漏洞攻擊 - 資安趨勢部落格

資安警示：Microsoft Exchange 零時差 (0-Day) 漏洞攻擊偵測、防護、回應

2021 年 03 月 09 日2021 年 03 月 12 日趨勢科技 TrendMicro

摘要

2021 年 3 月 2 日，Microsoft 發出了一份安全公告與緊急修補更新來解決多個目前正遭受猛烈攻擊的 Microsoft Exchange Server 企業內版本零時差漏洞。

受影響的 Microsoft Exchange Server 版本包括：2010 (EOL)、2013、2016 以及 2019。

關於這項攻擊

公告中所指出的四個重大漏洞包括了一個可讓駭客入侵系統的網路端伺服器端請求偽造 (SSRF) 漏洞 (CVE-2021-26855)，以及三個可在通過認證之後發動攻擊的本地端漏洞：CVE-2021-26857、CVE-2021-26858 及 CVE-2021-27065。

研究人員認為，駭客是藉由一連串的漏洞攻擊手法來攻擊含有這些漏洞的 Exchange Server，進而駭入企業網路、竊取機敏資訊 (如：所有的電子郵件信箱與通訊錄)，並從事其他惡意活動，包括：蒐集使用者登入憑證、篡改 Active Directory、在企業內四處遊走等等。

除了閱讀 Microsoft 的安全公告以及下列文章之外，強烈建議所有可能受到影響的客戶也應參考美國「網路資安與基礎架構安全局 (Cybersecurity & Infrastructure Security Agency，簡稱 CISA) 所發布的 Alert AA21-0621A 警示來獲得進一步的指示和資訊。

繼續閱讀

低功耗、高風險：評估遠距廣域網路 (LoRaWAN) 裝置可能面臨的攻擊

2021 年 02 月 25 日2021 年 02 月 18 日趨勢科技 TrendMicro

遠距廣域網路 (Long Range Wide Area Network，簡稱 LoRaWAN) 裝置成為駭客攻擊對象已有好一段時間。本文深入探討 LoRaWAN 裝置漏洞如何遭到惡意攻擊，並檢視一下 LoRaWAN 目前的資安現況。本文是一系列三篇文章的第一篇。

不論智慧城市、工業廠房或連網農業園區都因物聯網（IoT ,Internet of Thing ）裝置的部署而實現了大規模的營運與遼闊的服務範圍，同時也帶來順暢而高效率的運作。許多企業機構正在尋求各種既經濟又能擴大 IoT 部署與穩定性的技術。而 LoRa (遠距) 通訊協定就是其中之一，它能讓企業將低功耗的 IoT 裝置透過無線方式連上網際網路。遠距廣域網路 (LoRaWAN) 是一種採用 LoRa 通訊協定的無線射頻技術。 LoRaWAN 能讓遼闊分散各區域的裝置經由無線電波連上網際網路。這項技術可用於氣象/追蹤監控感測器、資產設備管理、自動化控制、環境溫控等等。

LoRaWAN 基礎架構為想要部署 IoT 解決方案的企業帶來了比現有蜂巢式行動網路基礎架構更經濟的選擇。全球許多城市都已採用 LoRaWAN 技術來管理水電公共建設與服務，例如在台灣就相當普遍：台北市政府早在 2016 年就開始鼓勵民間機構導入 LoRa 平台。台南市也在兩年多前開始使用 LoRaWAN 裝置來監控垃圾車及河川水位。還有其他城市也將 LoRaWAN 應用在各種不同情境，包括：水庫管理、生鮮食品運送，甚至是追蹤路上的腳踏車。2019 年，中國領先的網際網路服務供應商騰訊 (Tencent) 與 The Things Network 合作拓展中國的 LoRaWAN 生態系。英國政府於 2020 年撥了一筆新的基金來確保 LoRaWAN 網路與基礎架構未來能在進一步擴大至全國。德國許多城市也正在安裝 LoRaWAN 數位水表。

繼續閱讀

2021 年最重要的雲端資安問題

2021 年 01 月 20 日2021 年 01 月 20 日趨勢科技 TrendMicro

雲端是一個潛力無窮的環境，它讓人們輕輕鬆鬆就能獲得十年前所無法享受的技術，但它也並非如表面上看來的那樣美好，就讓本文為您解說未來一年雲端資安最重要的問題。

雲端是一個潛力無窮的環境，它讓人們輕輕鬆鬆就能獲得十年前所無法享受的技術。

現在，您只需要一道指令，就等於可以啟動一整個資料中心，而且還能自動擴充規模來滿足數百萬客戶的需求。而一些高階的機器學習與分析，也只需一道 API 呼叫即可達成。

這使得開發團隊能夠加速創新，他們幾乎只需專注於創造商業價值。

然而，情況不可能總是那麼美好，在一般人的認知，隨著潛力的提升，資安挑戰也變得更大，開發團隊勢必得面對零時差漏洞、漏洞攻擊、影子 IT 等等問題。

事實並非如此。

至少這些都不是最重要的問題，雲端開發人員的首要資安挑戰其實非常單純。

那就是服務組態設定錯誤的問題。

繼續閱讀

Operation Earth Kitsune 水坑攻擊駭入網站監控使用者系統

2020 年 11 月 18 日2020 年 11 月 10 日趨勢科技 TrendMicro

追蹤攻擊 Chrome 和 IE漏洞的 SLUB 最新動態

一項趨勢科技命名為 Operation Earth Kitsune 的水坑式攻擊行動正透過已遭駭入的網站來監控使用者系統。這起攻擊運用了 SLUB 和兩個新的惡意程式變種，專門攻擊 Google Chrome 和 Internet Explorer 瀏覽器的漏洞。

Operation Earth Kitsune: Tracking SLUB’s Current Operations — 下載「 Operation Earth Kitsune：追蹤 SLUB 的最新動態」

過去趨勢科技就曾發表過有關 SLUB 惡意程式攻擊行動的報告。在最新一份研究報告中，我們披露了一起採用最新惡意程式變種的水坑式攻擊行動。此惡意程式的命名由來是因為它之前的版本會利用 Slack 和 GitHub 兩項平台，只不過這次沒有，反倒是用了 Mattermost 這套很容易安裝在企業的開放原始碼網路聊天服務。

Mattermost 在一項正式聲明當中譴責非法與不道德使用該平台的情況，因為這樣已明確違反其服務的使用條件。再者，使用者也可以檢舉非法使用該軟體的情況。

我們發現 Operation Earth Kitsune 總共使用了五台幕後操縱 (C&C) 伺服器、七個惡意程式樣本以及四個新的漏洞，其目標是入侵網站來散布惡意程式。我們會對這起行動展開調查，最初是因為我們注意到 Korean American National Coordinating Council (韓裔美國人國家協調委員會，簡稱 KANCC) 的網站會將訪客重導至一個名為「Hanseattle」的網站。該網站會攻擊 Google Chrome 的一個漏洞 (CVE-2019-5782 )，這是一個經由 chromium 追蹤系統所披露的漏洞。經過深入追查之後，我們發現這起攻擊不僅會攻擊前述的 Chrome 漏洞，還會讓受害電腦感染三種不同的惡意程式樣本。

繼續閱讀

臉部辨識裝置爆資安漏洞

2020 年 10 月 22 日2020 年 10 月 15 日趨勢科技 TrendMicro

為了進一步了解臉部辨識裝置的資安問題，趨勢科技分析了四款不同裝置，結果發現這些裝置都有可能遭駭客用於不法用途。

生物辨識保全設備，如指紋掃描機、虹膜掃描機、臉部辨識攝影機等等，已廣泛應用於各種場所的出入管制。但這些生物辨識驗證設備通常需仰賴大量的電腦運算，例如，傳統臉部辨識保安設備會透過外部服務來進行電腦運算，以辨識使用者。安裝在現場的攝影機只負責擷取影像，然後將影像傳送至雲端服務來進行運算。當部署在大規模環境時，使用者的身分驗證過程就可能發生延遲，此外，當有大量的影像資料必須傳送到驗證中心時，網路頻寬的消耗也會是個問題。

為了解決這些問題，保全業者開始在臉部辨識門禁裝置中導入邊緣運算能力。在此一架構下，裝置本身就是一個邊緣運算節點，具備完整的運算能力直接可以對使用者的影像進行驗證。這些具備邊緣運算能力的裝置只有在一些協調和維護工作時才會需要用到外部服務。

這樣的架構既可降低延遲，又不必占用網路頻寬，因為不需在網路上傳輸使用者的影像。然而，讓這些低功耗的「非智慧」裝置具備更強大的運算能力並承擔更多的認證責任，卻可能引起資安上的疑慮。

為了進一步深入了解臉部辨識裝置的資安問題，趨勢科技分析了四款不同裝置的安全性：ZKTeco FaceDepot-7B、Hikvision DS-K1T606MF、Telpo TPS980 與 Megvii Koala。