【資安週報】2024年7月22日到7月26日

在這一星期的資安新聞中，資安業者CrowdStrike旗下的EDR系統更新引發Windows電腦大當機的事故，後續消息是持續不斷地傳出，佔據資安日報的大量新聞版面。

首先，關於影響層面的後續新聞就有不少，例如，微軟說明全球850萬臺電腦受影響，雖然數量不到全球Windows電腦總數的百分之一，但微軟自己也指出這已造成對全球社會與經濟的廣泛影響。

關於臺灣受影響狀況的新聞，有兩則重要報導，一是iThome特別詢問多家臺灣企業資安長、資服業者等，了解到企業實際面對的狀況，不只金融業、資服業、傳統製造業與高科技製造業者都傳出災情，有資服業者更是以手動方式在3天復原3,000多臺個人電腦；另一是金管會公布針對國內金融業清查的結果，有2家期貨商、4家投信業、5家壽險業和2家產險業者受影響，其中保險業就有1千多臺伺服器與1千多臺個人電腦，遭到波及。

此外，在我們日前發布的最新Fintech週報中，也有指出國外金融領域受影響情形，包括摩根大通、瑞士銀行、德意志銀行、日本野村銀行，甚至倫敦證券交易所用來發布監管公告的新聞服務，也都受到影響。

關注災情之餘，對於事故原因的調查，更是大家亟欲了解的部分。CrowdStrike在7月24日的事故更新公布初步調查結果，指出說明問題發生在派送「Rapid Response Content」的環節，加上這個問題在驗證檢查期間未被檢測到，使得後續Falcon感應器更新、布署並載入這些內容，導致了越界記憶體讀取，進而引發Windows電腦當機。

當然，這次事件還有諸多衍生議題，一些新聞內容也未能全部涵蓋，像是從一開始大家質疑資安廠商部署前是否有測試、為何沒發現問題？後來討論延伸到為何程式開發人員會犯錯？也有人表示這是因為開發人員使用不具記憶體安全（non-memory-safe）的程式語言；也有人質疑作業系統核心為何要開放第三方軟體深度整合，就連該家資安廠商提供Uber Eats禮品卡賠罪，也引發眾人不滿，以及傳出有政府與企業要求賠償的狀況等，這些都值得我們繼續追蹤。

另一重要資安新聞是，資安業者KnowBe4揭露自身遭遇北韓駭客潛入公司內容成為軟體工程師，原因是對方使用AI深偽技術並通過線上面試。事實上，早在2022年美國政府就意識到這樣的問題，像是美國財政部就針對來自北韓的IT Workers示警，指出雖然他們主要從事合法的IT工作，但會濫用自身權限協助北韓進行惡意網路入侵，又或是賺錢來幫助北韓實施網路攻擊。而從這次對方使用AI深偽技術求職來看，並通過了4次KnowBe4的線上會議面試，幸好他們聘僱後及早發現異常。但這是否也意味著還有很多還沒發現的情形？

其他重要資安事件上，有多起消息與國內上市櫃公司有關，我們整理如下：
●燦坤與燦星網同日發布資安重訊，說明資訊系統遭受網路攻擊。
●光寶科發布重大訊息，說明偵測一部外網伺服器遭受駭客攻擊的因應。
●針對半導體矽晶圓廠環球晶圓6月遭駭事故，最近駭客組織Storm-1811突然聲稱是他們所為，並要脅7月底將公布竊得資料。
●移民署內部通訊錄驚傳流入駭客論壇，該單位表示疑為離職員工所為。
●美國洛杉機高等法院傳出遭到勒索軟體攻擊，被迫關閉網路系統。

在漏洞消息方面，有一個鎖定利用狀況需要留意，ServiceNow在7月10日修補的重大漏洞CVE-2024-4879，最近有資安業者察覺多個駭客組織蠢蠢欲動，因為出現嘗試掃描未修補上述漏洞的ServiceNow平臺的行為。

至於資安防禦及產業動向上，有3個重要的消息，首先，Google多年來表示將在Chrome中封鎖第三方Cookie，如今竟放棄計畫，其次是非營利組織OASIS Open宣布安全AI聯盟CoSAI（Coalition for Secure AI）成立，多家科技大廠參與，目標是在AI安全設計方面建立協作生態體系；第三是雲端安全公司Wiz傳出拒絕Google高價收購，將尋求在股票市場掛牌上市（IPO）。

【7月22日】資安業者CrowdStrike更新事故衝擊規模初步統計出爐，至少影響850萬臺電腦、67萬企業用戶

上週五臺灣時間下午約一點開始，全球各地傳出因EDR系統CrowdStrike Falcon更新造成藍色當機（BSoD）的情況，該資安業者雖然後續公開對社會大眾說明這起事故僅影響Windows用戶，卻並未透露有多少用戶的電腦因此當機。不過，他們也警告有人利用這起事故為誘餌，從事網路攻擊的現象。

雖然這起事故發生在週末，但後續效應仍在發酵。有資安業者估計有67.4萬企業用戶可能受到影響，稍早微軟曾公布至少有850萬臺電腦受到影響的數據，全球損害情形仍有待進一步追蹤。

【7月23日】臺灣企業因CrowdStrike產品更新造成電腦當機的情況，金融、資服、傳統製造、高科技製造業都傳出災情

上週最受到各界關注的事故，就是EDR系統CrowdStrike Falcon更新出錯，導致全球大量出現藍色當機畫面（BSoD）的情況，微軟初估全球有850萬臺Windows電腦受到影響，究竟臺灣災情如何，陸續有相關消息傳出。我們也私下訪問企業的資安長及資服業者，發現金融、資服、傳統製造及高科技製造業都傳出災情。

另一方面，金管會也在例行記者會透露金融業者受害的情形，並指出期貨商、投信業者、壽險業者、產險業者都有受害的情況。

【7月26日】資安業者KnowBe4驚傳僱用北韓駭客，對方利用深偽技術應徵工作得逞，直到從事可疑行為才東窗事發

上週末CrowdStrike旗下EDR系統更新引發全球大當機的事故，在本週持續延燒，並出現多組駭客藉此事故發動攻擊的情況。但在此同時，我們認為本週資安意識教育訓練業者KnowBe4揭露的內部威脅事故，也非常值得留意。

這起事故的特殊之處在於，他們不慎聘僱到北韓駭客當軟體工程師，但在面試的過程竟然完全沒有察覺可疑的地方，對於專門指導企業員工提升資安意識的業者而言，顯然該公司人力資源部門有待加強相關的資安意識訓練。