Uber 爆漏洞,雙重認證機制出包

2017 年 11 月,全球叫車共乘大廠 Uber 陷入了一場資料外洩風暴, 該公司被揭發有 5,700 萬名司機和乘客的資訊外流到網路上。一月底又出現了另一個資安問題,研究人員 Karan Saini 發現 Uber 有一個 系統漏洞 可讓駭客跳過 Uber 應用程式的雙重認證 (2FA) 機制。

Uber 爆漏洞,雙重認證機制出包

該公司早在 2015 年就開始實驗雙重認證,希望能取代電子郵件和密碼的簡單認證方式。然而,這項功能卻因為 Uber 應用程式的登入方式而使得駭客有可能跳過這項安全機制。根據 Saini 提供的詳細資料指出,使用者只要有電子郵件和密碼就能登入其帳號。接著,使用者可以在同一個瀏覽器階段切換到 Uber 的「help」(協助) 子網域,然後再用相同的登入憑證就能登入。

Uber 公司已在本文截稿前修正了該問題,並且說明這有可能是其內部資安團隊為了測試評估各種雙重認證技術的效果而導致的問題。同時,該公司也表示並非所有裝置都預設使用雙重認證,只有在適當的情況下才會使用,也就是當發現有可疑活動的時候。

雙重認證的重要性

隨著資料外洩與資訊竊盜案件日益頻傳,不論企業機構或一般消費者都應開始考慮淘汰傳統的單一認證機制,改用雙重認證。對企業機構來說,這意味著必須在其系統內加入雙重認證,對一般消費者來說,這意味著要確實啟用這項機制 (如果不是預設使用的話)。

此案例告訴我們,即使是雙重認證系統也並非完美。更何況,網路犯罪集團還可透過網路釣魚或惡意程式的方式來克服這項機制。不過,多一分防護總是比少一分好,所以雙重認證畢竟還是比單一認證來的安全。而且雙重認證不一定會比較複雜,因為大多數的雙重認證都只是需要多一封手機簡訊或多一個應用程式 (後者較為安全) 來進行雙重認證而已。

所有企業機構,尤其是需要經手或儲存大量客戶資料的企業,都應優先在系統當中加入額外的安全機制。雙重認證是一道容易架設的安全機制,而且不論對企業或使用者來說都不需太複雜的步驟。

請參考這篇「如何設定雙重認證 (2FA)」來保護您的網路帳號。

 

原文出處:Bug Allows Attackers to Bypass Uber’s Two-Factor Authentication System

駭客利用 Windows Installer (msiexec.exe) 程式在系統植入 LokiBot 資訊竊取程式

時間拉回 2017 年 9 月,當時 Microsoft 修正了 CVE-2017-11882 這個可讓駭客從遠端執行程式的 Microsoft Office 漏洞。但這仍無法阻止 Cobalt 網路犯罪集團繼續利用此漏洞來散布各種惡意程式,例如FAREITUrsnif 以及某個破解版 Loki 資訊竊取程式 (這是一個以竊取密碼和加密虛擬貨幣錢包為賣點的鍵盤側錄程式)。

最近,趨勢科技發現駭客又再次利用 CVE-2017-11882 漏洞發動攻擊,這次採用的是一種罕見的方法,透過 Microsoft Windows 作業系統中的 Windows Installer 服務。此手法有別於之前使用 Windows 的 mshta.exe 程式來執行 Powershell 腳本以下載並執行惡意檔案的作法,而是透過 Windows Installer 服務當中的「msiexec.exe」程式來執行惡意檔案。

完整感染過程

Figure 1: RATANKBA Infection Flow

圖 1:完整感染過程。

我們所分析到的樣本似乎某一波垃圾郵件所使用的附件檔案,這些垃圾郵件會要求收件人確認寄件人所收到的一筆款項。電子郵件內容含有韓文撰寫的文字,大意是「您好,請檢查一下您的電腦是否中毒或感染惡意程式」,似乎在提醒收件人小心別中毒。

此外,電子郵件也附了一個名為「Payment copy.Doc」的文件檔案,該檔案看似一份付款確認單,但其實是個木馬程式 (趨勢科技命名為:TROJ_CVE201711882.SM),它會攻擊 CVE-2017-11882 漏洞。

Figure 1: RATANKBA Infection Flow

圖 2:隨附惡意文件會攻擊 CVE-2017-11882 漏洞的垃圾郵件。 Continue reading “駭客利用 Windows Installer (msiexec.exe) 程式在系統植入 LokiBot 資訊竊取程式”

「ChaiOS」軟體問題造成 Apple iMessage 應用程式無限死當

最近,軟體開發人員 Abraham Masri 發現了一個影響 Apple 裝置的漏洞,讓人想起以前會讓 iMessage 應用程式當掉的「Effective Power」漏洞,這個名為「ChaiOS」的死亡簡訊漏洞會讓收到簡訊的裝置陷入無限當機循環。

Masri  為了展示這項漏洞的概念驗證,他在 GitHub 上製作了一個網站,並將該網站的結構資料 (Metadata) 塞滿數千個多餘的亂碼。他表示,當應用程式在讀取這些多餘的亂碼時就會當掉,甚至導致整個作業系統當機。MacRumors 測試了前述網站之後發現確實會讓 Apple 的訊息程式當掉。

ChaiOS 甚至會影響 MacOS 作業系統。Apple 已在  iOS 11.2.5 第 6 測試版 (Beta 6) 當中解決此問題。相信再過不久,正式的 iOS 11.2.5 和 MacOS High Sierra 10.13.3、watchOS 4.2.2 以及 tvOS 11.2.5 更新就會推出。

Continue reading “「ChaiOS」軟體問題造成 Apple iMessage 應用程式無限死當”

Google Apps Script 漏洞,恐讓駭客經由軟體服務 (SaaS) 平台散布惡意程式

根據資安研究人員指出,Google Apps Script 有某個資安漏洞可能讓駭客和網路犯罪集團經由 Google Drive 散布惡意程式。由於這項漏洞是發生在軟體服務 (Software-as-a-Service,簡稱 SaaS) 平台端,因此攻擊行動不易偵測,且攻擊時不需假使用者之手,因此使用者可能不會察覺。

Google Apps Script 漏洞,恐讓駭客經由軟體服務 (SaaS) 平台散布惡意程式
Google Apps Script漏洞恐讓駭客經由 Google Drive散布惡意程式

Google Apps Script 是一個 JavaScript 開發平台,可讓程式設計人員開發網站應用程式以及 Google 軟體服務平台 (如 Google Docs、Sheets、Slides、Forms、Calendar 和 Gmail) 的延伸功能。

該漏洞跟 Google Apps 的分享與自動下載功能有關

根據研究人員指出,這項漏洞跟 Google Apps 的分享與自動下載功能有關。其攻擊手法與傳統利用 Google Drive 來存放和散布惡意程式的方式迥異。

在此手法當中,駭客先發送一份 Google Doc 文件給目標使用者來當成社交工程誘餌。當該文件被開啟時,會要求使用者執行一個 Google Apps Script 腳本,接著此腳本會從 Google Drive 下載惡意程式。此一方式跟一般 Office 文件內嵌的巨集惡意程式有異曲同工之妙。

[TrendLabs 資訊安全情報部落格:qkG 檔案加密病毒:可自我複製的文件加密勒索病毒]

這項研究發現,突顯出越來越多企業採用的 SasS平台所潛藏的資安風險。事實上,軟體服務 (SaaS) 與基礎架構服務 (Infrastructure-as-a-Service,簡稱IaaS) 是 2017 年公有雲服務成長的兩大動力,總營收達到 586 億美元。只要建置得當,SaaS 可提供企業彈性、客製化、可擴充的解決方案,實現企業流程及營運最佳化。

SaaS 開始普及,引來網路犯罪集團的覬覦 Continue reading “Google Apps Script 漏洞,恐讓駭客經由軟體服務 (SaaS) 平台散布惡意程式”

關於 Intel 處理器的「Meltdown」與「Spectre」兩大 CPU漏洞您該知道些什麼?

Microsoft、Linux、Google 和 Apple 已開始釋出修補更新來解決資安研究人員所發現並命名為「Meltdown」和「Spectre」的處理器設計漏洞。以下是有關這些漏洞您該知道的事情:

關於Intel 處理器漏洞,微軟新修補程式部署流程 8 個常見問題

Meltdown」和「Spectre」是什麼?

Meltdown 是一個編號為 CVE-2017-5754 的漏洞,可讓駭客以系統權限存取應用程式與作業系統所用到的某些記憶體。Meltdown 所影響的是 Intel 處理器。

Spectre 是編號 CVE-2017-5753 與 CVE-2017-5715 兩個漏洞的統稱,可讓駭客竊取系統核心/快取檔案內的資料,或是執行中程式儲存在記憶體內的資料,例如:登入憑證 (密碼、金鑰等等)。根據報告指出,Spectre 漏洞所影響的處理器包括:Intel、Advanced Micro Devices (AMD) 及 Advanced RISC Machine (ARM)。

今日的處理器設計都具備「預測執行」功能,也就是說,它會「預測」接下來將要執行的工作,然後預先將這些工作排入佇列,藉此提高資料處理效率,進而提升應用程式/軟體的執行速度。這是業界用來讓處理器效能最佳化的一項技巧,但現在這項技巧卻可能遭到駭客利用,經由這項漏洞來存取一些正常情況下受到隔離保護的資料。

衝擊層面有多大?

據稱自從 1995 年起所生產的 Intel 處理器皆受到 Meltdown 漏洞所影響,至於 Spectre 漏洞則是影響採用 Intel、AMD 和 ARM 處理器的裝置。Meltdown 漏洞跟提升權限的機制有關,Spectre 則是關於應用程式在記憶體內的敏感資料可能遭到存取。 Continue reading “關於 Intel 處理器的「Meltdown」與「Spectre」兩大 CPU漏洞您該知道些什麼?”