漏洞攻擊 - 資安趨勢部落格

SgxPectre可從Intel SGX Enclave取得資料

2018 年 03 月 07 日2018 年 03 月 13 日趨勢科技 TrendMicro

俄亥俄州立大學最近的一篇研究報告詳細介紹英特爾(Intel)軟體防護擴充指令集(SGX)遭受Spectre攻擊的最新情況。SGX是英特爾(Intel)現代處理器的一項功能，它將選定程式碼及資料管控在”飛地(enclave)”以保護它們不會被洩露或竄改。如果這被研究人員稱為SgxPectre的攻擊成功，攻擊者就可以從飛地(enclave)取得資料。

當使用者在應付今年一月所披露的英特爾(Intel)處理器漏洞Meltdown和Spectre時，這些嚴重漏洞似乎並未影響到SGX飛地(enclave)。飛地(enclave)的安全設計是即使是作業系統也不能存取其內容。

這個攻擊使用了Spectre漏洞加上現有SGX執行時函式庫(runtime library)內有弱點的程式碼，可以完全存取受防護飛地(enclave)的內容。這些漏洞存在於執行時函式庫(runtime library) – Intel SGX SDK，Rust-SGX和Graphene-SGX特別被指出。

研究人員展示這個漏洞攻擊時補充：”SGXPECTRE建立了惡意的SGX飛地(enclave)來與其他飛地(enclave)共存，再使用旁路攻擊(side-channel)觀察快取追蹤和分支預測延遲。” 繼續閱讀

交友 app 爆漏洞,用電話號碼就能劫持 Tinder 帳號!

2018 年 03 月 05 日2018 年 03 月 02 日趨勢科技 TrendMicro

可根據使用者的 Facebook 和 Spotify 資料，讓互相感興趣的雙方開始聊天的知名的手機交友軟體Tinder,經安全研究人員 Anand Prakash 披露漏洞及它利用Facebook Account Kit的方式。據研究人員稱，這漏洞讓駭客只需要受害者的電話號碼就能夠接管 Tinder 帳號並讀取私人訊息。幸好 Prakash所披露的安全漏洞已經被 Tinder 和 Facebook 迅速地修復。

[來自TrendLabs Intelligence Blog：Tinder、Grindr和OKCupid等網路應用程式是否會被惡意用在網路間諜活動？]

什麼是Facebook Account Kit？

Facebook的Account Kit讓第三方開發者可以簡化應用程式流程，使用者只需用電子郵件地址或電話號碼就可註冊和登入。當使用者輸入上述資訊，系統就會發送一組驗證碼用來登入帳號。Tinder是利用Account Kit來管理使用者登入的服務之一。

Account Kit不只用在iOS和Android。它也支援Web和行動Web應用程式（無論是否啟用JavaScript）。Account Kit支援IE 10以上版本、Edge、Chrome、Firefox、Safari和Opera。目前支援230多個國碼和40多種語言。

[閱讀：Confusius網路間諜組織如何將愛情騙局用在網路間諜活動中]

Account Kit漏洞如何被利用？ 繼續閱讀

駭客也搞資源回收?回收舊漏洞攻擊碼,竟可製造全新威脅!

2018 年 02 月 23 日2018 年 02 月 12 日趨勢科技 TrendMicro

開發人員都會回收使用程式碼 – 畢竟如果沒有問題就不用改了。這也是開放原始碼如此受歡迎及有價值的原因 – 不需要從頭開發全新的程式碼，開發人員可以利用現有的開放原始碼，並且可以根據自己的需求來改寫。

不幸的是，不僅軟體開發商和其他白帽公司會這麼做 – 駭客也會回收並重新利用過去運作良好的舊漏洞攻擊碼來製造全新的威脅。更糟的是，這些被回收使用的惡意攻擊結合新且複雜的感染手法讓其變得更加難以防範。

大多數新的惡意軟體並不新

從各種關於新惡意軟體的統計數據中，很容易就會認定網際網路和聯網設備都充斥著惡意威脅。事實上，G Data報導在2017年第一季就發現了2,200萬個新惡意軟體。換句話說，這代表幾乎每4秒就會發現一個新惡意威脅。

雖然有相當數量的惡意軟體可供駭客選擇是真的，但其中有許多並不完全是新的。

“2017年第一季發現了2,200萬個新惡意軟體樣本。”

Secplicity指出：“其中有大部分就像是科學怪人一樣由各種程式碼拼湊而成，可能來自現有的惡意軟體或公開的漏洞和工具。”

就這樣，駭客利用現成的程式碼和功能再並加上特製功能來做出新的惡意軟體。

為甚麼要回收使用?

有好幾個理由會讓駭客選擇重複或回收使用。首先這節省了許多時間。不必為基本功能來撰寫新的程式碼，使用已知可行的程式碼更快更容易。而且就如安全分析師Marc Laliberte所指出，利用這方法節省的時間可以讓網路犯罪分子將注意力放在更重要的事情上。

“如果有人已經開發了可行的解決方案，就無須再多此一舉去重新開發”Laliberte寫道。“透過盡可能地複製程式碼，讓惡意軟體作者有更多時間專注在其他地方，如躲避偵測和避免歸因。”

除了重複使用程式碼來節省時間外，許多網路犯罪分子還會重複使用常見的威脅功能，因為它們已經經過時間證明能夠成功。這也是為什麼會出現無數的勒索病毒、魚叉式網路釣魚和其他攻擊的變種。繼續閱讀

Uber 爆漏洞,雙重認證機制出包

2018 年 02 月 14 日2018 年 02 月 13 日趨勢科技 TrendMicro

2017 年 11 月，全球叫車共乘大廠 Uber 陷入了一場資料外洩風暴，該公司被揭發有 5,700 萬名司機和乘客的資訊外流到網路上。一月底又出現了另一個資安問題，研究人員 Karan Saini 發現 Uber 有一個系統漏洞可讓駭客跳過 Uber 應用程式的雙重認證 (2FA) 機制。

該公司早在 2015 年就開始實驗雙重認證，希望能取代電子郵件和密碼的簡單認證方式。然而，這項功能卻因為 Uber 應用程式的登入方式而使得駭客有可能跳過這項安全機制。根據 Saini 提供的詳細資料指出，使用者只要有電子郵件和密碼就能登入其帳號。接著，使用者可以在同一個瀏覽器階段切換到 Uber 的「help」(協助) 子網域，然後再用相同的登入憑證就能登入。

Uber 公司已在本文截稿前修正了該問題，並且說明這有可能是其內部資安團隊為了測試評估各種雙重認證技術的效果而導致的問題。同時，該公司也表示並非所有裝置都預設使用雙重認證，只有在適當的情況下才會使用，也就是當發現有可疑活動的時候。

雙重認證的重要性

隨著資料外洩與資訊竊盜案件日益頻傳，不論企業機構或一般消費者都應開始考慮淘汰傳統的單一認證機制，改用雙重認證。對企業機構來說，這意味著必須在其系統內加入雙重認證，對一般消費者來說，這意味著要確實啟用這項機制 (如果不是預設使用的話)。

此案例告訴我們，即使是雙重認證系統也並非完美。更何況，網路犯罪集團還可透過網路釣魚或惡意程式的方式來克服這項機制。不過，多一分防護總是比少一分好，所以雙重認證畢竟還是比單一認證來的安全。而且雙重認證不一定會比較複雜，因為大多數的雙重認證都只是需要多一封手機簡訊或多一個應用程式 (後者較為安全) 來進行雙重認證而已。

所有企業機構，尤其是需要經手或儲存大量客戶資料的企業，都應優先在系統當中加入額外的安全機制。雙重認證是一道容易架設的安全機制，而且不論對企業或使用者來說都不需太複雜的步驟。

請參考這篇「如何設定雙重認證 (2FA)」來保護您的網路帳號。

原文出處：Bug Allows Attackers to Bypass Uber’s Two-Factor Authentication System

駭客利用 Windows Installer (msiexec.exe) 程式在系統植入 LokiBot 資訊竊取程式

2018 年 02 月 13 日2018 年 02 月 13 日趨勢科技 TrendMicro

時間拉回 2017 年 9 月，當時 Microsoft 修正了 CVE-2017-11882 這個可讓駭客從遠端執行程式的 Microsoft Office 漏洞。但這仍無法阻止 Cobalt 網路犯罪集團繼續利用此漏洞來散布各種惡意程式，例如FAREIT、Ursnif 以及某個破解版 Loki 資訊竊取程式 (這是一個以竊取密碼和加密虛擬貨幣錢包為賣點的鍵盤側錄程式)。

最近，趨勢科技發現駭客又再次利用 CVE-2017-11882 漏洞發動攻擊，這次採用的是一種罕見的方法，透過 Microsoft Windows 作業系統中的 Windows Installer 服務。此手法有別於之前使用 Windows 的 mshta.exe 程式來執行 Powershell 腳本以下載並執行惡意檔案的作法，而是透過 Windows Installer 服務當中的「msiexec.exe」程式來執行惡意檔案。

完整感染過程