弱點編號:CVE-2017-11780
弱點說明:Microsoft Windows作業系統平台的SMB服務具有弱點, 駭客可遠端攻擊執行任何執行碼
可能影響:駭客可能進入內部網路時,利用此弱點進行內網擴散。或勒索病毒搭配此弱點進行擴散攻擊,如WannaCry
建議採取行動:1. 立即安裝Windows安全性更新 2.非必要關閉 SMB 服務
弱點編號:CVE-2017-11826
弱點說明:Microsoft Office RTF具有弱點,駭客可執行利用此弱點植入惡意程式
可能影響:駭客可能利用電子郵件社交工程手法,寄送帶有此弱點攻擊程式碼 Office文件給使用者。使用者開啟後將植入惡意程式
建議採取行動:1. 立即安裝Windows安全性更新 2.提醒使用者勿開啟來路不明的電子郵件附件
漏洞詳細說明請參考CVE網站:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11780
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11826
假外掛程式會在每次管理員啟用時通知攻擊者
熱門的部落格平台WordPress最近出現後門和假Wordpress外掛程式,該後門程式偽裝成一個超過100,000次的安裝的防垃圾訊息工具:WP-SpamShield Anti-Spam;冒牌外掛則夾帶三個零時差漏洞。
標記為X-WP-SPAM-SHIELD-PRO的後門程式據報會停用其他安全相關工具、竊取資料並加入隱藏的管理員帳號。安全研究人員發現假外掛程式有看似正常的結構和檔案名稱,但它們其實都是假的。此外,後門程式可以讓攻擊者上傳任何東西到網站上。
假外掛程式會在每次管理員啟用時通知攻擊者。外掛程式中有一個檔案名為“class-social-facebook.php”,看起來似乎是用來封鎖可能的Facebook垃圾訊息。但進事實它會停用啟用中外掛,導致網站無法正常使用。另外兩個名為“class-term-metabox-formatter.php”和“class-admin-user-profile.php”則被攻擊者用來收集資料。
還有一個名為“plugin-header.php”的檔案則會新增一個管理員帳號,這可以讓攻擊者刪除漏洞攻擊檔案,同時還會顯示目標攻擊網站的使用者名稱、密碼和電子郵件。
我們常會聽到網路犯罪者鎖定遊戲玩家進行攻擊。過去我們曾通報許多類似事件,例如假遊戲應用程式、以線上遊戲貨幣從事現實貨幣洗錢等。攻擊者的目標通常很單純:竊取個人資訊並從中獲利,而遊戲本身也因此經常遭到濫用。
在本文說明的案例中,遭到網路犯罪者利用的並非遊戲,而是遊戲玩家所使用的通訊工具,Discord,這是玩家經常使用的新一代聊天平台,擁有超過 4,500 萬名註冊會員用戶。
ROBLOX
此攻擊案例涉及熱門的大型多人遊戲 ROBLOX,這個遊戲擁有 1 億 7,800 萬名註冊用戶,每個月超過 1,200 萬名活躍使用者。ROBLOX 的發展非常仰賴使用者建立的內容,玩家可以在 ROBLOX 的世界中建立自己的迷你遊戲與環境,並且與其他玩家遊玩分享。ROBLOX 亦具備社群網路的要素,鼓勵使用者進行社交、一起玩遊戲及建立內容,並賺取、消費可交換現金的專屬虛擬貨幣 ROBUX。
Discord 的詐欺漏洞
在網路犯罪者攻擊 ROBLOX 玩家的犯罪中,Discord 扮演何種角色?我們的研究發現,網路犯罪者濫用此聊天平台內建的一項功能,即應用程式設計介面 (API),API 讓此平台能執行使用者建立的程式碼與應用程式。網路犯罪者可藉此從使用 Discord 的目標系統中,竊取包含 ROBLOX 登入憑證的瀏覽器 cookie,具體而言,是 Discord 使用 webhook 的能力遭到濫用。Webhook 其實就是特定應用程式或程序符合條件時,讓聊天程式傳送訊息至指定頻道或使用者,Discord 因此成為資訊外洩的管道。
濫用 webhook 的手法可細分為以下步驟:
圖 1 在程式尾端夾帶 Discord webhook 惡意程式碼的螢幕截圖CVE-2017-0199 原本是個遠端執行程式碼的零時差漏洞,讓攻擊者可以用來攻擊微軟Office的Windows物件連結與嵌入(OLE)介面以散播惡意軟體。它通常利用的是惡意RTF文件,也就是今年初被DRIDEX銀行木馬所利用的方式。
趨勢科技最近看到了新樣本(趨勢科技偵測為TROJ_CVE20170199.JVU)會用新的方法(利用PowerPoint播放模式)來利用CVE-2017-0199漏洞,這是我們第一次看到有實際的病毒利用這方法。這並非CVE-2017-0199第一次被利用,本文將分析這個新攻擊手法,提供對此漏洞更加深入的見解,藉此了解此漏洞在未來可能如何被其他攻擊活動被利用。
技術分析
圖1:TROJ_CVE20170199.JVU感染流程
偽裝生意夥伴的發送網路釣魚電子郵件
漏洞攻擊碼是以魚叉式釣魚攻擊(SPEAR PHISHING)附件的方式抵達,偽稱來自電線廠商,實際上則是會植入一個遠端存取工具。這個偽裝是有原因的,因為這些攻擊主要是針對電子製造相關的公司。我們相信針對性攻擊/鎖定目標攻擊(Targeted attack )會偽裝生意夥伴的電子郵件地址來寄送郵件。
郵件樣本內容如下:
圖2:魚叉式釣魚郵件樣本
雖然電子郵件本身有提到訂單請求,但收到郵件的使用者看不到商業文件,而是會看到一個PPSX檔案,點擊後會顯示如下: 繼續閱讀
Android 八月份安全性公告包含了三個趨勢科技研究人員發現的檔案系統漏洞 (CVE-2017-10663、CVE-2017-10662 和 CVE-2017-0750)。這些漏洞可能造成裝置記憶體中的資料損毀,讓惡意程式在系統核心內執行惡意程式碼,進而存取並掌握更多資料。歹徒可利用惡意程式來掛載一個 F2FS (Flash-Friendly File System) 格式的磁碟來觸發這項漏洞,這個磁碟可以是實體磁碟或虛擬磁碟映像。
F2FS 是一種專門針對快閃記憶體 (NAND) 裝置 (如隨身碟) 而最佳化的檔案系統。任何可掛載 F2FS 檔案系統的裝置都存在這項潛在風險。就 Android 而言,最危險的是那些預設使用 F2FS 檔案系統的裝置,例如:Motorola、Huawei 和 OnePlus 的手機,因此有數以百萬計的用戶都可能遭駭。不過,這項攻擊技巧要能成功,駭客必須先駭入某個具備檔案系統掛載權限的執行程序才行。
至於 Linux,問題就更加嚴重。Linux 核心從 2013 年發表的 3.8 版起就開始支援 F2FS 檔案系統。因此,該版本之後的所有 Linux 裝置都存在這項潛在危險。只不過,並非所有 Linux 發行版本都會預設啟用 F2FS 功能。而那些在插入 USB 隨身碟時會自動掛載該磁碟的裝置風險最高,因為駭客只需將一個含有 F2FS 漏洞攻擊程式的隨身碟插入系統就能觸發這項漏洞。
技術細節
這項漏洞出在讀取 F2FS 檔案系統結構的程式碼:駭客只要在含有漏洞的系統上使用 losetup 來掛載一個惡意的磁碟或本地端磁碟映像檔,即可造成系統記憶體資料損毀,進而讓惡意程式在系統核心內部執行惡意程式碼。前面發布的三項漏洞都可能讓惡意程式寫入正常範圍之外的記憶體,促使系統執行其惡意程式碼。 繼續閱讀