資安

數位長專注數位加值生態系與數位加值應用，工作目標要推動南山數位轉型計畫

本周包括微軟等多家科技大廠發布產品修補公告，當中的關注焦點是，微軟修補了3個已遭鎖定利用的零時差漏洞，此外還有蘋果與Cacti的漏洞需要優先關注；近日資安威脅焦點上，有資安業者揭露新的惡意軟體濫用微軟IIS功能建立後門，而且鎖定對象是臺灣組織，以及ChatGPT引發的濫用風險持續受到大眾討論

3月底之後，推特免費版用戶便無法使用基於簡訊的雙因素驗證服務（2FA），必須改用應用程式和硬體安全金鑰進行雙重身分驗證

駭客要突破網站應用程式的MFA，除了鎖定OTP碼的誘騙或竊取，發動MFA登入通知轟炸，還有不同層面的攻擊方式，例如繞過驗證機制、針對Web瀏覽器技術的Cookie theft，近一年半，Google與微軟也持續揭露相關威脅活動

傳統密碼不夠安全，雖然多一道驗證碼輸入的MFA日漸普及，但隨著OTP認證碼失守狀況層出不窮，傳統MFA也不夠安全，改用無密碼登入可望躍居主流

MFA應用是當前提升身分安全的主力，但最近臺灣發生的信用卡盜刷事件突顯其不足之處，促使大家走向無密碼登入

新的Mirai變種殭屍網路出現，這次利用13個漏洞來挾持Linux連網裝置；有研究人員發現針對IIS伺服器而來的惡意軟體，而且，攻擊目標是臺灣組織

Morphisec研究人員發現，駭客利用ProxyShell漏洞打造的新型惡意程式，企圖針對尚未修補的Exchange伺服器發動挖礦攻擊