson表示,駭客的廣告已觸及7,150名臉書用戶。詳全文
#資料外洩
全球最大眼鏡集團Luxottica外洩用戶資料,面臨集體訴訟
位於義大利的大型眼鏡集團Luxottica,在今年8月遭到駭客入侵,曝露旗下視力保健醫療中心近83萬名患者資料,傳出有美國用戶打算對該公司提出集體訴訟。而此事近期會引起關注的原因,是Luxottica於10月27日向美國衛生及公共服務部提交資料外洩事件的報告。
一名患者Michael Doyle在11月13日提出集體訴訟,指控Luxottica把病患資料存放在含有漏洞的伺服器上才會引來網路攻擊,並未盡到保護資料的責任,要求Luxottica補償並提供信用監控服務。詳全文
#資料外洩
雲端服務不當設定又出事!保險軟體業者Vertafore外洩2,770萬德州駕駛人資料
專門開發保險軟體與相關解決方案的Vertafore在11月10日坦承,因人為疏失外洩大約2,770萬名德州駕駛人的資料,該公司已通知主管機關與受害者,另提供受害者1年信用監控,以及身分竊盜復原服務(Identity Restoration Service)。該公司指出事件發生的原因,是相關檔案於今年的3月11日到8月1日,不慎存放在未受保護的外部儲存服務,且似乎遭未經授權的存取。詳全文
#資料外洩
兒童線上遊戲Animal Jam驚傳用戶資料外洩,4,600萬筆記錄被公開在駭客論壇
在最近1到2年,駭客針對遊戲產業發動攻擊的情況,可說是時有所聞。根據資安新聞網站Bleeping Computer的報導,他們在11月10日在駭客論壇裡發現,有人公開分享2個隸屬於兒童線上遊戲Animal Jam的資料庫,Bleeping Computer向該遊戲的開發商WildWorks通報,並得到證實,WildWorks也在遊戲網站上公告此事,並要求所有用戶更換密碼。詳全文
#漏洞攻擊 #DNS
DNS快取污染攻擊死灰復燃,影響逾三分之一域名解析器
加州大學河濱分校(UC Riverside)安全研究人員指出,近年來消聲匿跡的DNS快取污染(DNS Cache Poisoning)攻擊,可能在多個漏洞的搭配下死灰復燃,網路上超過三分之一的公開解析器受到影響,包括市占高達85%的Google 8.8.8.8與CloudFlare 1.1.1.1,這些研究人員將新的快取污染攻擊命名為SAD DNS。詳全文
圖片來源:SAD DNS
#漏洞修補
SANS提出警告:臺灣未修補SMBGhost漏洞PC全球最多,有2.2萬臺,未修補去年BlueKeep漏洞的PC也是高風險族群
重大的漏洞遭到揭露,軟體業者也提供修補軟體,然而迄今仍有不少使用者尚未安裝,而使得電腦曝露於相關風險。根據美國網路安全非營利組織SANS Institute於10月底發布的觀察指出,今年3月影響Windows 10電腦的SMBGhost漏洞,現在全球尚有10萬臺PC沒有修補,而其中臺灣未修補比例最高,占22%,若以全球未修補該漏洞的PC總數計算,預估有2.2萬臺。
於此相關的另一項消息是SANS於11月16日發布的觀察,去年引起關注的重大漏洞BlueKeep,目前全球仍有約24.7萬臺電腦沒有安裝修補程式,但他們並未披露各國具有該漏洞的PC數量,因此,臺灣的狀況仍有待釐清。詳全文
#漏洞攻擊 #VoIP
駭客鎖定FreePBX漏洞下手,取得網路電話系統控制權並盜打國際電話獲利
網路防火牆廠商Check Point,於11月5日揭露在今年上半鎖定全球網路電話(VoIP)系統的INJ3CTOR3攻擊行動,駭客藉由系統軟體FreePBX所出現的重大漏洞CVE-2019-19006,取得對話啟動協定(Session initiation Protocol,SIP)伺服器的控制權,進而使用盜打高額國際費率電話來獲利,由於撥打電話是此種系統的合理用途,企業難以及早發現自己的系統被濫用。詳全文
圖片來源:Check Point
#漏洞揭露
英特爾公布可透過耗電測量介面駭進中央處理器的漏洞
英特爾在11月10日發布40個安全公告,揭露數十個安全漏洞,其中的CVE-2020-8694與CVE-2020-8695備受關注,雖然它們被歸為中度風險等級,但由於允許駭客利用英特爾的功耗測量(RAPL)介面,汲取存放於裝置的機密資訊,而引起研究人員重視,並將相關攻擊手法稱做鴨嘴獸(Platypus),英特爾已藉由微碼進行修補。
由於其他處理器也有類似的RAPL介面,發現上述2個漏洞的研究人員,也將研究成果通報給Arm、AMD,以及Nvidia等業者。詳全文
#國家資安政策
行政院擬修正資通安全法,預計2021年第1季送立法院三讀
我國《資通安全管理法》自從2019年正式施行後,經歷將近2年的運作,行政院資通安全處處長簡宏偉表示,為了讓此法可以更為徹底執行,他們打算在年底前,舉辦9場「資安法修法說明會」,邀請政府機關、學界,以及業界人士,共同參與並交換意見,預計在2021年第1季,將修正草案送交立法院審查,完成三讀程序。詳全文
更多資安動態
●微軟修補能和Chrome漏洞串聯的視窗作業系統漏洞
●勒索軟體即服務RaaS氾濫,近2年就出現25個
●蘋果macOS 11防火牆排除自家程式,恐成攻擊目標
●SaltStack修補被揭露5個月的重大漏洞
熱門新聞
2024-11-29
2024-12-19
2024-11-20
2024-11-15
2024-11-15