文/周峻佑 | 2024-08-12發表

一般而言,駭客利用瀏覽器的漏洞,通常是打算藉此入侵受害者的電腦,或是竊取瀏覽器存放的使用者資料,但最近研究人員揭露的漏洞0.0.0.0 Day相當特別,因為這項漏洞影響的範圍並未包含數量龐大的Windows用戶,而是搭載Linux與macOS作業系統的電腦。

但值得留意的是,這項漏洞已被用來從事攻擊行動,駭客藉此存取特定應用系統的伺服器,從而執行任意程式碼,或是提升權限。

 

【攻擊與威脅】

多個瀏覽器存在長達18年的漏洞,Chrome、Firefox、Safari都面臨危機

資安業者Oligo Security針對名為0.0.0.0 Day的漏洞提出警告,此漏洞允許惡意網站繞過瀏覽器的安全機制,與受害組織網路環境運作的服務進行互動,使得攻擊者有機會對於電腦本機服務進行未經授權存取,或是遠端執行任意程式碼。

這項漏洞的影響範圍相當廣,不只使用Chrome、Firefox為基礎的瀏覽器受到影響,就連Safari也無法倖免。不過,該漏洞主要影響執行macOS及Linux作業系統的電腦,並未波及Windows用戶。

值得留意的是,這項漏洞已被用於實際攻擊行動。研究人員指出,今年3月人工智慧框架Ray攻擊行動ShadowRay、7月底揭露的SeleniumGreed,攻擊者都藉由向0.0.0.0發出請求而得逞。

提供應用程式為誘餌,駭客在Chrome、Edge植入惡意延伸套件

瀏覽器已是大部分使用者不可或缺的工具,而且,常見的瀏覽器都能透過延伸套件來加入功能,這也使得駭客藉著散播惡意延伸套件的情況,越來越頻繁。

資安業者ReasonLabs揭露大規模惡意瀏覽器延伸套件攻擊行動,駭客從2021年開始,透過Google廣告進行宣傳,假借提供多種應用程式當作誘餌,藉此在Chrome、Edge瀏覽器植入惡意延伸套件,他們估計至少有30萬用戶受害。

攻擊者聲稱提供的應用程式包括:遊戲破解工具Roblox FPS Unlocker,串流平臺YouTube、抖音、Instagram的影片下載程式、電玩遊戲Wordle、Rummikub,以及任天堂主機模擬器Dolphin Emulator、遊戲管理平臺Steam,由此看來,這波攻擊鎖定的目標,似乎主要是遊戲玩家。除此之外,也有提供Chrome、密碼管理工具KeePass做為誘餌的情況。

IT業者資料庫配置不當,曝露美國460萬選民資料

VPN評比公司Vpnmentor指出,近期發現美國伊利諾州部分郡的選民和選舉資料庫未受密碼保護,包括投票登記、選票模板和個人資料相關的大量檔案出現在網際網路,研究人員發現這些資料庫由名為Platinum Technology Resource的公司管理,目前已經通知相關單位處理。

研究人員進一步分析曝光的資料,發現伊利諾州13個郡有選舉資料洩漏的情況,這些資料庫均未使用密碼保護,共存放460萬選民資料,另外,他還發現了15個雖有設置密碼,但是存在潛在安全風險的資料庫,這些資料庫暴露了儲存選民或是選舉檔案的路徑,可能成為攻擊者的目標。

其他攻擊與威脅

川普競選團隊傳出遭遇伊朗國家級駭客攻擊

北韓駭客kimsuky鎖定研究人員及教授發動網路間諜攻擊

中國駭客APT31、APT27發起攻擊行動EastWind,散布後門程式CloudSorcerer

美國逾4萬臺工業控制設備曝露在網際網路,逾半數與大樓自動化有關

 

【漏洞與修補】

研究人員揭露AMD晶片存在近20年的SinkClose漏洞

資安業者IOActive研究人員Enrique Nissim與Krzysztof Okupski在資安會議DEF CON 32上,揭露AMD晶片漏洞SinkClose,此漏洞將允許駭客於系統管理模式(System Management Mode,SMM)執行程式碼,而且已存在近20年。SinkClose被登記為CVE-2023-31315列管,波及絕大多數的AMD處理器,從行動處理器、桌面處理器、工作站處理器到資料中心處理器等,估計影響數億臺裝置。

對此,AMD也提出說明,CVE-2023-31315漏洞存在於模型特定暫存器(Model Specific Register,MSR)的驗證不當,允許具備Ring 0存取權限的惡意程式,即便是在系統管理中斷(System Management Interrupt,SMI)上鎖時,都能修改SMM配置,因而可執行任意程式。

值得留意的是,AMD已對大部分處理器進行修補,但唯獨排除Ryzen 3000系列處理器,而這些處理器在2019年至2020年之間推出,還有不少人使用,因而招致用戶抱怨。

Office存在可能導致敏感資料外洩的漏洞,微軟目前尚未提供修補程式

8月8日微軟警告Office存在漏洞CVE-2024-38200,有可能導致NTLM驗證資料等敏感資訊洩露給駭客,影響雲端與桌機版本Office,微軟預定在本月例行更新(Patch Tuesday)釋出安全更新,但聲稱用戶暫無安全風險。

此漏洞由PrivSec Consulting研究人員Jim Rush及獨立研究人員Metin Yunus Kandemir發現,為欺騙攻擊漏洞,CVSS風險值為7.5 ,可造成敏感資訊洩露給未經授權的攻擊者。影響產品包括Office LTSC 2021、Office 2019、Office 2016,以及企業版的Microsoft 365,而且,64位元和32位元版本都受到影響。

其他漏洞與修補

中國資安業者宣稱造成全球EDR大當機的問題可被用於攻擊,遭到CrowdStrike否認

 

近期資安日報

【8月9日】資安業者公布6起濫用雲端服務的後門程式攻擊行動,並指出有臺灣組織受害

【8月8日】黑帽大會首度增設AI議程,趨勢科技展示深偽偵測技術

【8月7日】法國博物館驚傳遭遇勒索軟體攻擊

iThome Security

熱門新聞

Advertisement