漏洞攻擊 - 資安趨勢部落格

資安攻擊為何一再發生? 剖析四個”過於暴露”的案例

2018 年 01 月 03 日2018 年 01 月 09 日趨勢科技 TrendMicro

趨勢科技資深威脅研究員Natasha Hellberg常被問到:”為什麼不關注在複雜的攻擊上？為什麼新漏洞出現時沒有發表深入地探討？”對此他的回答是“ 因為舊的攻擊仍然造成較大的傷害“。

我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱，因為“我們一直在用它們，什麼事都沒有發生，所以我們一定是安全的”

如果我們不花時間來建立良好的網路習慣，不管是組織或個人，就會讓攻擊可以很容易的一再發生。

作者：Natasha Hellberg（趨勢科技資深威脅研究員）

我們有著撥接上網時代跟1983年電影” 戰爭遊戲(Wargames)”上映時就已經出現的協定和電腦程式碼，它們進入了更新的技術，然後包含在其他的技術中，我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱，因為“我們一直在用它們，什麼事都沒有發生，所以我們一定是安全的”。

聽起來有點熟？我們總是拿到新東西就直接安裝，完全沒想到會有何風險。然而令人憂心的是,我們因為缺乏時間、缺乏資源、人力有限，就會有越多這樣的事情發生。

大部分人沒有想到的關鍵重點是暴露在網路上的設備,代表可以被攻擊的潛在目標。如果我們幸運，這些設備有加以防護，可以去面對駭客所進行的漏洞攻擊或暴力破解。但不幸的是，根據趨勢科技FTR團隊所做的研究，有幾十萬放在網際網路上的設備帶有漏洞（就是說可以被入侵）或完全沒有任何安全防護。

現在讓我們來進一步談談以下四個例子:

勒索病毒/Wannacry 類型攻擊 – 針對網路分享的攻擊。
資料外洩 – 通常的是人為疏忽造成的,並不需駭客介入。
設備/網頁竄改（defacement） – 不設防的網站就像敞開的大門, 駭客不需要大費周章入侵,就可以很輕易修改網站的內容。
DDoS殭屍網路和攻擊激增工具（Booter） – 系統和設備漏洞成為攻擊他人的跳板

繼續閱讀

2018年資安預測:已知漏洞將會成為最大攻擊來源

2017 年 12 月 29 日2017 年 12 月 27 日趨勢科技 TrendMicro

趨勢科技發表了對2018年的預測報告。在報告中，我們列出了在2018年威脅環境可能會出現的八種演變。雖然這些預測涉及廣泛，從物聯網到網路宣傳戰都有，但是真正的主題是2018年最大的攻擊將來自已知漏洞。

這預測源自2017年所有的重大資安事件（像是WannaCry(想哭)勒索蠕蟲事件）都是基於已知漏洞。只要研究Shadow Brokers所洩漏出的資訊，犯罪份子就可以取得國家級情報機構所使用且成功攻擊的漏洞清單。因為這樣，很容易就可以預見犯罪分子也會利用這些漏洞。

一個未知的漏洞（只有情報組織才知道的漏洞）和已知漏洞間最大的差別就是使用它們的攻擊者數量呈指數增加。所以，一旦有漏洞被公眾所知，時間就開始在倒數，剩下的只是“什麼時候”會攻擊到使用者的問題。繼續閱讀

「ROBOT 攻擊」影響 Facebook、PayPal 等知名網站

2017 年 12 月 15 日2018 年 01 月 05 日趨勢科技 TrendMicro

有研究團隊發現 1998 年由 Daniel Bleichenbacher 所批露的 RSA 加密演算法實作漏洞至今仍可能遭到攻擊。根據報導，日前又出現一個利用此漏洞的新攻擊，命名為「ROBOT」(其名為「Return of Bleichenbacher’s Oracle Threat」的縮寫)，影響所及包括 Alexa Top 100 百大網站中的 27 個網站，如 PayPal、Facebook 等知名網站皆受影響。這個由 Hanno Böck、Juraj Somorovsky 和 Craig Young 三名研究人員所組成的團隊指出，駭客在某些條件下有可能取得可以解開 HTTPS 流量的私密金鑰。只不過，至今尚未出現駭客利用 ROBOT 漏洞發動攻擊的案例。

ROBOT 漏洞攻擊手法是藉由 Bleichenbacher 所發現的漏洞，此漏洞可讓駭客利用暴力破解的方式成功猜出連線階段金鑰 (session key)，進而解開 TLS (HTTPS) 伺服器與用戶端瀏覽器之間的 HTTPS 通訊。此情況發生的條件是：連線階段金鑰採用 RSA 演算法加密，並且使用 PKCS #1 V1.5 padding 系統。駭客可以發送連線階段金鑰給 TLS 伺服器去查詢該金鑰是否有效，伺服器會回覆「是」或「否」，駭客可以如此反覆嘗試，直到試出正確金鑰為止。儘管這項漏洞存在已將近 20 年，但 ROBOT 漏洞攻擊至今依然可行，因為該漏洞的解決方法非常複雜，而且在實作上也未徹底解決。

繼續閱讀

17年的微軟Office漏洞（CVE-2017-11882）,仍繼續搞破壞

2017 年 12 月 10 日2017 年 12 月 18 日趨勢科技 TrendMicro

趨勢科技發現一個惡意RTF檔案會利用漏洞CVE-2017-11882來散播間諜軟體Loki（TSPY_LOKI）。它透過HTML應用程式（HTA）來呼叫PowerShell植入惡意軟體，再來取得資料竊取軟體。

CVE-2017-11882是什麼？

CVE-2017-11882是微軟Office（包括Office 360）內存在17年的記憶體損毀問題。一旦攻擊成功，在開啟惡意文件後可以讓攻擊者在有漏洞的電腦上執行遠端程式碼（無需經過使用者互動）。這個漏洞存在於方程式編輯器（EQNEDT32.EXE），這是微軟Office用來在文件中插入或編輯OLE物件的工具。概念證明漏洞攻擊碼已經被公布，而微軟已經在11月份的星期二更新日修補了這個漏洞。

Loki病毒家族可以竊取FTP客戶端的帳號資料，以及儲存在各種網路瀏覽器和數位貨幣錢包的憑證。Loki還可以從“Sticky”相關（即Sticky Notes）和線上撲克遊戲應用程式收集資料。

[相關資料：Cobalt駭客集團再次將目標放在俄語企業]

攻擊者如何利用CVE-2017-11882？繼續閱讀

Facebook投票功能竟可刪除他人照片!漏洞發現者獨得美金一萬元

2017 年 12 月 06 日2017 年 12 月 05 日趨勢科技 TrendMicro

Facebook出現一個能夠讓惡意人士刪除使用者張貼在社群網路上照片的漏洞。安全研究人員發現Facebook新的投票功能有漏洞，這投票功能可以讓使用者建立給朋友和關注者投票的兩問題投票。這問題已經回報給社群網路的安全團隊並在12小時內提供初步修復，兩天之後會全面修復。

伊朗的安全研究和網路開發人員Pouya Darabi在檢查Facebook的新功能時注意到此漏洞。Darabi發現自己可以經由變更ID號碼來加入圖片。這讓他可以預覽Facebook使用者在線上傳的圖片，並將其加入到投票內。當他刪除這次投票，附加的圖片也會被從社群網路中永久刪除。

這漏洞並不容易攻擊，因為上傳圖片的ID號碼並不完全照順序。攻擊者必須計算自己的步驟來碰上有效的圖片。因此想針對特定照片會很困難。

Darabi因發現並回報此安全漏洞而獲得10,000美元獎金。這並不是這名安全研究人員第一次從Facebook獲得獎金。在2015年，他因為繞過跨站請求偽造（CSRF）保護系統而獲得15,000美元獎金。而次年他因為類似漏洞又獲得了7,500美元。

這漏洞的出現提醒了人們社群網路跟其使用者同樣容易遭受網路威脅。使用者在瀏覽自己的社群網路帳號時也要小心，因為如果不是Facebook在安全研究人員通知後快速地解決，他們自己並沒有辦法來處理這漏洞所造成的問題。這次修復可以防止使用者的數位資產被外露，不過還是要持續關注網路犯罪分子未來可能開發的漏洞攻擊。

保護你的社群媒體帳號

最近一項研究顯示人們平均每天在社群網路上花費約116分鐘。社群媒體的無處不在加上它的帳號跟越來越多應用程式和帳號連結，社群媒體平台自然成為了惡意攻擊者的理想目標。

以下是保護帳號安全的一些建議：