自5月底引起許多研究人員關注的Windows診斷支援工具(MSDT)零時差漏洞CVE-2022-30190(亦稱Follina),微軟在6月的例行修補(Patch Tuesday)裡發布相關更新程式,而在上週有不少研究人員揭露相關攻擊事故後,最近烏克蘭電腦緊急應變小組(CERT-UA)指出,這項漏洞俄羅斯駭客組織Sandworm疑似在4月就開始利用。

內容管理平臺WordPress的外掛程式弱點,成為攻擊者下手的對象,不時有事故傳出,而在本週有表單外掛程式Ninja Forms,疑似因程式碼注入漏洞已被用於攻擊行動,使得WordPress罕見地再度透過強制更新的手段,推送新版Ninja Forms給WordPress網站。

最近幾年駭客大肆針對電商網站發動網站側錄攻擊,過往大多針對Magento電商網站而來,但最近駭客組織Smilodon將目標轉向市占極高的WooCommerce電商平臺,攻擊其後臺而不易被察覺異狀。這樣的情形使得研究人員提出警告,因為針對這類電商平臺的攻擊行動很可能會越來越頻繁。

網頁應用程式框架Telerik UI的漏洞攻擊也相當值得留意,研究人員揭露新一波的資安事故,但這次攻擊行動,駭客運用的是3年前的已知漏洞。研究人員指出很多組織的網頁應用程式可能委外架設,後續缺乏維護,而讓攻擊者仍能利用相關漏洞。

勒索軟體攻擊的態勢也相當值得留意,本週有資安人員發現,駭客組織BlackCat(亦稱Alphv)採用了新的雙重勒索手法,他們架設了類似Have I Been Pwned(HIBP)外洩密碼查詢網站,疑似是為了讓受害組織的員工、客戶確認自己的個資外洩,進而讓這些人向組織施壓,使得受害組織願意低頭向駭客付錢。

而在漏洞揭露的部分,Hertzbleed的處理器旁路攻擊手法相當值得留意,因為Intel全部的處理器產品,以及AMD採用Zen 2與Zen 3微架構的產品都會曝險,但這兩家廠商目前都不打算推出修補程式。

本週的資安產業動態裡,有一則消息特別引人注目,那就是美國國防承包商傳出打算買下網路間諜公司NSO Group,且美國政府也知情此事,但此消息一出也引發爭議。

【攻擊與威脅】

俄羅斯駭客Sandworm疑在2個月前開始利用Follina漏洞攻擊烏克蘭

與Windows診斷支援工具(MSDT)有關的零時差漏洞CVE-2022-30190(亦稱Follina),6月初已傳出被用於攻擊烏克蘭,但實際上在2個月前可能就有相關攻擊行動。烏克蘭電腦緊急應變小組(CERT-UA)於6月10日發布資安通告指出,俄羅斯駭客組織Sandworm疑似自4月開始,利用Follina發動攻擊。

攻擊者鎖定超過500名廣播電臺與報紙的從業人員,以提供互動式地圖服務的網址名單為由,發送帶有Word檔案為附件的釣魚郵件。收信人一旦開此附件檔案,電腦將會執行檔名為2.txt的JavaScript程式碼,進而載入惡意程式CrescentImp。CERT-UA提供了入侵指標(IoC)供組織偵測相關攻擊行為。

WordPress表單外掛程式Ninja Forms漏洞已遭利用

提供WordPress網站管理者建置表單的外掛程式存在漏洞,有可能導致網站遭受攻擊。資安業者Wordfence指出,外掛程式Ninja Forms最近推送新的版本,原因很可能是為了修補一項程式碼注入漏洞(尚未取得CVE編號),駭客一旦利用這個弱點,就有可能在未通過身分驗證的情況下,從這個外掛程式的類別(class)呼叫數種方法,包含一種將使用者提供的內容非序列化的方法,從而導致物件注入攻擊。當網站上的屬性導向程式設計(Property Oriented Programming,POP)鏈存在時,攻擊者可藉此能夠執行任意程式碼,或是刪除網站上任意檔案。研究人員指出,他們找到這項漏洞已遭到攻擊者廣泛利用的跡象,呼籲WordPress用戶應儘速安裝已修補的新版套件。

資安新聞網站Bleeping Computer指出,自開發商於6月14日發布新版套件以來,已有73萬次下載,有如此數量的網站更新該外掛軟體,原因很可能是WordPress採取了強制更新的措施。

Smilodon駭客組織鎖定WordPress網站發動側錄攻擊

最近幾年駭客鎖定電商網站下手,進行網站側錄(Web Skimming)攻擊的情況,尤以針對Magento架設的網站最為氾濫,但如今有人開始將目標轉移到不同的電商網站平臺。

資安業者Sucuri指出,他們在追蹤駭客組織Smilodon的Magecart攻擊行動中,發現這些駭客自2021年12月開始,將攻擊目標從原本的Magento平臺,轉向執行WooCommerce電商平臺元件的WordPress網站,且攻擊者的側錄程式在PHP後端運作,而使得用戶端的防毒軟體難以察覺信用卡交易資料遭到側錄的跡象。研究人員指出,由於採用WooCommerce架設的電商網站約有4成,攻擊者勢必會將心力集中於這類網站,他們呼籲網站管理者應儘可能採用最新版元件,並避免管理網域遭到未經授權的存取。

駭客利用Telerik UI網頁應用程式框架漏洞部署惡意軟體

網頁應用程式框架的舊漏洞,最近又有駭客拿出來利用,而引起研究人員的關注。資安業者Sophos指出,他們在今年5月初發現有人針對網頁應用程式框架Telerik UI下手,利用3年前被揭露的漏洞CVE-2019-18935(CVSS風險評分為9.8分)發動攻擊,於受害系統上植入Cobalt Strike與挖礦軟體。

此漏洞與Telerik UI for ASP.NET AJAX元件有關,攻擊者利用RadAsyncUpload功能的.NET反序列化漏洞,並搭配CVE-2017-11317或CVE-2017-11357漏洞取得加密金鑰,就有機會觸發CVE-2019-18935,進而遠端執行程式。

由於CVE-2019-18935已在2020年與2021年,被美國政府列入最常遭到利用的資安漏洞清單,研究人員呼籲組織應儘速修補Telerik UI的相關漏洞。

大規模HTTPS流量DDoS攻擊鎖定Cloudflare免費用戶下手

駭客不只發動DDoS攻擊,還使用了HTTPS加密流量而企圖掩蓋來源。雲端服務業者Cloudflare於6月上旬,攔阻每秒發出2千6百萬次請求(RPS)的大規模DDoS攻擊行動,目標是使用該公司免費服務的網站,攻擊者運用由5,067臺設備組成的殭屍網路,每臺設備每秒最多可產生5,200次請求。

該公司研判,駭客濫用雲端服務上的虛擬機器(VM)與伺服器主機來發動攻擊。而他們也曾在今年4月攔截類似的攻擊行動,並指出這種使用HTTPS流量的DDoS攻擊手法,駭客會使用大量的垃圾請求,來耗盡目標伺服器的處理器與記憶體資源。

行動裝置後門程式SeaFlower竊取加密貨幣錢包的通關密語

近期出現鎖定安卓行動裝置偷取加密貨幣資產的惡意程式,但也有駭客對iPhone用戶下手。資安業者Cofiant於2022年3月,發現針對Web3使用者而來的SeaFlower攻擊行動,這些駭客建置冒牌的加密貨幣錢包網站,提供帶有惡意程式碼的加密錢包App,進而從安卓與iPhone手機竊取加密錢包的通關密語(Seed Words),將受害者的Coinbase、MetaMask、TokenPocket,以及imToken的錢包洗劫一空。

而駭客如何引誘被害人前往冒牌網站,下載假的加密錢包App?答案是這些駭客購買了百度的搜尋引擎最佳化(SEO)廣告,研究人員在百度搜尋引擎輸入download metamask ios並執行搜尋,結果第一個項目就是SeaFlower駭客所架設的網站。

勒索軟體BlackCat架設個資外洩查詢網站,疑透過員工向受害組織施壓

為了脅迫受害組織付錢,勒索軟體駭客普遍在加密檔案前竊取機密資料,做為後續索討贖金的籌碼,但現在有人打算藉由與受害組織有關的人士來施壓,給予更大的付款壓力。根據資安新聞網站Bleeping Computer的報導,勒索軟體駭客組織BlackCat(亦稱Alphv)近期攻擊美國俄州一家飯店,並宣稱竊得1,534名人士的個資,檔案大小總共112 GB。但與其他攻擊事件不同的是,駭客不只在洋蔥網路(Tor)的網站上公布資料,還架設了類似於個資外洩查詢「Have I Been Pwned」的網站,讓該飯店員工或是客戶,能透過查詢的方式,確認自己的個資是否受到攻擊事件影響。

資安業者Emsisoft安全分析師Brett Callow指出,駭客這麼做的目的,自然是希望這些人在得知自己的個資遭到外洩後,能要求飯店出面付贖金,而該飯店可能為了避免員工與住戶的集體訴訟,選擇付錢息事寧人。不過,這樣的脅迫手法是否會奏效?研究人員認為有待觀察。

勒索軟體BlackCat透過ProxyLogon漏洞入侵受害組織

勒索軟體BlackCat(亦稱Alphv)疑似與之前攻擊美國大型油料輸送業者的另一個駭客Darkside有關,而引起研究人員的關注,最近又有相關的動態揭露。微軟近期公布他們對於BlackCat的發現,這群駭客在部分攻擊行動中,對於Exchange伺服器漏洞ProxyLogon下手,而成功進入受害組織的網路環境,進而掌握網域伺服器、管理員帳號,以及網路裡所有的電腦等相關資訊,過了約兩天半,攻擊者藉由PowerShell程式碼ADRecon,收集AD環境的各式資料,然後使用SMB協定或遠端桌面連線(RDP)存取受害電腦,並竊取組織的內部機密資料,最終使用PsExec散布並執行勒索軟體。

而對於攻擊者的身分,研究人員至少確定有兩個駭客組織使用BlackCat,分別是DEV-0237(亦稱FIN12)與DEV-0504,前者是從先前使用的攻擊工具為Hive,轉換成BlackCat的用戶,後者則是往往會利用駭客組織LockBit提供的竊密工具StealBit,在加密檔案前下載受害電腦裡的檔案。

Atlassian Confluence重大漏洞也被勒索軟體駭客利用

在6月初獲報並修補的Atlassian Confluence漏洞CVE-2022-26134,之前傳出有多個駭客組織用於挖礦攻擊,現在也被勒索軟體駭客盯上。根據資安業者Prodaft、資安研究團隊MalwareHunterTeam,以及微軟的威脅情報團隊,發現勒索軟體AvosLocker、Cerber2021(亦稱CerberImposter)正在利用上述漏洞發動攻擊。

Prodaft指出,AvosLocker鎖定尚未修補的Confluence伺服器,發動大規模攻擊,至少在美國、歐洲、澳洲已出現受害組織;MalwareHunterTeam與微軟則發現Cerber2021的攻擊行動,且駭客疑似同時加密了Confluence伺服器的配置檔案。

勒索軟體Hello XD不只加密電腦檔案,還會植入後門

新的勒索軟體不只在攻擊過程裡採取雙重勒索手法,還可能進一步部署其他工具在受害電腦常駐。資安業者Palo Alto Networks指出,他們在2021年11月發現名為Hello XD的勒索軟體,疑似從勒索軟體Babuk發展而來,引起他們關注的是其中一個Hello XD執行的過程中,會下載後門程式MicroBackdoor,從而在受害電腦存取、上傳、下載檔案,甚至執行多種命令。

而這個駭客組織向受害者索討贖金的管道,主要是透過即時通訊軟體Tox Chat,或是其他藉由洋蔥網路(Tor)連線的即時通訊服務,但沒有透過特定的網站公布受害組織的名稱。根據上述的後門程式進行調查,研究人員認為攻擊者的身分是名為x4k的駭客組織(亦稱x4kme、unKn0wn、L4ckyguy)。

美國紐澤西州學校因遭勒索軟體攻擊取消期末考

美國學校因勒索軟體攻擊影響運作的情況頻傳,近期有林肯學院因延誤招生工作而被迫閉校,現在又有學校因攻擊事故而停擺。根據資安新聞網站Recorded Future的報導,位於紐澤西州的公立學區Tenafly Public Schools,於6月2日遭到勒索軟體攻擊,校方正在復原相關系統,並決定取期未考。

該校區聯絡經理Christine Corliss表示,他們在發現學校有檔案無法正常存取後,就委由網路安全專家協助調查,進而確認遭到勒索軟體攻擊,這些專家隨後亦聯繫美國聯邦調查局(FBI)、當地執法機關、資安險業者,但沒有透露是遭到何種勒索軟體攻擊。該名經理指出,目前資安人員已復原Google Workspace、Google Classroom、Google Drive的運作,而在此之前,師生則是透過投影機、紙筆進行教學,雖然系統復原狀態良好,但她無法保證完全恢復正常的時間。

一名不願具名的學生家長向該新聞網站投訴,Google Classroom、評分系統等都無法使用,但校方行政部門對於此事始終三緘其口,沒有進一步說明。

非洲大型連鎖超市Shoprite遭駭客勒索

近年來開發中國家逐步數位化,遭到網路攻擊的情況也有數起事故。非洲大型連鎖超市Shoprite於6月10日證實,該公司疑似遭到駭客入侵,部分客戶姓名與身分證字號外洩,曾在史瓦帝尼、納米比亞,以及尚比亞等國家匯款的客戶受到波及,但外洩資料不含銀行帳號或其他金融資訊。該公司已發送簡訊通知相關客戶,並呼籲不要在電話、簡訊、電子郵件等管道進行溝通時,隨意透露個資。

根據資安新聞網站Bleeping Computer的報導,這起事故疑似勒索軟體駭客組織RansomHouse所為,該組織也在加密通訊軟體Telegram的頻道指出,Shoprite竟使用明文存放客戶資料,該組織與受害公司接洽後,對方只是變更密碼了事。RansomHouse宣稱不只取得對方的客戶資料,亦包含其他內部資料,假若Shoprite沒有做出符合他們期待的回應,駭客將會將竊得的資料出售。

P2P殭屍網路Panchan鎖定教育單位的Linux伺服器而來

駭客鎖定Linux伺服器發動攻擊的現象,近期可說是越來越頻繁,且手法日趨隱密。資安業者Akamai發現了從2022年3月開始行動的殭屍網路Panchan,該殭屍網路主要的攻擊目標是Linux伺服器,駭客使用Go語言打造其殭屍網路病毒,該惡意軟體採用了SSH字典攻擊來入侵受害伺服器,同時也進一步企圖獲取SSH金鑰來進行橫向移動。在成功入侵受害伺服器後,Panchan會開啟可執行檔,向Discord Webhook發起HTTPS POST請求,這麼做的目的很可能是為了進行監控。該殭屍網路病毒為了能持續在受害伺服器上運作,會將自己複製到/bin/systemd-worker,並建立新的systemd服務,同時將自己偽裝成一般的系統服務,且會在伺服器開機後啟動,進而執行挖礦軟體xmrig與nbhash,這些挖礦軟體都在記憶體內執行而難以察覺。

研究人員發現有209臺受害伺服器,當中有40臺正在挖礦,大部分受害伺服器都位於教育單位,遍布臺灣、香港,以及西班牙。研究人員認為攻擊者可能來自日本,並呼籲組織應採用雙因素驗證(MFA)、監控虛擬機器(VM)活動,以及限縮SSH存取的管道,來防範此種攻擊。

Linux蠕蟲程式Syslogk於受害主機載入後門程式

駭客透過開源專案,針對Linux開發攻擊程式的情況,最近已有數起事故。例如,防毒業者Avast揭露名為Syslogk的惡意程式,這是駭客透過開源的Rootkit程式Adore-Ng開發而來的攻擊工具,能將其模組載入Linux核心,從而隱藏特定的檔案資料夾與網路流量,並在受害主機植入後門程式Rekoobe。

研究人員指出,該Rootkit程式第一次載入到Linux核心後,便會將自己從已經安裝的軟體模組清單裡刪除,來規避管理人員檢查,而在後續部署後門程式之後,此後門程式會處於休眠狀態而不會有任何行動,直到上述Rootkit收到攻擊者特定的魔術封包(Magic Packet),後門程式才會開始運作,此後Syslogk依照攻擊者指示啟動或暫停後門程式運作,來降低被發現的機會。研究人員呼籲IT人員要提高警覺,來防範相關攻擊行動。

中國駭客Gallium利用木馬程式PingPull攻擊電信業者、金融與政府單位

美國日前針對中國駭客攻擊電信業者的行動提出警告,最近又有研究人員發現,駭客使用難以發現的木馬程式,攻擊電信業。資安業者Palo Alto Networks指出,中國駭客組織Gallium(亦稱Softcell),以攻擊東南亞、歐洲、非洲電信業者在網路犯罪者之間闖出名號,但最近一年該組織擴大其攻擊範圍,也開始對於金融機構與政府單位出手,同時駭客運用了名為PingPull的木馬程式,這個木馬程式提供反向Shell的功能,讓駭客能遠端下達命令。

研究人員針對其中3個版本的PingPull進行分析,其共通點是木馬程式都是冒統系統服務的方式運作,但攻擊者疑似規避特定的資安防護系統,這些木馬程式與C2連線的過程中,使用了不同的網路通訊協定:ICMP、HTTPS、TCP。研究人員確定該組織在最近一年內,至少鎖定了9個國家下手。

伊朗駭客利用DNS後門程式對能源組織下手

伊朗駭客去年多次鎖定關鍵基礎設施(CI)下手的情況,引起歐美高度關注,最近又有新的攻擊行動。資安業者Zscaler揭露駭客組織Lycaeum(亦稱Hexane、Spilrin)近期的攻擊行動,該組織以開源軟體DIG.net為基礎,以.NET打造了新的後門程式,進而發動DNS挾持攻擊,鎖定中東能源組織而來。

駭客透過含有伊朗軍事新聞報導的Word檔案作為誘餌,吸引受害者開啟,一旦開啟檔案,攻擊者就會在受害電腦植入DNS後門程式,並執行後續的流量追蹤,或是從C2接收發動攻擊的命令。

免費VPN服務疑資料庫配置不當,曝露2,500萬筆記錄

服務業者的資料庫如果未做好防護,很可能會導致資料外洩而使得用戶的身分曝光。資安新聞網站Cybernews的研究人員指出,他們發現公開的Elasticsearch資料庫,內含免費VPN應用程式BeanVPN產生的2,500萬筆記錄,包含用戶設備的ID、VPN服務ID、來源IP位址,以及連線時間等資料,檔案大小為18.5 GB。

研究人員指出,這些資料可以讓攻擊者找到用戶所在的地理位置、連線設備,以及電子郵件信箱等資料。他們多次向提供服務的業者Imsoft通報,但沒有得到任何回應,而上述的Elasticsearch資料庫已經下線。

 

【漏洞與修補】

研究人員揭露Intel、AMD處理器旁路攻擊手法Hertzbleed

最近幾年筆電的續航力顯著成長,當中處理器的功耗管理機制扮演重要的角色,但這類機制也可能成為駭客發動攻擊的管道。德州大學奧斯汀分校、伊利諾大學厄巴納-香檳分校(UIUC)、華盛頓大學的研究人員聯手,發現了名為Hertzbleed的旁路攻擊手法,一旦攻擊者利用這項漏洞,就能藉由觀察Intel與AMD處理器的動態電壓與時脈調整(DVFS)機制中,所控制的處理器頻率,來竊取完整的加密金鑰。

DVFS是時下處理器採用的電源管理功能,能在電腦以高負載運作時避免溫度過高而故障,並在低負載運作時降低功耗。

對此,Intel證實旗下全部處理器產品確實存在上述漏洞,並以CVE-2022-24436進行列管,AMD則指出旗下採用Zen 2與Zen 3微架構的產品曝險,包含多個系列的Ryzen產品線,以及第1代與第2代EPYC伺服器處理器等,並將該漏洞登錄為CVE-2022-23823。兩家公司皆提供開發人員緩解措施,但研究人員指出,兩家公司都不打算發布相關修補程式。

研究人員揭露攻擊蘋果M1晶片的手法PACMAN

蘋果自行研發的M1晶片,存在可被用於攻擊的管道而引起研究人員關注。麻省理工學院電腦科學與人工智慧實驗室(CSAIL)揭露名為PACMAN的攻擊手法,駭客可藉由電腦軟體的記憶體相關漏洞觸發,繞過M1系統單晶片(SoC)的指標驗證機制(Pointer Authentication,PAC),來攻擊Mac電腦。研究人員指出,PACMAN會將原本的軟體記憶體執行錯誤,利用原語(Primitive,此處即PAC)來放大效應,攻擊者很可能得以執行任意程式碼。

研究人員於去年底向蘋果通報,而該公司認為這種攻擊手法還需要搭配其他漏洞,不會對用戶直接造成威脅。雖然這項手法尚未被用於實際攻擊行動,但CSAIL呼籲Mac電腦用戶,應該使用最新版本軟體來降低風險。

軟體開發測試平臺Travis CI恐曝露數千個GitHub、AWS、Docker憑證

持續整合(CI)服務平臺存在的弱點,很可能導致用戶的雲端服務帳號外洩。資安業者Aqua Security指出,他們發現免費版本的Travis CI在防護措施上的缺失,進而使得用戶的事件記錄(Log)檔案曝光,危及GitHub、AWS、Docker Hub等雲端服務的登入帳密或是Token,超過7.7億筆事件記錄曝光。

研究人員發現,透過2個Travis CI的API呼叫,並搭配列舉的命令,他們可取得大量明碼的事件記錄,結果他們從2013年至今年5月,總共截取7.74億筆資料,研究人員以其中1%進行分析,挖掘出7.3萬個帳密或是Token,他們也將相關結果通報給前述的雲端業者,對方已立即回應此事並採取因應措施。

Splunk重大漏洞恐被攻擊者用於執行任意程式碼

Splunk於6月14日發布資安通告,指出Splunk Enterprise存在漏洞CVE-2022-32158,這項漏洞與Splunk Enterprise的部署伺服器(deployment server)有關,攻擊者一旦加以利用,可入侵其中一個Universal Forwarder端點後,在其他與相同部署伺服器註冊的Universal Forwarder端點上執行任意程式碼,CVSS風險評分為9.0分。Splunk Cloud Platform(SCP)平臺因不使用部署伺服器元件,該平臺的用戶不受影響。該公司呼籲Splunk Enterprise用戶,升級9.0版軟體修補上述漏洞。

Citrix ADM重大漏洞可讓攻擊者重設管理員密碼

IT業者Citrix近期針對旗下的應用程式交付的管理平臺Application Delivery Management(ADM),修補CVE-2022-27511、CVE-2022-27512兩項漏洞,攻擊者一旦利用,就有可能透過未經身分驗證的使用者,遠端中斷系統的運作,並在管理者重新啟動ADM後,重設管理員的密碼,進而讓攻擊者能透過SSH連線,並使用預設密碼存取管理者帳號存取ADM。這些漏洞同時會影響伺服器與用戶端軟體,該公司發布13.1-21.53版與13.0-85.19版予以修補,呼籲用戶應儘速升級新版軟體。

SAP修補嚴重的NetWeaver漏洞

SAP於6月14日發布6月份例行修補,當中緩解了17個漏洞,其中包含了數個重大漏洞,其中像是針對用戶端軟體SAP Business Client的更新,導入了Chromium 101.0.4951.54,修補之前版本82個弱點,其中包含了CVSS評分達10分的漏洞,亦有部分已出現攻擊行動。

再者,本次SAP也修補了SAPRouter存取控制不當的漏洞CVE-2022-27668,該漏洞CVSS風險評分為8.6分,影響NetWeaver與ABAP平臺;另一個與存取控制有關的漏洞,影響NetWeaver AS Java,CVSS評分為8.2分,有可能導致系統損毀。SAP指出,所幸這些漏洞尚未出現遭到利用的跡象。

思科修補電子郵件防護系統可被用於繞過身分驗證的漏洞

思科於6月15日發布資安通告,指出旗下的郵件安全設備Email Security Appliance(ESA),以及管控郵件與網路的Secure Email and Web Manager兩款產品,存在漏洞CVE-2022-20798,一旦攻擊者利用這項漏洞,就有可能在登入介面輸入特定內容,進而繞過外部的身分驗證機制,存取受害系統的網頁管理介面,CVSS風險評分為9.8分,該公司發布新版Async軟體元件予以修補。

思科指出,僅有啟用外部身分驗證,並搭配LDAP的用戶才會受到波及,採用預設配置而沒有開啟外部身分驗證機制的用戶不受影響。

微軟修補MSDT零時差漏洞

微軟於6月14日發布每月例行修補(Patch Tuesday),當中總共修補了55個漏洞,其中有1個是零時差漏洞,那就是5月底引起許多研究人員關注的MSDT漏洞CVE-2022-30190(亦稱Follina),微軟針對工作站與伺服器版本Windows發布修補程式,電腦安裝相關更新程式後,將會防堵駭客執行PowerShell注入的攻擊行動。

資安業者指控微軟對Azure Synapse Analytics漏洞回應不夠積極

最近有2家資安業者不約而同指出,微軟對於資料分析服務Azure Synapse Analytics的漏洞處理不甚積極。

資安業者Orca Security揭露名為SynLapse的漏洞(CVE-2022-29972)攻擊者一旦利用此漏洞,就有可能繞過資料分析服務的租戶分離機制,來控制其他使用者的工作區。但研究人員指出,他們在今年1月就向微軟通報,該公司從3月開始發布修補程式,卻都修補不全,直到5月底才確實完成修補。

無獨有偶,漏洞管理解決方案業者Tenable也指出,他們在今年3月向微軟通報了2個漏洞,其中一個允許攻擊者利用Spark VM的脈絡(context),將提升權限為root;另一個則是可讓攻擊者用竄改Spark池裡所有節點的hosts檔案,然而,該公司指控,微軟僅默默在89天後,修補了權限提升漏洞,另一個迄今尚未修補,也並未對客戶告知這些漏洞的嚴重性。Tenable表示,他們並非少數被微軟輕忽的通報者,而此舉將導致Azure Synapse Analytics用戶不知道已經曝險,是相當不負責任的做法。

 

【資安產業動態】

美國Fintech業者併購臺灣資安新創Cybavo

隨著加密貨幣業者對於資安的需求與日俱增,很可能會買下資安公司強化相關防護。發行美元穩定幣(USDC)的Fintech業者Circle,於6月10日宣布,將買下臺灣資安新創業者Cybavo,期望藉此在旗下產品裡,整合Cybavo加密貨幣資產管理解決方案Cybavo Vault,來強化區塊鏈與Web3的安全。Circle將打算與Cybavo共同推動USDC與Web3,並將Cybavo旗下產品納入Circle產品線並繼續開發。Cybavo也發出聲明,現有客戶將不會受到影響,該公司將持續提供相關產品與服務。

美國國防廠商傳出打算買下網路間諜公司NSO Group

惡名昭彰的以色列網路間諜公司NSO Group,先前因多個國家政府施壓,而打算將間諜軟體Pegasus相關部門出售,近期竟傳出有美國國防業者打算併購該公司的消息。根據新聞網站Intelligence Online、衛報、華盛頓郵報、Haaretz的報導,美國知名國防承包商L3Harris有意買下NSO Group,主要是為了該公司間諜軟體的核心技術。

衛報指出,這項併購案需要經過美國與以色列政府同意,前者將NSO Group列為制裁對象,後者由國防部進行監管,要通過這兩關並不容易。Haaretz指出,此事美國聯邦調查局(FBI)與中央情報局(CIA)都知情;對此一名美國白宮官員向衛報透露,此交易很可能對美國政府帶來嚴重的情報收集問題。

微軟併購外國網路威脅情資業者Miburo

為了防範國家駭客與激進主義份子的網路威脅,微軟於6月14日宣布買下網路威脅分析及偵測服務業者Miburo,並計畫在完成併購後,將Miburo整合進微軟客戶安全與信賴事業群,並與該公司的威脅情報中心、威脅情境分析團隊,以及資料科學家等部門合作。外界認為,此項併購案也可能有助於微軟爭取美國政府的資安預算。

 

【其他資安新聞】

施耐德電機與資安業者Claroty聯手,推出智慧建築資安解決方案

研究人員揭露同時針對IT與OT環境的勒索軟體攻擊手法

駭客組織8220也利用Atlassian Confluence伺服器挖礦

PyPI套件Keep疑似被植入竊密軟體

伊朗駭客鎖定以色列與美國前官員發動網釣攻擊

電子郵件系統Zimbra漏洞恐讓攻擊者竊取用戶明文密碼

Mitel旗下IP電話存在漏洞,攻擊者恐用於取得root權限

Anker Eufy智慧家庭裝置存在重大漏洞

安卓惡意軟體MaliBot鎖定義大利和西班牙而來

安卓木馬Hydra鎖定歐洲銀行客戶,偽裝成文件管理App上架Google Play市集


熱門新聞

Advertisement