漏洞攻擊 - 資安趨勢部落格

Adobe Flash 就像煙癮一樣,難以戒掉?

2015 年 07 月 17 日2015 年 07 月 17 日趨勢科技 TrendMicro

上星期對 Adobe Flash 來說日子真是難過。 Hacking Team公司外洩的 440GB 電子郵件資料已成為駭客挖掘資安漏洞的寶藏。過去七天，光是 Flash 就被發現了三個不同的漏洞：

目前，只有第一個漏洞已經修正。Adobe 承諾會在本週之內修正另外兩個漏洞，但這仍難保未來不會有其他該平台的漏洞出現。因此我們不禁要問：我們是否要趁現在乾脆放棄使用 Adobe Flash？

Flash 一直是資訊安全的夢魘，多年來，趨勢科技在這部落格上已經報導過各種Flash 的漏洞。每一次，除了小心避開一些不良網站、停用 Flash 外掛程式、然後等待 Adobe 釋出更新之外，消費者能做的其實很有限。

因 Hacking Team 外洩事件而曝光的三個零時差漏洞已經突顯出 Flash 多麼容易存在著漏洞。假使像 Hacking Team 這麼小的公司 (員工總共 40 人) 都能挖到這麼重大的漏洞，那想像一下其他一些由政府在背後資助的團體將有多大能耐。先前我們只能猜測情況大概多糟，但現在我們已經清楚看到它有多危險。

在理想的世界裡，就 Flash 現在的狀況來看，真的必須淘汰。不是改用新的網站技術 (如 HTML5)，就是叫 Adobe 想辦法讓 Flash 變得安全。不過，這兩件事大概都不會發生。

Flash 就像煙癮一樣：即使我們知道它不好，但還是難以戒掉。儘管有風險，人們還是會繼續使用，因為光是安全的理由還不足以讓人放棄它。就網站的觀點，他們還是會繼續使用 Adobe Flash，因為成本較低，使用者體驗也較優。對使用者來說，因為他們經常上的網站仍在使用 Flash，所以還是少不了它。不論開發人員和使用者都得依賴 Flash，因此可以確定 Adobe Flash 還會繼續存活一段時間。

那麼，我們可以做些什麼？ 繼續閱讀

Hacking Team 使用 UEFI BIOS Rootkit 遠端遙控代理程式,重灌或換硬碟也沒用！

2015 年 07 月 17 日2015 年 07 月 17 日趨勢科技 TrendMicro

Hacking Team 資料外洩事件曝光的資料經過解析之後，目前又有重大發現：Hacking Team 會使用 UEFI BIOS Rootkit 來讓其遠端遙控系統 (Remote Control System，簡稱 RCS) 代理程式常駐在受害者的系統。也就是說，就算使用者將硬碟格式化並重灌作業系統，甚至再買一顆新的硬碟，其代理程式還是會在進到 Microsoft Windows之後自行重新安裝,允許客戶自遠端監控或掌控目標裝置。

他們甚至針對 Insyde BIOS (一個知名的 BIOS 廠商) 撰寫了一套專用程序。不過，同樣的程式碼在 AMI BIOS 上或許也能運作。

在 Hacking Team 資料外洩的一份簡報投影片當中宣稱，要成功感染目標系統必須實際接觸到目標系統，但我們還是不排除有遠端安裝的可能性。一種可能的攻擊情況是：駭客想辦法趁機操作目標電腦，將電腦重新開機以進入 UEFI BIOS 介面，然後將 BIOS 複製出來並且在 BIOS 中裝入 Rootkit，接著將 BIOS 更新回去，最後再將系統重新開機。

趨勢科技發現 Hacking Team 還針對其 BIOS Rootkit 的使用者開發了一套輔助工具，甚至當使用者遇到不相容的 BIOS 時還提供技術支援。

圖 1：Hacking Team 還提供技術支援。

Rootkit 的安裝過程如下：首先將外部的三個模組複製到已修改的 UEFI BIOS 中的一個檔案磁卷 (file volume，簡稱 FV)，例如在 UEFI 介面下從 USB 隨身碟複製。第一個模組是 Ntfs.mod，可讓 UEFI BIOS 讀/寫 NTFS 檔案。第二個模組是 Rkloader.mod，用來攔截 UEFI 的事件並且在系統開機時呼叫檔案植入模組 (dropper) 的函式。第三個模組是 dropper.mod，含有實際的代理程式，檔名為 scout.exe 或 soldier.exe。繼續閱讀

[新弱點通知] Adobe Flash與Oracle Java零時差漏洞

2015 年 07 月 17 日2015 年 07 月 17 日趨勢科技 TrendMicro

Hacking Team資料外洩與新的Flash漏洞更新

上週趨勢科技曾經提醒用戶一個新的零時差Adobe Flash漏洞（CVE-2015-5119），起因於 Hacking Team 資料外洩事件。雖然Adobe很快在最新釋出的版本修補了這個漏洞（18.0.0.203），但從Hacking Team握有的資料中又發現了兩個新的Flash漏洞。

關於新發現的Flash漏洞資訊，您可參考：

CVE-2015-5122：
Hacking Team 資料外洩事件又一個Adobe Flash Player 漏洞零時差漏洞曝光
CVE-2015-5123：
又來了!! Hacking Team 資料外洩添新的 Adobe Flash 零時差漏洞 (CVE-2015-5123)

這兩個新的Adobe Flash漏洞（CVE-2015-5122、CVE-2015-5123）已經證實但目前尚未修補。Adobe承諾會在本周修補這兩個漏洞。

此外我們也觀察到已經有部分台灣網站遭受駭客入侵，利用CVE-2015-5122漏洞植入後門程式，趨勢科技用戶只要啟用網頁信譽評等服務，即可攔截這些受駭網站。

Pawn Storm攻擊與Java零時差漏洞

負責Pawn Storm目標式攻擊活動的趨勢科技威脅研究專家，在此攻擊活動中發現了一個新的Oracle Java零時差漏洞遭受到攻擊。根據趨勢科技主動式雲端截毒服務 Smart Protection Network分析，這些攻擊是透過魚叉式網路釣魚網路釣魚（Phishing）信件進行，在信件中含有惡意URL指向惡意伺服器，進而攻擊未修補的Java漏洞。

這些行動同時會攻擊一個三年前已揭露的微軟Windows Common Controls漏洞CVE-2012-015（MS12-027）。

趨勢科技已將此一新的零時差漏洞回報給Oracle並與其密切合作，而Oracle也已經緊急在2015年7月14日釋出修正程式修補此Java漏洞。詳細資料請參考：
進一步資訊請參考：
Java零時差漏洞再現，鎖定專門攻擊軍事單位,政府機關和國防機構

Oracle 2015年七月緊急更新建議

防護措施
趨勢科技已有解決方案防護用戶免遭此漏洞攻擊：

趨勢科技Deep Security及Vulnerability Protection（原OfficeScan中的IDF模組）：請將防護規則保持更新，即可提供多一層的防護。尤其趨勢科技更釋出最新主動式防護規則：
- Deep Packet Inspection (DPI) rule1006824 – Adobe Flash ActionScript3 ByteArray Use After Free Vulnerability (addresses the already resolved CVE-2015-5119)

Deep Packet Inspection (DPI) rule1006858 – Adobe Flash ActionScript3 opaqueBackground Use After Free Vulnerability (CVE-2015-5122)

Deep Packet Inspection (DPI) rule1006859 – Adobe Flash Player BitmapData Remote Code Execution Vulnerability (CVE-2015-5123)

Deep Packet Inspection (DPI) rule1006857 – Oracle Java SE Remote Code Execution Vulnerability

趨勢科技強烈建議您儘速安裝原廠所釋出的安全性更新或修補程式。如果您有其他問題或是需要進一步協助，請您聯絡趨勢科技技術支援部。

Java零時差漏洞再現，鎖定專門攻擊軍事單位,政府機關和國防機構

2015 年 07 月 16 日2015 年 07 月 17 日趨勢科技 TrendMicro

Pawn Storm：兩年來第一個 Java 零時差攻擊

趨勢科技的研究團隊在 Pawn Storm(典當風暴) 這個專門鎖定重要敏感機構的駭客集團攻擊行動當中發現了一項新的攻擊手法。我們經由趨勢科技主動式雲端截毒服務 Smart Protection Network情報網發現了一些專門針對北約 (NATO) 會員國和某個美國國防機構的攻擊電子郵件。

Pawn Storm 行動這項最新攻擊之所以令人矚目的原因是它運用了一個全新、尚未修補的 Java 漏洞，這是自從 2013 年以來第一個被發現的 Java 零時差漏洞。此外，該攻擊還運用了一個已有三年歷史的 Microsoft Windows Common Controls (通用控制項) 漏洞 (CVE-2012-015)，此漏洞已經在 MS12-027 安全公告當中解決。

趨勢科技的研究人員已將漏洞通報給 Oracle， Oracle已經在2015 年 7 月重大修補更新當中修正了這項漏洞。我們建議受影響的使用者盡快更新自己的 Java 軟體。此外，該漏洞也已列入 CVE 漏洞資料庫當中，編號：CVE-2015-2590。

零時差漏洞一直是進階持續性滲透攻擊 (APT) 的最愛工具，因為它們非常有效。這一切都是因為廠商還未釋出修補程式的緣故。在我們持續追蹤及監控 Pawn Storm 這個 APT 攻擊行動的過程中，我們發現了一些可疑的網址專門攻擊一項新發現的 Java 零時差漏洞。這是近兩年來第一次有新的 Java 零時差漏洞被發現。

值得注意的是，這個零時差漏洞與最近發生的 Hacking Team 資料外洩事件並無關聯。Pawn Storm 攻擊行動背後的團體目前正利用這項 Java 零時差漏洞來從事活動。

前述暗藏這個 Java 新零時差漏洞的網址與 Pawn Storm(典當風暴) 在 2015 年 4 月攻擊北約 (NATO) 會員國和美國白宮所使用的網址類似，不過當時的網址並未包含這次發現的漏洞。除此之外，Pawn Storm 還會攻擊其他政府機構，並利用一些政治事件和研討會為社交工程（social engineering ）誘餌，如亞太經合會 (APEC) 以及 2014 年中東國土安全高峰會 (Middle East Homeland Security Summit 2014)。除了軍事單位和政府機關之外，媒體與國防工業也是這個 APT 攻擊行動鎖定的目標。繼續閱讀

< WS 2003 EOS >7月14日 Windows Server 2003終止支援!

2015 年 07 月 14 日2015 年 07 月 27 日趨勢科技 TrendMicro

Windows XP在去年停止支援，現在則是另一套作業系統停止支援的時候了 –2015年7月14日輪到了Windows Server 2003，這被廣泛部署的微軟作業系統即將終止支援，自其2003年4月推出至今已經過了相當長的時間。估計仍有260萬到1100萬的Windows Server 2003使用者仍在活躍使用中。

但這次停止支援會帶來另一全新的挑戰。跟Windows XP不同，Windows Server 2003是伺服器作業系統。不像Windows XP被用在家用電腦和企業工作站/筆記型電腦上，Windows 2003為企業伺服器帶來更深層次的攻擊面。Windows Server 2003（仍然）被廣泛地用在核心功能上，像是目錄伺服器、檔案伺服器、DNS伺服器和電子郵件伺服器。組織依靠它來執行關鍵應用程式和支援內部服務，像是Active Directory、檔案共享和建置內部網站。

當Windows Server 2003支援終止，不會有機制將它保持在最新狀態，這對防護安全問題來說很關鍵。一般來說，作業系統需要透過定期支援來解決安全問題，包括：

取得安全更新來防護漏洞
取得絕大部分產品問題的正規支援
取得非安全性更新，即「一般性」臭蟲修復

了解風險

作業系統終止支援（特別對Windows Server 2003來說），代表你IT部門開始有許多事情好做。組織需要準備應對缺少的安全更新、合規性問題、對抗惡意軟體及其他非安全性漏洞。你不再會收到安全問題的修補程式或弱點通知。當出現會影響你伺服器的漏洞時，你將不再知道。

在推出之際，Windows 2003要比Windows 2000更加安全。而隨著時間過去，很明顯地它也有著自己的一串漏洞。CVE清楚地指出使用Windows Server 2003的企業要面對接近403個漏洞，其中有27%是遠端程式碼執行漏洞。沒有通知來幫忙監控和衡量這些漏洞所帶來的風險，可能會讓你的伺服器安全開了一個大洞。繼續閱讀