跳到主要內容區塊

ACW

[資安報報] 201910




[2019/10/01~31]
本計畫整理, edited by Su Yu Tsai

01
  PDF 檔案規格資安漏洞,導致有心人能窺探加密文件
不少傳統上會寄送紙本帳單的單位,如銀行、電信、水、電事業單位,隨著數位化時代提供電子帳單,並且用加密的 PDF 檔案保護用戶隱私。如今傳出資安學者發現新的攻擊手法,能截取並且偷出加密 PDF 上記載的內容,悄悄的進行不被使用者察覺。德國的資安學者命名這一針對 PDF 攻擊手法為 PDFex,除了 Adobe Acrobat 會被影響之外,其他的 PDF 閱讀器如 Foxit Reader、Evince、Nitro,以及 Firefox 或是 Chrome 瀏覽器內建的 PDF 閱讀器,都受到影響。由於 PDF 檔案規格允許未加密和加密的內容,而且在讀取加密內容時也沒有驗證的機制,因此造成用 PDFex 漏洞有辦法在使用者未意識到時,讀到加密的內容。

新聞來源:TechNews科技新報 | 20191002
======
02 英國政府警告:Pulse Secure、Palo Alto和Fortinet的VPN存在APT攻擊漏洞
英國國家網路安全中心(National Cyber Security Centre,NCSC)警告Pulse Secure、Palo Alto和Fortinet的VPN使用者,這些VPN存在可被駭客用作APT(Advanced Persistent Threat)攻擊的漏洞,這些SSL VPN產品存在可以讓攻擊者任意檢索檔案的漏洞,使用者存在身分驗證憑證洩漏的疑慮,NCSC提到,攻擊者可以利用這些竊取的憑證連接至VPN,並且更改VPN配置或是連接組織內部基礎設施,而且未經授權的VPN連接,也提供了攻擊者存取根殼層需要的執行特權。當組織懷疑遭到入侵,卻找不到任何具體證據,則應該恢復原廠設定,NCSC提醒,使用者應該為VPN服務啟用雙因素驗證,以避免受到密碼重送攻擊,而且也應該禁用不需要或未使用的功能,以減少VPN被攻擊面。

新聞來源:iThome | 20191008
======
03 Intel處理器再爆MDS資安漏洞,更新處理器微碼犧牲效能換取安全
INTEL與其他產業夥伴共同揭露了Microarchitectural Data Sampling(以下簡稱MDS)資安漏洞。根據Intel官方新聞稿所提供的資訊,這個漏洞首先由Intel內部的研究團隊與合作夥伴發線,並有外部研究團隊獨立向Intel回報,MDS屬於旁路漏洞,讓攻擊者有機會竊盜受害電腦中的資料,造成資安危害。針對MDS漏洞並非存在硬體的產品而言,Intel正與OEM廠商共同透過更新處理器微碼(Processor Microcode)的方式修正問題,使用者也可能需要更新作業系統或虛擬機器。

新聞來源:T客邦 | 20191009
======
04 個資外洩! 臉書用戶個資被偷 快查自己是否中招
Facebook 日前傳出個資外洩危機,據稱有 5,000 萬用戶帳號受到牽連,近日 Facebook 臉書清查資料,推測目前受影響的帳號接近 3,000 萬。同時,Facebook 說明這次駭客是利用自動程式,利用用戶及好友名單一個連一個竊取個資。 未來幾天 Facebook 臉書將透過訊息通知受影響的用戶,並告知哪些個資被外洩,如果不及 Facebook 通知,使用者也可以到「使用說明」網頁檢視自己有沒有受影響。目前 Facebook 臉書正與 FBI 配合調查,而受影響的用戶近期將會收到通知訊息,說明哪些訊息被駭客取得。

新聞來源:UDN聯合新聞網 | 20191015
======
05 Linux的sudo指令遭爆含有可取得最高權限的安全漏洞
Linux指令sudo的官網於本周提出警告,指出sudo指令含有一編號為CVE-2019-14287的安全漏洞,將允許無特權的使用者取得最高權限(Root),以執行任何命令。Sudo團隊已釋出sudo 1.8.28以修補該漏洞,先前的版本都受到波及,幸好該漏洞只會在非標準配置的狀況下被觸發,並未影響多數的Linux伺服器。此一漏洞是由蘋果的資安工程師Joe Vennix所揭露,Sudo團隊也已釋出sudo 1.8.28修補,用戶應儘快升級。

新聞來源:iThome | 20191015
======
06 Docker Hub上映像檔被發現存在挖礦綁架蠕蟲
資安研究團隊Unit 42揭露第一個出現在Docker社群版本中的挖礦綁架蠕蟲Graboid,目前已知這個蠕蟲已經感染了超過2,000臺不安全的Docker主機,用於挖掘Monero加密貨幣,研究人員提醒,雖然這個挖礦綁架蠕蟲沒有複雜技術或是程序,但是由於他有能力從C2(Command and Control)伺服器下載新腳本,因此可以簡單地轉換成勒索軟體或是任何惡意軟體,企業應提高保護自家Docker主機的能力。企業需注意在防火牆規則中加入白名單,限定流入流量的來源,並且不可從未知的映像登錄服務或是不明使用者名稱空間拉取Docker映像檔,平時也該定期檢查系統是否存在未知的容器或是映像檔,也可以使用雲端安全解決方案,辨識惡意容器。

新聞來源:iThome | 20191017
======
07 攻擊手法再翻新!駭客用音訊檔「WAV」散布惡意程式
駭客過去多將惡意程式藏在JPEG或PNG檔中,但最近有研究人員發現有攻擊行動開始把惡意檔案混在WAV檔案中,或把編碼改成WAV檔案型態,藉此避免被防毒軟體偵測到,進而對受害者電腦植入後門或挖礦軟體。 依照過去的經歷,以前看到的駭客攻擊手法,比較會將惡意程式藏在非文件檔案中,像是藉由圖檔進行散布,而這攻擊手法又稱「圖像隱碼術(Steganography)」。過去發現的例子都是利用JPEG或PNG,但最近包含賽門鐵克、BlackBerry的Cylance威脅研究中心研究人員,都先後發現現在竟連WAV檔也被拿來當作攻擊的手段之一。<

新聞來源:匯流新聞網 | 20191018
======
08 Google著手修復Pixel 4人臉解鎖漏洞 恐花好幾個月
Google 年度新機 Pixel 4 系列日前已正式發表,上網訂購的消費者近幾日就能收到新機,入手親自體驗。不過,得留意的是,Pixel 4 在正式送達消費者手中之前,透過媒體評測已發現系統漏洞,就是人臉解鎖(face unlock)竟然「閉著眼睛都能解」,引發資安疑慮。對此,Google 已著手開發系統更新,試圖解決。不過,恐怕會讓使用者感到困擾的是,恐怕得等候比你我預期更久的時間,才能盼到夠安全的人臉辨識功能。

新聞來源:中時電子報 | 20191023
======
09 Adobe讓750萬筆Creative Cloud用戶資料庫曝露於網路上
Adobe持有的一個ElasticSearch資料庫因未加密,導致Creative Cloud用戶的電子郵件、會員號碼等個資被公開在網路上,有心人士可以藉此發送網釣郵件來騙取用戶密碼或支付資料。安全廠商研究人員Bob Diachenko在10月19日發現這個資料庫後,立即通報Adobe,後者也在當天增設了密碼加以防護。Adobe坦承此事,除了強調這次事件不牽涉任何密碼和金融資訊,也不影響所有Adobe產品或服務的運作。

新聞來源:iThome | 20191028
======
10 Fortune 500企業的2,100萬個登入憑證流落暗網
ImmuniWeb發現一批遭竊的使用者憑證全來自全球500大企業,而且這些憑證使用的密碼重複率高,在2,100萬筆外洩紀錄中,只用了490萬組密碼。若依照憑證外洩規模的產業來排序,由科技業以507萬筆拔得頭籌,居次的金融業也高達492萬筆,健康醫療為192萬筆,製造業為190萬筆,能源與電信業則分別有175及133萬筆。建議企業應該要全面啟用密碼政策,強制員工使用強密碼,也應針對合作業者建立風險管理機制,導入持續性的安全監控系統,並妥善教育員工有關資安的重要性。

新聞來源:iThome | 20191031
======

[資安報報] 201909