9/9-9/15必看資安新聞

 

#國家資安政策 #資安長設置 #金融業

金管會要求具規模金融業需設資安長,旗下銀行局、保險局、證券局9月底將陸續完成法令修訂

對於強制金融機關設立資安長一事,金管會去年8月公布金融資安行動方案之時,已經列入計畫要推動,後續也研議修法一事。今年9月1日,金管會保險局已完成修法並公布施行,要求需指派副總經理以上或職責相當之人兼任資訊安全長,適用1兆元資產保險公司,並需在6個月內完成調整,而銀行局與證期局也表示,本次修法已經完成預告程序,將於9月底前發布施行。據外界估計,新法令約有65家金融業者適用。更多內容

 

#MSHTML #Windows漏洞

Windows最新MSHTML漏洞,微軟緊急提供緩解指示

圖片來源擷取自微軟

微軟在9月8日發出緊急公告,指出已有發現MSHTML RCE漏洞,且Office用戶可能因開啟惡意文件而遇害,由於目前微軟尚無推出修補程式,因此該公司緊急提供緩解方法。同時,使用者面對來源不明的文件,也應提高警覺。

簡單來說,這個編號CVE-2021-40444的漏洞,位於Windows內建的微軟瀏覽器引擎MSHTML,它用於IE、舊版Edge與微軟Office。攻擊者可撰寫內含惡意ActiveX控制的Office文件,一旦有人透過Office程式開啟這個文件時,即能觸發攻擊,將在用戶電腦上執行任意程式碼,甚至接管整臺系統。

值得注意的是,近期一些國外研究人員指出,已發現針對本漏洞的攻擊活動;也有專家表示,微軟的緩解措施並無法抵擋駭客攻擊;臺灣也有研究人員分析,認為這次微軟漏洞本質是在攻擊IE的問題,與ActiveX不太有關係,以及說明無論使用者平時是否有使用 IE 瀏覽器,都無法擺脫 MSHTML 元件的影響。更多內容 更多內容 更多內容 更多內容

 

#VPN漏洞 #帳密外洩

駭客公布50萬組Fortinet VPN用戶帳號與密碼,74個國家受影響,臺灣第二嚴重

資安媒體BleepingComputer在9月8日發現,駭客於暗網中免費公布了近50萬組的Fortinet VPN使用者帳號與密碼,涉及逾1.2萬臺VPN裝置,同一天Fortinet也指出,有駭客公布了8.7萬臺FortiGate SSL-VPN裝置的存取帳號與密碼。雖不確定是否同批資料,但皆相信是CVE-2018-13379漏洞所造成。

值得注意的是,資安業者AdvIntel也根據這批揭露的Fortinet VPN SSL列表,進行分析,他們表示,74個國家受影響。其中,受影響最嚴重的前五大國家,分別是印度(11%)、臺灣(8.45%)、義大利(7.96%)、法國(6.15%)與墨西哥(5.01%)。臺灣名列第二嚴重,企業與組織應多加注意,至今仍未妥善因應的用戶應儘速採取行動。更多內容

 

#DDoS攻擊 #Mēris殭屍網路

俄羅斯Yandex遭遇全球史上規模最大DDoS攻擊,紐西蘭郵政總局、銀行也遭DDoS攻擊

圖片來源Yandex

俄羅斯最大網路公司Yandex在9月9日證實,該公司遭遇DDoS攻擊,攻擊流量達到每秒2,180萬次的請求,堪稱史上規模最大。根據Yandex與當地資安業者Qrator Labs的調查,這波攻擊是由全新殭屍網路Mēris發起,並非只針對Yandex,也涵蓋其他企業,相關攻擊已經持續了好幾週,包括紐西蘭、美國與俄羅斯,都遭遇攻擊事件,而細究其攻擊裝置,其實都是來自同一個品牌Mikrotik的產品,這家公司本身則是一間拉脫維亞網路設備製造商。

另外,近期紐西蘭網路安全回應中心(CERT NZ)也發布公告,他們指出,澳盛銀行、郵政總局、氣象局及政府單位等多個單位,遭到不明人士發動DDoS攻擊。更多內容 更多內容

 

#身分冒用 #帳號安全 #不實資訊操弄

一篇Walmart將接受萊特幣的假新聞稿,讓萊特幣大漲20%

近日傳出媒體平臺恐遭帳號盜用而引發波瀾的事件。在9月13日,有人假冒美國零售集團Walmart的名義,透過全球新聞稿發布平臺GlobeNewswire發表消息,指稱Walmart將與萊特幣(Litecoin,LTC)合作,能讓消費者以萊特幣支付商品採購費用,而且,路透社與CNBC等媒體,都不疑有他地引用,連萊特幣的行銷人員都信以為真。

此事一發生,導致萊特幣身價旋即大漲20%,幣值從175美元漲至216美元,不過,隨後Walmart於官網澄清並無此事,萊特幣的價格又跌回177美元。目前並不確定這個帳號是否被盜,GlobeNewswire表示,已加強身分驗證機制,確保不再重蹈覆轍。更多內容

 

#OpenSSL

經過三年開發,OpenSSL 3.0正式推出!加入新的FIPS模組,並棄用大量API

圖片來源OpenSSL專案

在OpenSSL部落格上,9月7日正式公布推出OpenSSL 3.0,在此版新功能中,最重要的就是加入新的FIPS模組,並將納入演算法實作集合的Providers架構,同時也將棄用不少老舊過時的API。值得注意的是,OpenSSL 3.0改用Apache License 2.0開源授權,但舊版本仍適用OpenSSL和SSLeay雙授權。更多內容

 

#Consent Phishing Attack #Illicit Consent Grants #ID Federation

同意網路釣魚攻擊威脅增加,透過應用程式騙取用戶大型網站帳號的存取權限

現在許多網路服務會串接其他大型服務帳號,透過ID Federation的方式,簡化用戶在註冊帳號時的過程,但近年一直傳出攻擊者利用應用程式,以OAuth身分驗證誘騙使用者的方式,欺騙使用者授予權限,如此一來,攻擊者若取得Token,就能在不知道密碼的情況下,竊取該帳號的機密資料。最近微軟提出警告,他們發現,自2020年10月到今年上半,濫用這種攻擊手段的情況顯著增加,因此,呼籲使用者要加以留意。更多內容

 

#REvil

勒索軟體REvil於暗網中再現蹤跡

偃旗息鼓兩個月的REvil勒索軟體集團,BleepingComputer於9月7日在暗網中,發現該集團公布盜取資料的Happy Blog網站又重新上線了,他們也觀察到:REvil用來與受害者協商及讓受害者付款的網站,目前還沒有任何攻擊行動跡象。

資安業者CrowdStrike情報副總裁Adam Meyers也向彭博社證實,Happy Blog及REvil的確已經回歸暗網了,而且應該是由原本的REvil團隊所主導。對於REvil在7月不明所以的消失,Meyers認為,這可能只是一個冷靜期,因為當時REvil聚集了太多的目光,猜測REvil團隊可能重建某些基礎設施,並打造更安全的操作環境。更多內容

 

#網站安全 #開放API

司法院裁判書開放API規格修正,改採HTTPS並取消網址列輸入帳密設計

圖片來源擷取自司法院官方網站

國內政府積極推動開放資料平臺、開放API服務,但也要注意相關資安問題,在9月8日,有開放文化基金會成員在臉書貼文指出,司法院裁判書開放API規格,竟然將帳號密碼設計在路徑,消息一出,許多網友也指出沒有HTTPS的問題,並評為「真.開放資料」。隨後,在9月9日,司法院已有回應,為加強網站資訊安全,即時起改採HTTPS加密協定,對於網址列輸入帳號密碼的檢核機制,則待評估中。更多內容

補充資訊:到了9月16日,司法院宣布,將更改為使用Token來進行身分驗證,而不是網址列輸入帳號密碼。

更多資安動態
蘋果緊急修補遭NSO成功利用並植入Pegasus間諜程式的安全漏洞
富士通傳客戶資料外洩,已否認遭駭,資料可能來自日本東麗(Toray)
微軟修補可在Azure上接管他人容器的Azurescape漏洞
中國駭客APT41附屬組織利用Sidewalk後門發動攻擊,臺灣也有災情

熱門新聞

Advertisement