在本周資安新聞中,就是微軟最近將9月修補的漏洞CVE-2022-37958,調整為RCE漏洞,由於該漏洞涉及SPENGO NEGOEX防護,SMB與RDP等都受影響,因此受到廣泛關注。其他重大的漏洞消息,包括Samba在15日修補多項高風險漏洞,以及思科在12月中旬更新多則資安通告,當中指出多年前修補的漏洞在今年3月被用於攻擊行動。

勒索軟體Play針對ProxyNotShell漏洞繞過的攻擊手法,持續成為焦點,資安業者發現有新手法OWASSRF攻擊Exchange伺服器。在攻擊新趨勢方面,以殭屍網路病毒而言,本周有MCCrash與Zerobot的攻擊動向受關注;在新興技術研究方面,有研究人員提出規避EDR監控的新硬體斷點技術,以及展示熱門自然語言對話語言模型ChatGPT與Codex可能被攻擊者應用的情境。

在這一週資安消息當中,有幾則都是受到比較多討論的,像是:烏克蘭軍事情報系統Delta遭到竊密軟體攻擊、FBI威脅情資交換平臺InfraGard遭駭;還有雲端身分安全業者Okta說明原始碼遭竊,以及密碼安全服務業者LastPass客戶資料庫備份遭複製的事件。

另外,國際間又有BEC詐騙案的警告,但這次並非變更匯款帳號騙取金錢,而是騙取貨品。這類案情雖不多見,但早年其實發生過,例如,五年前國內刑事警察局國際刑警科對於BEC詐騙就看到這樣的狀況,並指出手法萬變不離其宗,最終目的都是騙取金錢或貨品。

至於安全防護的焦點上,GitHub將推出一項Secret scanning功能最受關注,可協助因應因開發人員不慎將帳密、金鑰或憑證嵌入程式碼的問題。

 

【12月19日】連網裝置成MCCrash殭屍網路病毒入侵的目標、駭客鎖定食品業者發動BEC攻擊

殭屍網路病毒用來散播的管道出現變化!研究人員揭露殭屍網路病毒MCCrash近期的攻擊行動,比較特別的是,駭客先是針對Windows電腦而來,一旦成功入侵之後便會掃描網路上的Linux物聯網裝置,進行橫向感染。

商業郵件詐騙(BEC)也出現新的攻擊手法!美國FBI、FDA聯手提出警告,駭客看上近期食品不斷漲價的現象,先假冒知名食品業者的高階主管向下游廠商訂貨,然後再把這些食品拿去轉賣。(編按:其實我國刑事警察局國際刑警科在2017年說明BEC詐騙時,就已經提到詐騙方的最終目的都是騙取金錢或貨品,不論是在最後階段冒名發信要求買方變更匯款帳戶,或是冒名發信要求賣方改變送貨時間或地點,只是後者相對較少)

有研究人員發現Akamai的應用程式防火牆(WAF)能被繞過,其原理是針對其中含有漏洞的Spring Boot元件發動攻擊。對此Akamai表示已經修補,管理者應儘量使用最新版本。

【12月20日】FBI威脅情資交換平臺用戶個資驚傳流入暗網、4至5年前修補的思科產品漏洞出現攻擊行動

在今日的資安新聞裡,有不少與資料外洩相關,其中最引起注目的應該就屬美國聯邦調查局(FBI)的威脅情資交換平臺InfraGard遭駭的事故,此平臺提供美國企業與該單位公私合作的管道,但這起事故也讓研究人員發現,該平臺仍在使用不甚安全的簡訊驗證碼執行進階身分驗證, 而使得駭客有機可乘,取得該平臺的會員帳號,以便進行後續的竊密行動。

許多駭客會利用零時差漏洞來發動攻擊,但已修補多年的漏洞仍有可能成為被利用的對象。思科近期更新了近30則資安通告,原因是他們獲報這些漏洞出現被利用的情況,這些公告大多是2017年、2018年發出。

Samba最近修補的漏洞也相當值得留意,若不安裝新版軟體,攻擊者就有可能利用相關漏洞來控制受害電腦。

【12月21日】駭客利用新手法OWASSRF入侵Exchange、烏克蘭軍事情報系統遭駭客鎖定

針對資安業者在9月底揭露ProxyNotShell漏洞,微軟雖然提供了修補程式與緩解措施,但現在傳出這些做法已被駭客繞過!資安業者CrowdStrike發現駭客運用了名為OWASSRF的手法來攻擊Exchange,並指出有別於原本駭客濫用自動探索(Autodiscover)來觸發ProxyNotShell,這次濫用的是該系統的網頁版郵件管理介面OWA來達成目的。

駭客利用竊密程式來偷取各式資料的情況可說是相當氾濫,而這樣的工具也可能被用於攻擊軍事系統──烏克蘭電腦緊急應變小組(CERT-UA)揭露針對軍事情報系統而來的竊密軟體攻擊,駭客佯稱更新電腦憑證的名義來下手,企圖盜取軍人電腦裡的相關帳密資料。

現今熱門的AI機器人ChatGPT能力強大,但很有可能成為駭客濫用的目標!有研究人員進行實際驗證,利用該機器人打造釣魚郵件及惡意附件,藉此警告這樣的工具有可能遭到濫用。

【12月22日】資安研究人員提出硬體斷點規避EDR監控新技術;用ChatGPT與Codex降低攻擊門檻情況受關注

近期關於EDR產品安全性的研究不少,前陣子有資安研究人員揭露數款防毒軟體與EDR系統的零時差漏洞,今日有研究人員提出新的硬體斷點規避EDR監控的技術,希望外界與業者能夠更關注這類潛在攻擊方法。

近來自然語言對話語言模型ChatGPT成為各界熱門話題,不過,新技術可以幫助防禦者,但同時也會幫助攻擊者,資安研究人員以實際情境來舉例,技能差的攻擊者也能利用ChatGPT與Codex,這也導致攻擊技術門檻可能降低的情況。

身分安全業者Okta在20日說明原始程式碼儲存庫被入侵並被複製的情況,而在此之前,該公司在今年3月與9月,也都遭遇重大資安事件。另外,CISA發布6項ICS安全公告。

【12月23日】提升為RCE的CVE-2022-37958被研究人員視為另一EternalBlue;LastPass客戶資料庫備份遭存取

微軟在9月修補的漏洞CVE-2022-37958,最近受到很大的關注,因為他們後續將這個涉及SPENGO NEGOEX防護的弱點類型,調整為RCE漏洞,CVSS評分也提升至8.1分,由於SMB與RDP都使用NEGOEX安全機制,可能影響的層面相當廣,甚至有研究人員將此漏洞與EternalBlue漏洞相提並論。

今日密碼管理業者相關的資安新聞有兩起,首先是LastPass在22日發布資安事件公告,說明客戶資料庫的備份被入侵者複製,另一起是瑞士資安研究人員揭露密碼管理產品Passwordstate的漏洞通報細節。

網路犯罪者為了散布惡意網站,利用搜尋引擎透過購買關鍵字廣告,假冒品牌業者的情形,最近在臺灣受到民眾與媒體的注意,特別的是,美國FBI現在也針對此一情況示警,突顯駭客不斷改變其策略,頻頻躲過搜尋服務業者對於網路詐騙廣告的偵測。

 

熱門新聞

Advertisement