微軟修補Windows Installer漏洞不完全一事,在研究人員公布概念性驗證程式之後,隨即就被發現攻擊者正在躍躍欲試,疑似著手打造攻擊工具並進行測試,但這個漏洞微軟尚未提供進一步的修補。而另一起資安新聞就是實際的APT攻擊行動:疑似是受伊斯蘭政權指使的駭客,鎖定使用波斯語的用戶發動間諜攻擊,而入侵受害電腦的管道,就是不久前才被修補的MSHTML重大漏洞CVE-2021-40444。

在上述的個人電腦威脅之餘,針對安卓行動裝置的間諜程式攻擊,也顯著變得頻繁,且攻擊行動出現不少過往較為少見的手法。例如,APT駭客組織C-23的攻擊行動中,先是以系統更新的名義引誘使用者下載間諜App,再透過要求開啟通知等理由,誘騙他們提供權限。在成功得到多種權限之後,這款間諜App還會將自己更換圖示和名稱,來偽裝成一般常見的應用程式。而這一連串的手法,使用者恐怕很難察覺異狀。

【攻擊與威脅】

惡意軟體試圖利用Windows Installer零時差漏洞

資安研究員Abdelhamid Naceri於11月22日指控,微軟針對Windows Installer漏洞CVE-2021-41379修補不完全,並提供概念性驗證程式佐證。思科於11月23日提出警告,他們已經發現有數個惡意軟體開始利用這項漏洞發動攻擊,該公司指出,他們看到利用此漏洞的惡意軟體數量不多,研判目前可能是測試階段,但這個現象也代表了一件事,就是攻擊者能夠快速將公開的漏洞資訊應用於攻擊。

伊朗駭客鎖定MSHTML漏洞發動攻擊

資安業者SafeBreach指出,伊朗駭客利用近期甫被修補的MSHTML重大漏洞CVE-2021-40444,鎖定使用波斯語的用戶發動攻擊,並使用名為「PowerShortShell」的程式碼來進行竊密--這是PowerShell指令碼,內容僅約153行,但具有多種竊密能力,包含了收集螢幕截圖、Telegram檔案、文件,以及受害電腦環境等資訊。

研究人員指出,近半數受害者位於美國,研判攻擊者很有可能是伊斯蘭政權有關,認為這些居住境外的伊朗人可能對政權帶來威脅,所發動的攻擊行動。

鎖定中東用戶的安卓間諜App假借功能受限的名義,引誘受害者提供各式權限

資安業者Sophos於11月23日,揭露APT駭客組織C-23(亦稱GnatSpy、FrozenCell、VAMP)的攻擊行動,該組織以系統更新的名義,散布木馬程式。一旦使用者不慎安裝,就會被要求開啟多種權限,但比較特別的是,為了讓使用者不疑有他開啟這些權限,過程中攻擊者亦藉由啟用通知、保護網路連線、執行效能模式等名義,再將受害者帶至權限開啟畫面。

而在受害者同意所有權限後,這些「系統更新」App還會更換圖示及名稱,佯稱自己是Play市集、Chrome、Google搜尋,或是VOIP電話Botim等,且啟動時也同時會開啟真正的App來掩人耳目,但實際上,這個木馬程式也在背景暗地裡執行。

攻擊者利用華為應用程式市集散布木馬程式

防毒業者Doctor Web於11月23日指出,他們發現名為Android.Cynos.7.origin的木馬程式,透過華為的應用程式市集AppGallery散布,這個木馬程式存在於190款遊戲當中,會收集裝置資訊與電話號碼,估計超過930萬名安卓用戶安裝了含有木馬程式的遊戲。華為獲報後已將這些遊戲下架,已經安裝遊戲的用戶需自行刪除遊戲。

蘋果向以色列網路攻擊公司NSO Group提告

日前有80名記者揭露,以色列NSO Group製作的間諜程式Pegasus,有數十名政府官員或新聞記者手機感染這個間諜程式,並非該公司聲稱只用於監控犯罪或恐怖份子。對此,繼Meta之後,蘋果11月23日也向NSO Group提告,並打算要求法院禁止這家網路攻擊公司使用蘋果的產品。

無線網路管理軟體WSpot曝露數百萬客戶訊息

提供防毒軟體評比的SafetyDetectives網站於11月22日指出,他們的資安研究團隊於9月2日發現,巴西無線網路管理解決方案業者WSpot,因配置不當的AWS S3儲存體,疑似曝露約250萬巴西公民的資料,包含姓名、電子郵件地址、性別、出生日期、地址等。經通報後WSpot於9月8日採取保護措施,但這些資料是否已遭到駭客下載?目前仍不得而知。

 

【漏洞與修補】

聯發科SoC存在漏洞,恐影響近4成手機

資安業者Check Point指出,他們在聯發科SoC中,發現數位訊號處理器(DSP)的韌體,以及處理聲音訊號的硬體抽象層(HAL)中,存在數個漏洞。一旦攻擊者利用,將能透過錯誤的處理器訊息,在DSP韌體藏匿惡意程式碼並執行,進而竊聽用戶。由於目前聯發科的SoC市占約37%,上述漏洞將會波及採用該廠牌SoC的手機與物聯網設備。聯發科獲報後,已於10月完成修補。

VMware vCenter存在SSRF與任意檔案讀取漏洞

VMware於11月23日,發布vCenter的更新程式,修補2個漏洞,皆與vSphere的網頁用戶端有關。其中,CVE-2021-21980可被用於任意檔案讀取攻擊,CVSS風險層級為7.5分;CVE-2021-22049可被用於偽造伺服器端請求(SSRF)攻擊,CVSS風險層級為6.5分。美國網路安全暨基礎架構安全局(CISA)也發出資安通告,呼籲用戶儘速修補。

 

【資安防禦措施】

微軟正式提供Edge用戶進階安全模式

原本用來改善瀏覽器效能的即時編譯(Just-In-Time Compilation,JIT)機制,近年來不斷被發現臭蟲,對此微軟決定,在Edge瀏覽器提供關閉JIT的功能,這項功能被稱為超強安全模式(Super Duper Secure Mode)。微軟在8月開始測試這項功能,並於11月19日發布的正式版本(96.0.1054.29),提供給一般Edge使用者。

2021政府網路攻防演練結果公開,對外系統弱點以無效的身分認證比例最高,仍有帳密相同情況

這幾年政府每年都會舉行網路攻防演練,在今日(11月25日)開始舉行的第2次資通安全防護巡迴研討會期間,行政院資安處同時公布2021年網路攻防演練報告,說明今年演練發現的對外系統弱點,以實際案例說明問題,並提供改善建議,希望公務機關與相關業者能夠清查,不應讓這些問題一再發生。今年的結果顯示,發現「無效的身分認證」與「無效的存取管控」的比例最高,值得注意的議題中,演練發現許多未落實密碼強度檢查機制的狀況,甚至只要在網路上搜尋進駐廠商公司統一編號,就能以此輸入到機關網站的帳號與密碼欄位並登入,以及對於系統功能頁面與參數,沒有檢查對應權限的情形等。此外,資安技術檢測部分,舉例來說,在網路惡意活動檢視方面,發現機關對於惡意中繼站名單管理的不足,需落實事件調查,建立中繼站名單部署與更新機制;而資料庫安全檢測方面,也有機敏資料明文儲存與未設置安全加密傳輸管道的情形,機關需完備資料保護機制。

 

【資安產業動態】

臺灣企業視供應鏈與網路安全為首要風險

安候建業(KPMG)針對臺灣具影響力的50名企業CEO進行調查,了解這些人士對於未來3年企業與經濟成長前景的看法,並於近日公布結果。該公司發現,臺灣企業最關注的5種風險中,依序為供應鏈風險(28%)、數位網路安全(24%)、新興/顛覆性科技風險(14%)、環境氣候變遷(10%)、企業營運風險(10%)。安候建業指出,經歷疫情爆發的影響,臺灣CEO對於資安關注更勝過往,尤其是在許多日常工作與活動改以線上進行,使得資安成為許多企業的隱憂。

 

【近期資安日報】

2021年11月24日

2021年11月23日

2021年11月22日


熱門新聞

Advertisement