本週二(8月13日)是許多軟體業者發布8月例行更新的日子,其中最值得留意的是微軟,雖然他們這次僅公布90個漏洞,較7月143個有明顯減少的趨勢,但值得留意的是,揭露的零時差漏洞多達10個,其中有6個已被用於實際攻擊行動,美國網路安全暨基礎設施安全局(CISA)也證實這些漏洞遭到利用的現象,要求聯邦機構限期完成修補。
其餘4個零時差漏洞也不能掉以輕心,當中有2個是研究人員稍早在2024黑帽大會公布,可被串連用於Windows Downdate降級攻擊而受到矚目。
【攻擊與威脅】
資安媒體Hackread近日發現,Breach Forums駭客論壇有一個名為Fenice的使用者,公布14億筆的騰訊用戶資料。而對於這批資料的來源,Hackread懷疑此資料庫源自於今年1月曝光的Mother of All Breaches(MOAB),因為在這個總計12 TB,內含3,800個資料夾與260億筆外洩資料的MOAB中,最多的就是騰訊的15億筆。
資安專家認為MOAB是眾多外洩資料的合輯,之後並確定該資料來自外洩資料搜尋引擎Leak-Lookup。當時Leak-Lookup宣稱,是因為防火牆的配置錯誤才讓MOAB曝光。
其他攻擊與威脅
◆中國駭客組織Earth Baku轉移目標,鎖定歐洲、中東、非洲地區發動攻擊
◆駭客在GitHub架設冒牌WinRAR網站,意圖散布惡意程式
◆駭客假借提供密碼產生器Google Authenticator,意圖散布竊資軟體Latrodectus、ACR Stealer
【漏洞與修補】
微軟8月例行更新公布10個零時差漏洞,其中6個已出現實際攻擊
8月13日微軟發布本月份例行更新,總共修補90個漏洞,其中包含36個權限提升、4個安全功能繞過、28個遠端程式碼執行(RCE)、8個資訊洩露、6個阻斷服務(DoS),以及7個可用於欺騙攻擊。
值得留意的是,微軟本次公布多達10個零時差漏洞,是今年微軟單月公告零時差漏洞數量最多的一次,其中有6個已被用於實際攻擊行動。此外,這次還包含一個尚未推出修補程式的零時差漏洞。
本月SAP例行更新於8月13日發布,總共修補17個漏洞,其中有2個為重大層級,4個為高風險層級,其餘漏洞的危險程度則列為中度風險。
根據CVSS風險評分,最嚴重的漏洞是CVE-2024-41730,此漏洞出現於商業智慧平臺BusinessObjects,起因是缺乏身分驗證的檢核,這項問題出現在啟用單一簽入(SSO)的企業環境,攻擊者可在未經身分驗證的情況下,利用REST端點竊得登入系統的憑證(Token),CVSS風險評為9.8分,影響430、440版系統。
另一個重大層級漏洞是CVE-2024-29415,此漏洞發生在SAP Build Apps打造的應用程式,為伺服器請求偽造(SSRF)漏洞,CVSS風險評為9.1。
視窗作業系統通用事件記錄檔案系統CLFS元件存在漏洞,恐被用於阻斷服務攻擊
在全球對於CrowdStrike更新出錯造成大規模Windows藍色當機(BSOD)心有餘悸之時,資安公司Fortra公開另一個可導致藍色當機的漏洞CVE-2024-6768,這個問題出現在通用事件記錄檔案系統(CLFS),一旦攻擊者藉此對CLFS.sys驅動程式發動攻擊,就有機會導致阻斷服務(DoS),進而引發藍色當機。
此漏洞影響Widnows 10、Windows 11,以及Windows 2016至2022版伺服器作業系統,允許掌握低權限的攻擊者利用CLFS元件缺陷,透過特定操作強制呼叫核心函式KeBugCheckEx來引發當機的現象。研究人員指出,這個漏洞雖然不會直接造成資料洩漏或是系統入侵,但是會明顯影響系統的穩定性和可靠性,降低使用者對系統的信任度。
其他漏洞與修補
【資安產業動態】
NIST正式發布3款PQC標準,鼓勵各界盡快轉換以因應量子破密威脅
後量子密碼學(PQC)標準在8月13日正式發布,成為全球矚目的焦點,因為這次推出的3項新標準是為未來而準備,也就是為日後量子破密威脅所設計,如今美國國家標準暨技術研究院(NIST)首度宣布推出的是FIPS 203、FIPS 204、FIPS 205,接下來還有第4個標準將在年底出爐。
回顧PQC標準的制定,總共歷經8年時間,最早從2016年美國NIST就開始舉行PQC密碼學競賽,當時收到來自25個國家的82個提交演算法,之後進行了3輪淘汰賽,直到2022年先選出4個候選演算法,也就是CRYSTALS-Kyber、CRYSTALS-Dilithium、FALCON、SPHINCS+。目的就是選出可抵禦量子破密威脅的數學問題,以保護現在與未來的安全。
安全更新引發大當機,CrowdStrike傳有意買下修補程式管理新創Action1改善軟體開發流程
上個月CrowdStrike因EDR更新引發全球大停機災難,今年Pwnie Awards頒給該公司史詩級失敗(Most Epic Fail)獎項,該公司總裁Michael Sentonas到場領獎並表明他們會記取這次的教訓,如今傳出該公司有進一步的行動。根據資安新聞媒體Cybersecurity Dive的報導,CrowdStrike計畫買下提供修補程式管理方案的新創業者Action1,以改善其軟體更新流程。
該媒體引述Action1執行長暨共同創辦人Alex Vovk寄給員工的備忘錄,顯示雙方正在進行協議。根據備忘錄,CrowdStrike和Action1正在洽談相關事宜,計畫以近10億美元進行併購。Alex Vovk對員工指出,這收購提案也證明Action1市場正在高速成長,很快將會實現年營收1億美元的目標。
Action1向媒體證實備忘錄真實性,CrowdStrike拒絕評論此事。
其他資安產業動態
◆數位發展部率團參與資安會議DEF CON 32,分享臺灣網路安全與通訊韌性經驗
近期資安日報
【8月13日】韓國國防工業承包商傳出遭北韓駭客攻擊,軍事偵察機資料外流
熱門新聞
2024-08-14
2024-12-22
2024-12-20
2024-12-22