漏洞 - 資安趨勢部落格

修補CVE-2020-0601 漏洞了嗎?別讓 Vulnera-Bullies 得逞，快用免費工具檢測!

2020 年 01 月 22 日2020 年 01 月 22 日趨勢科技 TrendMicro

想必您已經聽到有關 Microsoft® 最新 CVE-2020-0601 漏洞的消息，這項漏洞最早是由美國國家安全局 (NSA) 所揭露 (也讓它成為第一個由 NSA 公開揭露的漏洞)。此漏洞出現在一個含有重多功能的加密元件當中，其中一項重要功能就是簽署軟體，也就是認證軟體確實未曾遭到篡改。所以，駭客可利用這項漏洞來簽署其惡意執行檔，讓它變成合法的執行檔，進而用於所謂的中間人攻擊。

好消息是，Microsoft 已經釋出修補更新來防範與此漏洞有關的任何攻擊，前提是：您必須確實套用修補更新。

繼續閱讀

什麼是零時差漏洞 (Zero-Day Vulnerability)? 有哪些漏洞攻擊手法?

2019 年 12 月 26 日2021 年 07 月 20 日趨勢科技 TrendMicro

所謂零時差攻擊(zero-day attack)就是利用尚未修補的漏洞進行攻擊。通常，未修補的漏洞在廠商釋出修補更新之前，就是一場駭客與廠商之間的競賽，前者試圖開發漏洞攻擊手法，後者則試圖修補漏洞。

所謂零時差攻擊(zero-day attack)就是利用尚未修補的漏洞進行攻擊，因此企業若正在使用含有漏洞的系統，將深受影響。通常，未修補的漏洞在廠商釋出修補更新之前，就是一場駭客與廠商之間的競賽，前者試圖開發漏洞攻擊手法，後者則試圖修補漏洞。以下將詳細說明企業對於零時差漏洞所該知道的事，包括何謂零時差漏洞以及零時差漏洞如何運作，以協助企業更有效降低自身的風險，防範專門利用這類漏洞的威脅。

何謂零時差漏洞(zero-day vulnerability)？

所謂的零時差漏洞或零日漏洞（英語：0-day vulnerability、zero-day vulnerability）是指軟體、韌體或硬體設計當中已被公開揭露但廠商卻仍未修補的缺失、弱點或錯誤。或許，研究人員已經揭露這項漏洞，廠商及開發人員也已經知道這項缺失，但卻尚未正式釋出更新來修補這項漏洞。

這樣的缺失就是所謂的「零時差」漏洞，因為廠商及開發人員 (以及受此漏洞影響的企業和使用者) 才剛知道這個漏洞的存在。隨後，當廠商及開發人員針對這個漏洞提供了修補更新，那這漏洞就會變成「已知」漏洞 (有時亦稱為 N-day 漏洞)。

虛擬修補如何協助防範已知和未知的漏洞

當應用程式或企業 IT 基礎架構含有未修補漏洞會如何？這份圖文解說解釋了虛擬修補如何協助企業解決漏洞與修補管理的困境。

繼續閱讀

DDoS攻擊和IoT漏洞攻擊：Momentum殭屍網路的新動態

2019 年 12 月 25 日2019 年 12 月 23 日趨勢科技 TrendMicro

趨勢科技最近發現了會顯著影響Linux裝置的惡意軟體活動，Linux平台今年已經與許多問題在奮戰中。進一步分析取得的惡意軟體樣本顯示這些活動與名為Momentum的殭屍網路（從通訊頻道內所發現圖片命名）有關。我們發現了殭屍網路用來入侵裝置並執行分散式阻斷服務（DDoS）攻擊的工具及技術細節。

Momentum會針對採用各種CPU架構的Linux平台，包括ARM、MIPS、Intel、Motorola 68020等。它的主要目的是要開啟後門來接受命令對給定目標進行各種阻斷服務（DoS）攻擊。Momentum殭屍網路會散播的後門程式包括了Mirai、Kaiten和Bashlite等病毒變種。我們所分析的樣本正在派送Mirai後門程式。此外，Momentum是透過攻擊多種路由器和網頁服務漏洞來進行散播，進而在目標裝置下載並執行Shell腳本。

Momentum如何運作？

Momentum在感染裝置後會經由修改 rc檔案來實現持續性。接著會加入命令和控制（C&C）伺服器，連到名為#HellRoom的IRC頻道來註冊自己並接收命令。IRC協定是它與命令和控制（C&C）伺服器通訊的主要方法。接著殭屍網路操作者就可以發送訊息到IRC頻道來控制受感染系統。

繼續閱讀

從SIM卡劫持到不良決策:非公共網路內的5G威脅及安全建議

2019 年 12 月 10 日2019 年 11 月 22 日趨勢科技 TrendMicro

趨勢科技最新的研究探討了5G網路所面臨的威脅 – 從SIM卡劫持、身份詐騙、假新聞、下毒（poisoning）機器學習(Machine learning,ML)規則到操縱商業決策，以及如何透過基於身份的作法來防護及解決。

From eSIM Jacking to Fake News: Threats to 5G and Security Recommendations — 下載透過網路電信身份聯合保護5G網路

許多產業都想開始去利用5G所帶來的速度、自動化及全球影響力，而對其中大多數來說這都是新的電信技術。通常他們都還沒有做好準備、技術不夠且設備不足，無法應對許多強大新技術突然一起出現。這使得老練的駭客團體以及全球電信業界內復雜漏洞所造成的影響變得更加嚴重。除了它本身已有的風險外，還可以被利用成為相當強大的攻擊引擎。

很難一次解釋清楚這複雜性。可以利用較小規模的非公共網路（NPN）或“園區本地端5G”來說明和闡述。報告中會以一個NPN 5G工廠作為範例。

5G非公共網路（NPN）的風險和威脅

我們最新的研究探討了5G網路所面臨的威脅 – 從SIM卡劫持、物聯網身份詐騙、錯誤的決策引擎資料和日誌，以及下毒（poisoning）機器學習規則來操縱商業決策。我們還研究了如何透過基於身份的安全作法來減輕及應對這些風險和威脅。

下毒（poisoning）決策引擎及人工智慧-機器學習（ML）部署

5G和5G NPN依靠於自動化的巢狀層次（雲端內的雲端）。各種決策引擎的這類相依關係是其速度及擴展性的關鍵要素。這種分層自動化在很大程度上依賴於調整模型，從而提高大規模部署的效率和成本節省。

主動錯誤遙測資料及被動盲點的注入就能會損害決策引擎，從而改變決策所根據的“地面實況（ground truth）”。這是真實的5G等級企業GIGO（垃圾進，垃圾出）。這在攻擊者穿越IOT感測器雲時最為有用。

繼續閱讀

白帽駭客將有機會在 Pwn2Own 2020 大賽展現工業控制系統安全機制破解技巧

2019 年 11 月 15 日2019 年 11 月 20 日趨勢科技 TrendMicro

white-hat-hackers-break-industrial-control-system-security-in-pwn2own-2020

從企業應用程式與網頁瀏覽器，到行動裝置與物聯網（IoT ,Internet of Thing ）裝置，Pwn2Own 駭客大賽這回又新增了一個重點項目：工業控制系統 (ICS) 與相關通訊協定。趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫，也就是 Pwn2Own 駭客大賽的主辦單位，長期以來一直鼓勵研究人員發掘未知的軟體漏洞。

這項預定於 2020 年 1 月在美國邁阿密舉行的駭客大賽，將廣邀白帽駭客針對 ICS 相關軟體與通訊協定進行一場良性的資安漏洞挖掘競爭。此次加入了 ICS 競賽項目可說是本屆的一大盛事，因為今日的一些關鍵基礎產業，如能源、製造、交通運輸，經常仰賴 ICS 系統來管理其工業流程並實施自動化。

白帽駭客將針對 ICS 五大領域研究如何破解其資安機制：

控制伺服器 – 涵蓋所有為可程式化邏輯控制器 (PLC) 與其他廠房設備提供連線、控制、監控功能的伺服器解決方案。
DNP3 閘道 – 涵蓋所有 ICS 元件之間所使用的通訊協定。
工業工作站軟體 (EWS) – 涵蓋主要控制設備，如 PLC 和角色導向機制。
人機介面 (HMI)/操作電腦 – 涵蓋操作人員用來控制工業設備的儀表板以及可能受到網頁漏洞影響的網站伺服器元件。
OPC United Architecture (OPC UA) 伺服器 – 涵蓋幾乎所有 ICS 產品都會用到的 ICS 通用轉譯協定，用於在不同廠商系統之間傳輸資料。

繼續閱讀