漏洞攻擊 - 資安趨勢部落格

蘋果iMessage 漏洞,駭客可藉此發送加密照片、影片和訊息

2016 年 03 月 23 日2016 年 03 月 29 日趨勢科技 TrendMicro

就在美國聯邦調查局 (FBI) 與 Apple 公司針對 iPhone 解密的問題僵持不下之際，美國約翰霍普金斯大學 (Johns Hopkins University) 的研究人員在一份報告當中揭露了一項可能衝擊這家科技巨擘加密技術的漏洞。這所位於美國馬里蘭州巴爾的摩市 (Baltimore) 的機構揭露了一個有關 iOS 和 OSX 即時通訊軟體 iMessage訊息傳送機制上的漏洞，駭客可藉由此漏洞解開該軟體發送的加密照片、影片和訊息。

負責帶領一群研究人員的該校電腦科學系教授 Matthew D. Green 指出，此漏洞應該是去年才出現，他在看到該公司一份資安指南所揭露的加密流程之後，覺得似乎有安全上的弱點。

經過了幾個月的研究，Green 所帶領的團隊試圖利用一項概念驗證攻擊來解開經由該即時通訊軟體所發送的照片和影片。在幾經嘗試之後，研究生們成功突破了一些使用舊版作業系統的裝置。

他們發現，只要製作一個偽裝成 Apple 伺服器的軟體，就有辦法攔截該軟體所發送的檔案。被成功破解的案例是一個指向 iCloud 伺服器上某照片的連結，而該照片的 64 位元金鑰也隨著該照片儲存在伺服器上。(這項攻擊使用的軟體只需稍加修改就能用於新版的作業系統。) 有了這把金鑰，研究人員就能解開 Apple 伺服器上的儲存照片。這項測試結果顯示網路犯罪份子可以在使用者毫不知情的狀況下輕鬆取得他們的資料。繼續閱讀

軟體也有”有效期限”?!

2016 年 03 月 23 日2020 年 10 月 13 日趨勢科技 TrendMicro

《小廣和小明的資安大小事》作業系統終止支援服務,跟你有何關係?

繼續閱讀

2015年的漏洞攻擊包（Exploit Kit）：充斥著Flash漏洞、淪陷網站和惡意廣告

2016 年 03 月 11 日2016 年 03 月 23 日趨勢科技 TrendMicro

威脅從不原地踏步，漏洞攻擊包（Exploit Kit）也不例外。2015年在此威脅領域中看見了許多改變：加入最新發現的漏洞，利用淪陷網站和惡意廣告來用漏洞攻擊包部署和散播威脅。

漏洞攻擊包是2015年威脅環境的重要部分。在此系列文章中，我們會研究2015年漏洞攻擊包的發展，先從加入新漏洞開始，還有用來將漏洞攻擊包組織成攻擊的新技術。在之後的文章中，我們會檢視趨勢客戶的反饋資料來確認問題大小及展示哪些國家/地區受到的影響最大。

新的漏洞：主要是 Flash

漏洞攻擊包需要持續地加入新安全漏洞以確保即便使用者升級到更新版本也仍然有用。所以並不奇怪地，在2015年有17個新漏洞被眾多漏洞攻擊包所加入。在這之中，有14個在漏洞攻擊碼廣泛出現前就已經有了修補程式。其餘三個成為零時差漏洞，使用者在修補程式推出前就受到攻擊。有些漏洞先被用在針對性攻擊/鎖定目標攻擊(Targeted attack )如Pawn Storm，或是在網路上流出（Hacking Team漏洞），其他則是仔細分析修補程式後「發現」。

在這之中，有一個應用程式突顯而出 – Adobe Flash Player。漏洞中有13個來自此應用程式。這凸顯出Flash漏洞在漏洞攻擊包生態系內的重要性 – 如果沒有安裝Flash，漏洞攻擊包就不那麼有用。

繼續閱讀

趨勢科技與TippingPoint 併購案正式完成，新一代入侵防護系統 (NGIPS) 與 Zero Day Initiative 零時差漏洞懸賞計畫加入陣容

2016 年 03 月 10 日2016 年 03 月 10 日趨勢科技 TrendMicro

打造網路防護基礎，提升企業整體進階威脅防護能力

今天對於趨勢科技、TippingPoint 及我們的客戶來說，都是一個重大里程碑。因為從今天起，TippingPoint 將正式加入趨勢科技家族。未來，趨勢科技客戶將能享受 TippingPoint 專業技術及產品所帶來的好處，同樣地，TippingPoint 的客戶也將因趨勢科技而受益。

這一次，趨勢科技與 TippingPoint 的結合對雙方及客戶來說，都是一個真正雙贏的局面。

在 TippingPoint 方面，該公司擁有新一代入侵防護系統 (NGIPS) 與整合式網路防護解決方案，兩者在業界都享有盛名。此外，TippingPoint 也為趨勢科技帶來了 DVLabs 的威脅研究及專業技術，這是其產品背後的威脅情報後盾。不僅如此，TippingPoint 更帶來了另一項獨一無二的珍貴資產：Zero Day Initiative (ZDI) 零時差漏洞懸賞計畫，這是資安業界第一個、也是最受尊崇、最多產的資安漏洞公平揭露平台。而 ZDI 同時也是 Pwn2Own 駭客競賽的贊助者之一，這是資安界歷史最悠久也最成功的漏洞鑽研競賽。

而在趨勢科技方面，我們擁有眾多得獎連連的產品，包括：趨勢科技 OfficeScan™ 、趨勢科技Deep Discovery進階網路安全防護及低普，全都提供了漏洞防護，可防止漏洞遭到攻擊。在威脅情報及研究方面，我們有 TrendLabs 及前瞻威脅研究團隊 (FTR)。而且，趨勢還有一個鮮為人知的漏洞研究單位 (Vulnerability Research)，該單位在 2015 年通報並修正了 50 多個漏洞 (其中包含 11 個用於零時差攻擊的漏洞)。此外，我們還有趨勢科技主動式雲端截毒服務 Smart Protection Network，這是業界最早建立的雲端威脅防護網之一。繼續閱讀

Heartbleed 類型的新HTTPS漏洞 – DROWN出現

2016 年 03 月 04 日2016 年 03 月 23 日趨勢科技 TrendMicro

一個新的HTTPS漏洞（已經有了專屬網站、亮眼圖示以及響亮好記的暱稱）已經被發現，被描述為可能跟Heartbleed心淌血漏洞一樣嚴重的漏洞。它被稱為DROWN，跟它在2014年出現的前輩一樣，它會影響今日使用HTTPS的大部分網域（根據其網站的FAQ約33%）。不僅僅是網站，郵件服務器和TLS相關服務也都會受到影響。

DROWN是什麼？

它是會影響HTTPS及其他依賴SSL/TLS服務的漏洞。這些協定主要用加密技術來確保服務所需要的個人資料（如登錄憑證/信用卡號碼），像是網路購物、銀行網站還有即時通。

經由利用DROWN，攻擊者能夠破解這些協定，截獲並竊取被保護的個人資料。也可以用它來攻陷合法網站，好變更功能或插入惡意程式碼。

誰會受到影響？

很顯然地，任何允許TLS和SSLv2連線的伺服器或客戶端都會。網站 drownattack.com提供線上檢查服務來檢視某個網域或IP是否有DROWN漏洞。

DROWN網站聲稱在漏洞披露（3月1日）時，在所有HTTPS伺服器/網站中有33%具有此弱點。它接著說，以此來說，瀏覽器們所信任的網站中有22%具備此漏洞，包含了前一百萬名網域的25%。

繼續閱讀