分類: 漏洞

CIGslip 駭客技巧可讓駭客避開 Microsoft Code Integrity Guard 程式碼完整性保護機制

趨勢科技 TrendMicro

 

資安研究人員發現了一種可避開 Microsoft Code Integrity Guard (CIG) 程式碼完整性保護機制的攻擊技巧,將惡意程式庫注入受 CIG 保護的應用程式和執行程序,例如 Microsoft Edge 瀏覽器。

CIG 如何運作?

CIG 是從 Windows 10 和 Windows Server 2016 開始導入的一項程式碼保護機制,屬於 Device Guard 裝置保護機制的一環,Microsoft 的 Edge 瀏覽器即支援 CIG。第三方軟體廠商也可在自己的應用程式當中加入 CIG 機制。支援 CIG 的應用程式只能載入 Microsoft 和 Windows Store 簽署的動態連結程式庫 (DLL) 和二進位檔案,如此可防止應用程式被注入不肖的程式碼。此外,CIG 也可攔截銀行木馬程式在瀏覽器 (如 Edge) 內顯示網路釣魚內容的程式碼。

[資訊安全指南:如何防範網頁注入]

CIGslip 如何避開 CIG 機制?

這個稱為「CIGslip」的攻擊技巧能避開 CIG 的保護機制,不需在系統記憶體內注入未經簽署的程式碼。惡意程式可利用 CIGslip 的技巧模仿正常 DLL 載入執行程序的方式來避開 CIG 的保護。接著,將無 CIG 保護的執行程序內部的惡意程式碼載入受 CIG 保護的執行程序當中,這就是駭客將其程式碼注入應用程式的方式。 繼續閱讀

電子郵件軟體Exim爆漏洞,超過40萬台伺服器面臨嚴重漏洞風險

趨勢科技 TrendMicro

台灣研究人員最近在被廣泛使用(但低調)的電子郵件軟體Exim中發現一個嚴重的漏洞。如果遭受攻擊,這個漏洞可以讓攻擊者遠端執行惡意程式碼。安全報告指出至少有40萬台伺服器面臨風險。

這是一個影響廣泛的問題,尤其是因為網路上的郵件伺服器有56%運行Exim(根據2017年3月的調查)。Exim是個郵件傳輸代理程式(MTA),將郵件從寄件者傳送到收件者的軟體,基本上是用作中繼程式。

Exim開發人員已經在版本4.90.1修復了此漏洞,此版本在2月8日發布(漏洞報告發布後三天)。他們建議使用者要立刻安裝這個修補程式,並且表示之前的所有版本都已經過期。但是考慮到受影響伺服器的數量,可能需要數週甚至數個月才能更新完所有有漏洞的伺服器。

 

Exim漏洞的詳細資訊

研究人員將此問題歸類為”認證前遠端程式碼執行”漏洞,並將其編號為CVE-2018-6789。這是位於base64解碼函式內的單字元緩衝區溢位問題。透過將特製內容送入有漏洞的Exim伺服器就可能讓攻擊者遠端執行程式碼。 繼續閱讀

SgxPectre可從Intel SGX Enclave取得資料

趨勢科技 TrendMicro

俄亥俄州立大學最近的一篇研究報告詳細介紹英特爾(Intel)軟體防護擴充指令集(SGX)遭受Spectre攻擊的最新情況。SGX是英特爾(Intel)現代處理器的一項功能,它將選定程式碼及資料管控在”飛地(enclave)”以保護它們不會被洩露或竄改。如果這被研究人員稱為SgxPectre的攻擊成功,攻擊者就可以從飛地(enclave)取得資料。

當使用者在應付今年一月所披露的英特爾(Intel)處理器漏洞Meltdown和Spectre時,這些嚴重漏洞似乎並未影響到SGX飛地(enclave)。飛地(enclave)的安全設計是即使是作業系統也不能存取其內容。

這個攻擊使用了Spectre漏洞加上現有SGX執行時函式庫(runtime library)內有弱點的程式碼,可以完全存取受防護飛地(enclave)的內容。這些漏洞存在於執行時函式庫(runtime library) – Intel SGX SDK,Rust-SGX和Graphene-SGX特別被指出。

研究人員展示這個漏洞攻擊時補充:”SGXPECTRE建立了惡意的SGX飛地(enclave)來與其他飛地(enclave)共存,再使用旁路攻擊(side-channel)觀察快取追蹤和分支預測延遲。” 繼續閱讀

交友 app 爆漏洞,用電話號碼就能劫持 Tinder 帳號!

趨勢科技 TrendMicro

可根據使用者的 Facebook 和 Spotify 資料,讓互相感興趣的雙方開始聊天的知名的手機交友軟體Tinder,經安全研究人員 Anand Prakash 披露漏洞及它利用Facebook Account Kit的方式。據研究人員稱,這漏洞讓駭客只需要受害者的電話號碼就能夠接管 Tinder 帳號並讀取私人訊息。幸好 Prakash所披露的安全漏洞已經被 Tinder 和 Facebook 迅速地修復。

[來自TrendLabs Intelligence BlogTinder、Grindr和OKCupid網路應用程式是否會被惡意用在網路間諜活動?]

什麼是Facebook Account Kit

Facebook的Account Kit讓第三方開發者可以簡化應用程式流程,使用者只需用電子郵件地址或電話號碼就可註冊和登入。當使用者輸入上述資訊,系統就會發送一組驗證碼用來登入帳號。Tinder是利用Account Kit來管理使用者登入的服務之一。

Account Kit不只用在iOSAndroid。它也支援Web和行動Web應用程式(無論是否啟用JavaScript)。Account Kit支援IE 10以上版本、Edge、Chrome、Firefox、Safari和Opera。目前支援230多個國碼和40多種語言。

[閱讀:Confusius網路間諜組織如何將愛情騙局用在網路間諜活動中]

 

Account Kit漏洞如何被利用? 繼續閱讀

駭客也搞資源回收?回收舊漏洞攻擊碼,竟可製造全新威脅!

趨勢科技 TrendMicro

開發人員都會回收使用程式碼 – 畢竟如果沒有問題就不用改了。這也是開放原始碼如此受歡迎及有價值的原因 – 不需要從頭開發全新的程式碼,開發人員可以利用現有的開放原始碼,並且可以根據自己的需求來改寫。

不幸的是,不僅軟體開發商和其他白帽公司會這麼做 – 駭客也會回收並重新利用過去運作良好的舊漏洞攻擊碼來製造全新的威脅。更糟的是,這些被回收使用的惡意攻擊結合新且複雜的感染手法讓其變得更加難以防範。

大多數新的惡意軟體並不新

從各種關於新惡意軟體的統計數據中,很容易就會認定網際網路和聯網設備都充斥著惡意威脅。事實上,G Data報導在2017年第一季就發現了2,200萬個新惡意軟體。換句話說,這代表幾乎每4秒就會發現一個新惡意威脅。

雖然有相當數量的惡意軟體可供駭客選擇是真的,但其中有許多並不完全是新的。

“2017年第一季發現了2,200萬個新惡意軟體樣本。”

Secplicity指出:“其中有大部分就像是科學怪人一樣由各種程式碼拼湊而成,可能來自現有的惡意軟體或公開的漏洞和工具。”

就這樣,駭客利用現成的程式碼和功能再並加上特製功能來做出新的惡意軟體。

 

為甚麼要回收使用?

有好幾個理由會讓駭客選擇重複或回收使用。首先這節省了許多時間。不必為基本功能來撰寫新的程式碼,使用已知可行的程式碼更快更容易。而且就如安全分析師Marc Laliberte所指出,利用這方法節省的時間可以讓網路犯罪分子將注意力放在更重要的事情上。

“如果有人已經開發了可行的解決方案,就無須再多此一舉去重新開發”Laliberte寫道。“透過盡可能地複製程式碼,讓惡意軟體作者有更多時間專注在其他地方,如躲避偵測和避免歸因。”

除了重複使用程式碼來節省時間外,許多網路犯罪分子還會重複使用常見的威脅功能,因為它們已經經過時間證明能夠成功。這也是為什麼會出現無數的勒索病毒、魚叉式網路釣魚和其他攻擊的變種。 繼續閱讀