微軟昨日(1月10日)發布今年的第一次每月例行修補(Patch Tuesday),總共修補了接近100個漏洞,值得留意的是,當中的CVE-2023-21674是零時差漏洞,並被美國政府證實已出現攻擊行動,要求公部門限期修補。
針對機器學習(ML)模型與人工智慧(AI)的攻擊手法,最近研究人員公布多項發現,例如:濫用ChatGPT自動產生釣魚信、利用Text-to-SQL機器學習模型弱點攻擊SQL資料庫等,現在又有研究人員揭露新型態的AI中毒(AI poisoning)攻擊手法Trojan Puzzle,但特別的是,檢測相關程式碼的靜態分析工具難以察覺這類手法。
又有資安業者發現勒索軟體駭客Lorenz藉由VoIP電話系統入侵受害組織的情況!但不同的是,這次駭客成功入侵並植入的Web Shell隨即休眠,直到5個月後才再度運作。
【攻擊與威脅】
研究人員揭露Trojan Puzzle攻擊手法,可訓練AI助理產生惡意程式碼
微軟、加州大學、維吉尼亞大學的研究人員聯手,揭露名為Trojan Puzzle的攻擊手法,藉由AI中毒(AI poisoning)的方式,訓練AI助理產生惡意程式碼。
這種手法與過往發現的AI中毒攻擊方式有所不同,研究人員藉由建立不良範本(template),將想要隱藏的惡意酬載資料以<template>標籤取代,而非直接將可疑程式碼加入訓練資料,因此不會被靜態分析工具察覺異狀,但訓練完成的模型仍會產生惡意程式碼。
勒索軟體駭客Lorenz藉由VoIP電話系統漏洞部署後門
威脅情資暨風險顧問業者S-RM揭露勒索軟體駭客Lorenz的攻擊行動,駭客在受害組織橫向移動、竊取資料、加密檔案的5個月前,已經利用Mitel網路電話系統的漏洞CVE-2022-29499取得初始的存取權限,而當時Mitel尚未修補漏洞。
此受害組織後來於2022年7月安裝修補程式,但研究人員發現,駭客在修補程式部署前的一個星期,植入了後門程式──他們在兩個網路電話系統的PHP網頁上利用前述漏洞,進而從駭客的基礎設施接收Web Shell,並部署在受害組織的網路環境。
接著,此Web Shell就休眠長達5個月的時間,直到駭客發動勒索軟體攻擊才再度運作。這並非Lorenz首度利用CVE-2022-29499發動攻擊,但不同的是,駭客佈局長達5個月才加密受害組織的檔案。
消費者信用報告機構Experian網站有漏洞,駭客可透過調整URL網址的方式繞過身分驗證程序,進而存取民眾信用評價
根據資安新聞網站Krebs On Security的報導,烏克蘭資安研究員Jenya Kushnir發現,專門盜取使用者身分的駭客在瀏覽消費者信用報告機構Experian的網站時,只要在身分驗證的特定流程調整瀏覽器網址列的URL,就能存取任何人信用報告資料。
該資安網站於12月23日通報,Experian的公關團隊於27日回覆已經予以修補。不過,這樣的漏洞究竟存在多久?該公司沒有說明。
竊密軟體Vidar透過1,300個冒牌AnyDesk網站散布
資安業者Sekoia的研究人員發現,有人利用超過1,300個偽造成遠端桌面軟體AnyDesk的網站,企圖散布竊密軟體Vidar,一旦使用者依照網站指示下載軟體,就會被導向特定的Dropbox網址下載竊密程式。研究人員提供了惡意網域名單,並指出所有的主機解析後都是同一個IP位址185.149.120[.]9。
根據研究人員的網域名單,其中許多都是採用了誤植域名攻擊(typosqat)手法,冒充知名軟體7-Zip、Slack、AnyDesk、TeamViewer的網域,但網站內容都是聲稱提供AnyDesk軟體下載。
健保署科長傳出擅自查詢情報人員個資,恐涉嫌國家情報工作法
衛生福利部中央健康保險署謝姓科長涉查詢被保險人個資,其中疑涉法務部調查局、內政部警政署等情報工作人員資料,臺北地檢署1月10日依涉嫌違反國家情報工作法,諭知10萬元交保。對此,健保署也關閉2名涉案人員的健保資料庫系統查詢權限,在調查期間調離非主管職務。根據自由時報的報導,健保署傳出已完成內部的初步清查,共有3人涉案,其中2人查詢超過16萬筆資料,但有1人在2018年查詢就11萬餘筆,究竟是職務需要或涉及違法,仍待調查釐清。
中央健康保險署署長李伯璋表示,健保署現行內控機制,查閱須向上級申請、也設有資安長,但為何還是發生如此情況?他們將儘速分析查閱狀況,釐清事件原貌,並改善相關機制。
【漏洞與修補】
微軟發布1月份例行修補,共對於98個漏洞提出緩解措施
1月10日,微軟發布本月份的例行修補(Patch Tuesday),這次總共修補98個漏洞,有39個可被用於提升權限、33個能被用於遠端執行任意程式碼(RCE)、10個資訊洩露漏洞、10個阻斷服務(DoS)漏洞、4個安全機制繞過漏洞,以及2個欺騙漏洞。
值得留意的是,當中的CVE-2023-21674為零時差漏洞,該漏洞可被用於提升權限,存在於進階本地處理程序呼叫(ALPC)功能,一旦攻擊者成功利用,就有可能取得System權限,CVSS風險層級為8.8分,美國網路安全暨基礎設施安全局(CISA)也將其列入已被利用的漏洞(KEV)列表,並要求聯邦機構限期完成修補。
【其他資安新聞】
美國聯邦機構限期修補已遭勒索軟體駭客利用的Exchange漏洞OWASSRF
駭客組織StrongPity假借提供視訊聊天軟體Shagle的名義散布惡意軟體
義大利使用者遭到竊密軟體鎖定,目標是加密貨幣錢包與網頁瀏覽器敏感資料
近期資安日報
【2023年1月10日】 研究人員揭露Text-to-SQL機器學習模型弱點、NPM套件JsonWebToken漏洞恐導致2.2萬專案曝險
【2023年1月9日】 程式碼編輯器VS Code外掛程式市集恐遭駭客濫用、惡意PyPI套件透過Cloudflare隧道服務繞過防火牆
熱門新聞
2024-12-08
2024-12-08
2024-11-29
2024-12-08