【資安週報】2024年7月15日到7月19日

這一星期最重大的資安消息，當屬7月19日（週五）資安業者CrowdStrike旗下的EDR系統更新後，引起全球大量微軟Windows電腦出現藍色當機畫面（BSoD）的事故。由於本該幫助電腦能偵測與應變威脅的資安工具，卻因為一次更新問題導致大規模公司電腦當機、服務癱瘓的狀況，引發全球高度重視。

事實上，當日發生了兩起事件，首先是微軟，在19日臺灣清晨6點，美國中部區域一座Azure資料中心出現故障問題，導致包含M365在內等雲端服務大中斷，影響線上版SharePoint、商用版OneDrive、Teams等眾多服務。

到了下午1點，我們注意到國內社群網站的資安群組開始討論Windows電腦出現藍色當機畫面，並點出問題可能出在資安業者CrowdStrike，當下我們查詢更多資訊，發現美國社群網站Reddit已經指出CrowdStrike更新造成當機的情形，在此同時，筆者身邊友人也通報其公司電腦1點多發生當機，同樣確認原因出在CrowdStrike。

兩點後，大規模電腦當機消息開始在全球新聞媒體傳開，國內傳出桃園機場、臺大醫院、臺北榮總營運受影響，全球各國也有大量藍色當機畫面情形的報導。後續，CrowdStrike發布相關公告，說明發生EDR更新檔案與Windows系統衝突造成電腦當機，並指出C-00000291.sys是有問題的版本，同時指出這次事件並非遭遇網路攻擊，微軟在Azure Status服務狀態頁面也指出，他們在臺灣時間中午12點09分同樣受到CrowdStrike的影響（事件編號為1VT1-LX0），並表示這次事件與已解決的美國中部Azure資料中心中斷事件無關（該事件編號為1K80-N_8）。

至於何起事件是影響航班管理系統服務供應商Navitaire的主因，有待後續釐清。

周末期間又有新的消息曝光，首先，微軟表示這次CrowdStrike引發的事件估計影響全球850萬臺的Windows電腦，另也發布因應這次事件的手動安裝更新KB5042421，此外，有研究人員在社群平臺X上指出，分析CrowdStrike當機資料後找出是有段C++程式存在記憶體安全錯誤，詳情有待後續CrowdStrike說明。

在其他重要資安事件與威脅態勢方面，國內有建設公司與人力銀行的消息，國際間也有不少資料外洩、攻擊行動的揭露，我們整理如下：
●國內上市公司宏盛建設發布資安重訊，設說明該公司發生網路資安事件，另也代子公司助群營造公告發生網路資安事件。
●國內檢調單位接獲104人力銀行通報，有人企圖透過公司名義收集求職者個資，新北地檢署已在17日搜索涉案公司並查扣物證。
●專案管理工具Trello有逾1,500萬用戶個資遭人公開於Breach Forums地下論壇，對方並聲稱是透過公開的API取得。
●美國電信公司AT&T通報美SEC，說明發生資料洩事故，有駭客在今年4月存取AT&T在第三方雲端平臺的工作區，導致所有客戶的通話與簡訊歷程記錄被竊。
●義大利資安業者TG Soft揭露一起攻擊行動，他們在6月24日、7月2日偵測到中國駭客組織APT17針對當地企業及政府機關下手，意圖散布9002 RAT惡意程式。
●日本JPCERT/CC警告，當地企業組織遭到攻擊行動MirrorFace鎖定，攻擊者入侵企業後的目的是散布後門程式NoopDoor。

在漏洞消息方面，我們注意到有4個已知漏洞首次被發現遭駭客利用的情形，近期已被美國CISA列入限時修補名單，包括：3月底VMware vCenter Server已修補的漏洞CVE-2022-22948，6月初SolarWinds Serv-U已修補的漏洞CVE-2022-22948，6月中Adobe Commerce及Magento Open Source已修補的CosmicSting漏洞（CVE-2024-34102），以及7月1日GeoServer已修補的RCE漏洞CVE-2024-36401。其中CosmicSting漏洞值得留意，有資安業者指出這是該電商平臺歷年來最嚴重的漏洞之一。

在資安防禦與產業動向上，各有一則重要消息，首先，是關於OTP碼容易遭攔截與網釣的問題，談了很多年，最近國際間有政府積極行動，近日新加坡金融管理局宣布，要求當地金融業者在限期3個月內，汰除以簡訊提供OTP碼供客戶網銀登入，並要求改成安全性更高的應用程式驗證；另一項消息，是Google母公司Alphabet傳出將以230億美元收購雲端資安新創Wiz，藉此強化該公司的雲端安全業務，如收購成功將成Google最大併購案。

【7月15日】美國電信業者AT&T針對今年4月的資安事故通報調查結果，客戶通話及簡訊記錄遭到外流

美國電信業者AT&T再傳資料外洩事故而受到外界關注，原因是他們在交給美國證券交易委員會（SEC）的8-K文件當中，提及對方透過第三方雲端平臺複製行動通話及簡訊互動記錄，而且，幾乎所有用戶都受到影響。

值得留意的是，文件當中提及的第三方雲端平臺，外界直指就是Snowflake，5月發生的Ticketmaster資料外洩事故也與該業者有所關連。

【7月16日】駭客組織NullBulge聲稱入侵迪士尼，從近萬個Slack頻道竊得超過1 TB內部檔案，但真實性有待進一步確認

繼大型售票業者TicketMaster、電信業者AT&T驚傳大規模資料外洩，近日有駭客組織聲稱握有大量迪士尼內部資料並在駭客論壇公布，號稱資料來自約1萬個Slack頻道。

值得一提的是，有新聞媒體對其公布的內容進行分析，指出資料涵蓋的層面相當廣，像是網站維護、軟體開發、應徵員工，甚至還包含了員工討論自家小狗的對話內容、照片。不過，他們也無法確認這些資料的真實性。

【7月17日】專案管理工具Trello逾1,500萬名使用者個資流入地下論壇，對方聲稱是透過公開的API取得

繼大型售票業者TicketMaster、電信業者AT&T、娛樂業者迪士尼驚傳大規模資料外洩，本週又有駭客宣稱握有超過1,500萬筆專案管理工具Trello用戶資料。

值得留意的是，外洩這批巨量資料的人表示，取得管道居然是Trello公開的API端點，他能在未通過身分驗證的情況下將電子郵件信箱對應到Trello帳號。

【7月18日】日本揭露新一波MirrorFace攻擊行動，對方鎖定防火牆、SSL VPN設備已知漏洞而來，散布後門程式

日本企業組織自2022年遭遇MirrorFace攻擊行動鎖定，當地電腦緊急應變團隊暨協調中心JPCERT/CC持續追蹤相關動態，最近他們提出警告，這些駭客更換攻擊目標，同時也調整入侵的手段，並使用新的惡意程式NoopDoor。

值得留意的是，在部分攻擊行動裡，對方使用了相當罕見的手法執行惡意程式，他們濫用MSBuild公用程式載入含有程式碼的XML檔案，從而產生相關作案工具。

【7月19日】CrowdStrike旗下EDR系統更新出錯釀禍，全球出現Windows電腦大量當機，影響機場、醫院等設施運作

本日最重大的資安事故，應該就屬資安業者CrowdStrike旗下的EDR系統更新出錯的情形，這樣的情況不僅有許多用戶上網抱怨電腦當機，也在全球造成災情，值得留意的是，國內也傳出桃園機場、臺大醫院、臺北榮總營運受到影響的情況，究竟有多少企業組織受害？有待進一步追蹤。

另一方面，國內外不少新聞媒體也指出，今天凌晨微軟的雲端服務出現異常，也與該資安業者有關。