以色列的內蓋夫本-古里安大學 (Ben-Gurion University of the Negev) 的研究人員最近示範了一種他們命名為「Mosquito」(蚊子) 的概念驗證攻擊,利用喇叭或耳機從連網或隔離的電腦將資料外傳。
這篇名為「Mosquito: Covert Ultrasonic Transmissions between Two Air-Gapped Computers using Speaker-to-Speaker Communication」(蚊子:利用超音波讓兩台隔離的電腦經由喇叭對喇叭的方式暗中進行通訊) 的研究報告,詳細說明了如何利用電腦的音效孔來暗中進行資料傳輸。這項技巧是將接收端的音訊輸出孔轉換成輸入孔,然後將喇叭當成麥克風使用。今日的音效晶片大多具備插孔轉換的功能,只需透過軟體設定就能達成。針對這項實驗,研究人員特別設計了一個惡意程式來將喇叭或耳機當成麥克風使用。兩台機器之間的資料傳輸是透過超音波來進行 (最遠可達 9 公尺)。 繼續閱讀
資安研究人員 Nadav Avital 發現了一個由他命名為「RedisWannaMine」的加密虛擬貨幣挖礦行動,利用知名的 EternalBlue(永恆之藍)漏洞攻擊技巧入侵資料庫和應用程式伺服器。
RedWannaMine 會經由 CVE-2017-9805 這個可讓駭客從遠端執行程式碼的 Apache Struts 漏洞。Apache Struts 是一個用來開發 Java 網站應用程式的開放原始碼應用程式架構,根據研究,全球 Fortune 100 (《財星》百大) 企業當中至少有 65% 都採用這套架構。RedisWannaMine利用此漏洞從遠端執行指令列 (shell) 命令,將加密虛擬貨幣挖礦惡意程式下載至伺服器上。
[資安基礎觀念:加密虛擬貨幣挖礦惡意程式的負面影響]
此外,在追查這項攻擊行動的過程當中,研究人員還發現一個指令列腳本 (shell script),該腳本用來:
針對知名漏洞 Meltdown 和 Spectre 的攻擊目前或許仍在概念驗證 (PoC) 階段,或者如某些報導所說,仍在實驗性階段。不過,歹徒總有一天會完全掌握這些漏洞,只是時間早晚的問題。Meltdown 和 Spectre 漏洞的影響非常深遠,它最早可追溯至 1995 年所生產的電腦。此問題對企業來說尤其棘手,特別是受到歐盟通用資料保護法 (GDPR) 所規範的企業。
企業除了修補和更新系統之外,還有一點也很重要,那就是採取主動策略來搜尋、偵測、回應威脅,尤其像 Meltdown 和 Spectre 這類影響深遠的威脅。
針對 Meltdown 和 Spectre 漏洞攻擊,趨勢科技研究了一種利用 Intel 處理器內建效能計數器 (Performance Counter) 的特殊偵測技巧。這些計數器會記錄快取失誤的次數 (也就是應用程式所要求的資料不在快取記憶體當中的情況),這些數據可用來偵測 Meltdown 和 Spectre 漏洞攻擊。
由於這兩個漏洞都是利用今日 CPU 在設計上會為了提高效率而預先載入並執行一些指令以免 CPU 陷入無事可做的狀態。
這篇文章的目的,是希望系統管理和資安人員除了妥善訂定修補政策之外,還有另一種防範之道,尤其是那些因可能影響穩定性或效能而無法套用修補更新的系統。
請注意,MeltdownPrime 和 SpectrePrime 也可以利用偵測快取旁道攻擊 (cache-side channel attack) 的方式來加以偵測。儘管參數有些不同,但此方法可偵測 Flush + Reload 以及 Prime 和 Probe 方式的攻擊。只是,此方法雖已在 Linux 系統實驗成功,但尚未在 Mac 系統上測試過。
Spectre SGX (SgxPectre) 的目的是用來洩漏記憶體安全區域 (secure enclave) 內的資料。根據 Intel 的 SGX 程式設計手冊的說法,效能計數器在 SGX 安全區域內可能會被停用。不過,由於快取時間差攻擊是在 SGX 安全區域之外的非信任程式碼中執行,因此效能計數器仍會有關於快取命中 (Hit) 和失誤 (Miss) 的數據,所以應該還是有辦法偵測。關於這點,我們並未完整測試,因此無法百分之百確認。至於參數 (也就是取樣率、門檻等等) 則應視環境而有所差異。
Meltdown 和 Spectre 如何利用處理器預測執行的特性?
Meltdown 漏洞是利用 CPU 在預測執行時會無視權限規定,將原本沒有權限存取的記憶體資料載入快取當中,使得歹徒能夠利用快取旁道攻擊的方式取得這些資料。接著 CPU 才會發現使用者沒有適當權限,進而將運算結果拋棄。但此時已經載入的資料還是會留在末階快取 (Last-Level Cache,簡稱 LLC) 當中,所以才會讓駭客有機會取得這些資料。 繼續閱讀
資安研究人員發現了一種可避開 Microsoft Code Integrity Guard (CIG) 程式碼完整性保護機制的攻擊技巧,將惡意程式庫注入受 CIG 保護的應用程式和執行程序,例如 Microsoft Edge 瀏覽器。
CIG 是從 Windows 10 和 Windows Server 2016 開始導入的一項程式碼保護機制,屬於 Device Guard 裝置保護機制的一環,Microsoft 的 Edge 瀏覽器即支援 CIG。第三方軟體廠商也可在自己的應用程式當中加入 CIG 機制。支援 CIG 的應用程式只能載入 Microsoft 和 Windows Store 簽署的動態連結程式庫 (DLL) 和二進位檔案,如此可防止應用程式被注入不肖的程式碼。此外,CIG 也可攔截銀行木馬程式在瀏覽器 (如 Edge) 內顯示網路釣魚內容的程式碼。
[資訊安全指南:如何防範網頁注入]
這個稱為「CIGslip」的攻擊技巧能避開 CIG 的保護機制,不需在系統記憶體內注入未經簽署的程式碼。惡意程式可利用 CIGslip 的技巧模仿正常 DLL 載入執行程序的方式來避開 CIG 的保護。接著,將無 CIG 保護的執行程序內部的惡意程式碼載入受 CIG 保護的執行程序當中,這就是駭客將其程式碼注入應用程式的方式。 繼續閱讀
台灣研究人員最近在被廣泛使用(但低調)的電子郵件軟體Exim中發現一個嚴重的漏洞。如果遭受攻擊,這個漏洞可以讓攻擊者遠端執行惡意程式碼。安全報告指出至少有40萬台伺服器面臨風險。
這是一個影響廣泛的問題,尤其是因為網路上的郵件伺服器有56%運行Exim(根據2017年3月的調查)。Exim是個郵件傳輸代理程式(MTA),將郵件從寄件者傳送到收件者的軟體,基本上是用作中繼程式。
Exim開發人員已經在版本4.90.1修復了此漏洞,此版本在2月8日發布(漏洞報告發布後三天)。他們建議使用者要立刻安裝這個修補程式,並且表示之前的所有版本都已經過期。但是考慮到受影響伺服器的數量,可能需要數週甚至數個月才能更新完所有有漏洞的伺服器。
Exim漏洞的詳細資訊
研究人員將此問題歸類為”認證前遠端程式碼執行”漏洞,並將其編號為CVE-2018-6789。這是位於base64解碼函式內的單字元緩衝區溢位問題。透過將特製內容送入有漏洞的Exim伺服器就可能讓攻擊者遠端執行程式碼。 繼續閱讀