漏洞攻擊 - 資安趨勢部落格

FREAK 攻擊 TLS/SSL 漏洞，影響了熱門網域和瀏覽器

2015 年 03 月 06 日2015 年 03 月 17 日趨勢科技 TrendMicro

影響傳輸層安全協議/安全通訊協定（TLS/SSL）的漏洞新聞，這是用在無數網站和瀏覽器的身分認證協定，包括了大約10%的頂級網域及 Android和 Safari瀏覽器，其根本原因要回溯到90年代。

一份三月初發布的聲明中，大學和產業研究人員發表SSL/TLS漏洞（嚴重程度等級為中等，編號為CVE-2015-0204）如何遭受攻擊。證明了此漏洞真實存在並且可被攻擊，他們安排執行了FREAK攻擊（來自Factoring RSA Export Keys的縮寫）。

結果會造成中間人攻擊能夠強制安全的加密網站改用有缺陷的加密方式 — 1990年代被強制使用的出口等級加密，在今天已經不安全，但仍可以在許多網站見到 — 攻擊者可以輕易地解密以窺視安全通訊。繼續閱讀

一個月來第3個！Adobe Flash零時差攻擊,隱藏於惡意廣告中

2015 年 02 月 03 日2015 年 09 月 09 日趨勢科技 TrendMicro

Flash Player又有零時差漏洞! 這是 Adobe在今年1月下旬相繼修補兩個Flash Player零時差漏洞之後，第三個重大漏洞,除了會導致當機外，駭客也有機會掌控受駭系統，並已傳出攻擊行動。

趨勢科技研究團隊在一波惡意廣告攻擊事件中發現了新的Adobe Flash 零時差漏洞，此漏洞影響最新版本的Adobe Flash，漏洞編號為CVE-2015-0313,趨勢科技將此漏洞偵測為SWF_EXPLOIT.MJST。

當使用者瀏覽 dailymotion.com網站時，會被導至一系列網站，最後會開啟一個惡意網站,目前趨勢科技產品已可偵測相關惡意網站。這一連串的流量引導行為是來自於相關網站的廣告平台，而非網站的內容，因此受影響的並不只是dailymotion.com，也有其他網站遭到牽連。

趨勢科技在今年的1月14日便偵測到相關攻擊，並在1月27日看到惡意網站的流量高峰，已觀察到約3294起與該攻擊程式有關的案例，建議使用者暫時關閉 Flash Player。

註：此漏洞與2015年一月份所披露的漏洞不同。

細節：
面對此類漏洞，趨勢科技建議您儘速更新原廠的漏洞修補程式，但截至目前為止，Adobe官方尚未針對此漏洞發佈安全性更新，而我們也持續監控與此漏洞可能相關的其他攻擊。此漏洞影響及於最新版的Adobe Flash Player（版本號：16.0.0.296）及前一個版本，趨勢科技建議您在安全性更新發佈之前停用或阻擋這些版本的Adobe Flash Player。同時，我們也持續與Adobe確認安全性更新的釋出時間。

繼續閱讀

從 2014 年漏洞,學到什麼?

2015 年 01 月 26 日2015 年 01 月 27 日趨勢科技 TrendMicro

隨著新年慶祝活動安全地過去，是時候向前看，並開始規劃2015了。但在這樣做之前，讓我們花上幾分鐘記住2014年的漏洞，及我們可以從中學到什麼。

每年都會出現幾個零時差漏洞和大量來自軟體廠商的漏洞修復程式。今年有些不同：

每年所披露的安全性漏洞總數近1萬個。正因為如此，CVE資料庫的維護者宣佈將修改CVE語法，它現在允許每年可分配的漏洞識別碼達到1000萬個。
重大的「命名」漏洞像是Heartbleed心淌血漏洞、Shellshock、Poodle和WinShock被披露，並在安全產業內廣為人知。這些漏洞因為其嚴重的影響、廣泛的攻擊面及修補的困難而值得注意。
放大分散式阻斷服務（DDoS）攻擊增加。這些攻擊被用來產生大規模網路流量以阻斷服務。它利用網路通訊協定的漏洞來「引出」大量回應封包，將其「重新導向」到受害者，導致對其的阻斷服務攻擊。
一些好消息 — 2014年沒有JAVA零時差漏洞！然而，這並不代表JAVA漏洞不會遭受攻擊。它們還是會被漏洞攻擊包加以利用。所以仍在使用舊版本JAVA的使用者應該要加以升級。
對於Adobe產品來說就比較複雜。整體來說，Adobe產品的安全性漏洞數量從2013年開始下降。然而，Adobe Flash的安全性漏洞數量從56個上升到76個。Acrobat/Reader漏洞下跌了幾乎30%。

圖1、Flash Player和Acrobat/Reader的安全性漏洞數量

有許多OpenSSL的漏洞被發現，不只是Heartbleed。在 2014 年，有24個漏洞被發現 — 是之前三年的總和。

了解上述事實後，我們該從中學到什麼？

即使是舊應用程式仍然可以被發現漏洞，正如我們所看到的Heartbleed和Shellshock。
開放原始碼軟體據說在本質上較安全，因為它會被多人檢視（也因此有更多機會發現安全性漏洞）。然而從OpenSSL和Bash的例子可以得知並不一定如此。
CVSS分數並不能完全的表現出安全性漏洞的嚴重性。畢竟Heartbleed只拿到了CVSS 5.0的分數！根據你組織的情況和應用程式來評估漏洞的影響。用來加權（CVSS）分數！
盡快地升級版本。只要情況允許就盡快更新修補程式。
不斷檢視你的安全狀態和相應地規劃你在資訊安全工具和做法上的投資。員工教育是確保公司資訊安全的關鍵一環。同時，也確保你充分地利用了安全解決方案 — 例如進行正確的設定，根據需求來加以調整等。
實施最低權限存取政策。今日有許多漏洞攻擊都可以取得登入使用者的權限；最低權限存取政策將有助於減輕這些攻擊所造成的損害。

2014 年還有一些其他並非出乎預料的事件，但仍相當值得注意。

繼續閱讀

【重大漏洞】Flash 零時差漏洞解析

2015 年 01 月 23 日2015 年 01 月 23 日趨勢科技 TrendMicro

這起漏洞攻擊背後的元兇應該就是 Angler 漏洞攻擊套件。過去一天之內，趨勢科技見到涉及這起零時差漏洞攻擊的 Angler 漏洞攻擊套件伺服器活動大量攀升，如下圖所示：年 1 月 20 日起，我們就陸續經由 Smart Protection Network 威脅情報網收到一些內含 Angler 漏洞攻擊套件的惡意 SWF 檔案樣本。這些樣本皆來自美國境內使用者，我們認為其中一個樣本就是資安研究人員 Kafeine 所通報的 Flash 零時差漏洞攻擊所用的惡意程式，只不過感染來源和 Kafeine 所發現的不同。

圖 1：涉及這起零時差漏洞攻擊的 Angler 漏洞攻擊套件伺服器網頁造訪數量。

上圖清楚顯示 Angler 的活動在過去一天之內大幅增加，大致上與該漏洞首次被發現的時間吻合。其中大部分受害者都在美國，如下圖所示：

圖 2：感染 Angler 的使用者地理位置分布

感染來源

根據我們產品所回報的資料顯示，這起攻擊是利用惡意廣告 (malvertisement) 來侵襲一般使用者。儘管目前我們仍在針對漏洞本身進行完整剖析，受影響的很顯然是 Adobe Flash Player 的現行版本：繼續閱讀

【重大漏洞】Adobe Flash 最新零時差漏洞現身

2015 年 01 月 23 日2015 年 01 月 23 日趨勢科技 TrendMicro

今天早上，趨勢科技接獲一項最新消息，Adobe Flash 又出現了一個新的漏洞。此問題相當嚴重，因為影響層面幾乎遍及所有 Microsoft Windows 使用者。正因如此，我們特別在此提供一些您應該知道的事項，以及最重要的：您該如何因應。

ADOBE

當前問題

Adobe 在 Microsoft Windows 平台上的 Flash 版本被發現一個新的漏洞。駭客可經由該漏洞在您的 Windows 電腦上使用您的權限來執行惡意程式。被執行的程式將享有與您相同的權限，您可做什麼，惡意程式就可以做什麼。如此一來，駭客就能在您電腦上輕易植入更多惡意程式。

今日無時無刻都有漏洞被發現，但通常漏洞在被發現時，研究人員就會立刻開發出修補程式，讓駭客無機可乘。所以，您只要隨時保持系統更新，就能防範絕大多數漏洞。不過這次卻是緊急情況，是因為研究人員 (包括我們 TrendLabs 的研究人員) 發現，駭客已經早一步發現了這個漏洞，並且在攻擊當中利用此漏洞，而目前廠商卻還未釋出修補程式。這就是所謂的「零時差」漏洞，也就是說廠商完全沒有預先製作解藥的緩衝時間。這意味著，即使您的系統隨時保持更新，您仍然有機會遭到這項攻擊，直到 Adobe 釋出修補程式為止。繼續閱讀