《資安新聞周報》FBI公布俄羅斯駭客開採PrintNightmare漏洞並繞過MFA的手法/78% 美國人認為「元宇宙」只是一波炒/如何解決混合基礎架構的五大資安挑戰?/VOIP 產品的開源多媒體程式庫 PJSIP,內含 5 個嚴重資安漏洞 

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

資安新聞精選

【資安日報】2022年3月16日,新的殭屍網路病毒利用Log4Shell漏洞散布、俄羅斯駭客繞過雙因素驗證機制取得使用者權限          iThome

Instagram可望於今年支援NFT    iThome

公視片庫遺失數位資料 專案小組將釐清責任  中央通訊社

2021年學校與研究單位成攻擊最頻繁目標,臺灣每週遭攻擊次數是全球平均3倍          iThome

FBI公布俄羅斯駭客開採PrintNightmare漏洞並繞過MFA的手法          iThome

Meta在2018年的資料外洩事件被愛爾蘭判罰1,700萬歐元  iThome

78% 美國人認為「元宇宙」只是一波炒作        INSIDE

台灣首場元宇宙資安論壇 高虹安出席:推企業資安投資抵稅          ETtoday新聞雲

Google更新reCAPTCHA Enterprise加入帳戶防護工具      iThome

Log4j引爆軟體供應鏈資安議題,社群加大修補力道 OpenSSF成立推軟體安全改善計畫     iThome電腦報周刊

俄羅斯擬自發憑證以繞過歐美制裁     iThome

駭入三星、Nvidia的駭客要利誘微軟、蘋果等公司員工協助內應 iThome

【資安日報】2022年3月10日,俄羅斯同樣成為網站竄改與資料破壞攻擊的受害者、研究人員揭露新型態CPU推測執行漏洞          iThome

網路設備漏洞引發放大40億倍的驚天DDoS攻擊    iThome

台灣量子國家隊成軍 培養未來量子世代產業鏈       中央通訊社

趨勢科技 PC-cillin 與人氣貼圖作家「好想兔」跨界合作 T客邦

微軟認為在彈性工作模式之間取得平衡、讓「回到辦公室」變得有價值將成為企業重要課題     Mashdigi

微軟示警駭客竊取帳號事件頻傳 企業強化身份識別安全刻不容緩          CIO IT經理人

資訊系統遭駭 健鼎:營運無影響       工商時報

微軟突破技術限制,實現拓墣量子位元     iThome

微軟Patch Tuesday修補Exchange Server RCE等71項漏洞 駭客透過網路呼叫即可觸發攻擊          網路資訊雜誌

微軟研究團隊讓虛擬實境中的個人形象能以自然全身狀態呈現     聯合新聞網

台灣微軟擁抱多元與包容文化 賦能科技女力推動創新思維,定調三月女性歷史月實踐共融價值 Coding Angels 加值女性職涯發展       電腦硬派月刊

防俄國網路攻擊! 德國呼籲民眾「別用卡巴斯基」       自由時報電子報

公視片庫遭誤刪遺失8萬筆 外包廠商下錯指令出包       自由時報電子報

手機報稅2.0 行動支付也OK        工商時報電子報

居家、在校上課哪個好?廣達NFT從學童著色找真相    自由時報電子報

加LINE群領飆股?金管會示警:這些業者恐全觸法        經濟日報網

歐洲議會通過新的加密資產市場框架草案,不強制封鎖基於工作量證明的比特幣及以太幣          iThome

【資安日報】2022年3月15日,公視新聞備份出包導致勒索軟體攻擊事故曝光、汽車電氣零件供應商Denso遭勒索軟體攻擊          iThome

VOIP 產品的開源多媒體程式庫 PJSIP,內含 5 個嚴重資安漏洞  資安人

Dell暫不加入微軟Pluton硬體安全計畫    iThome

如何解決混合基礎架構的五大資安挑戰     CIO IT經理人

「丟丟妹」直播被冒名! 詐得標人盜刷600萬       tvbs新聞網

AI智駕車學生挑戰賽 即起至4/5受理報名         自由時報電子報

96%技術決策者認為:裝置安全性將直接影響企業盈虧 Ctimes

研究人員再掀Spectre推測執行漏洞,波及英特爾及Arm處理器           iThome

攻電動車!劉揚偉:鴻海擁「關鍵2優勢」 技術廣度勝同業       三立新聞網

鴻海電動車全球參與廠商約 2,200 家,日本供應商一口氣暴增五倍          科技新報網

「車輪上的資料中心」全球汽車調查結果          電子工程專輯


資訊系統遭駭 健鼎:營運無影響       工商時報

健鼎16日公告,部份資訊系統遭受駭客網路攻擊,事發當下已做斷網處理,目前也未發現被勒索或資料外流的狀況,正在全面清零病毒中,同時請外部資安公司趨勢科技技術專家協同處理,評估對公司營運無重大影響。 

<回到新聞條列重點>         

【資安日報】2022年3月16日,新的殭屍網路病毒利用Log4Shell漏洞散布、俄羅斯駭客繞過雙因素驗證機制取得使用者權限          iThome

本篇報導為iThome資安日報,其中在攻擊與威脅的主題中,指出最近疑似有其他駭客仿效勒索軟體Hive攻擊手法,提及趨勢科技發現名為Nokoyawa的勒索軟體,其攻擊目標多半在南美洲,且大多攻擊行動是針對阿根廷而來,並將文章連結導向趨勢科技資安部落格。         

<回到新聞條列重點>         

Instagram可望於今年支援NFT    iThome

Meta創辦人祖克柏(Mark Zuckerberg)在參與本月舉行的South by Southwest(SXSW)藝術節時,坦承非同質化代幣(Non-Fungible Token,NFT)很快就會進駐Instagram。   

<回到新聞條列重點>         

公視片庫遺失數位資料 專案小組將釐清責任  中央通訊社

針對公視片庫遺失數位資料責任釐清問題,今天成為立法院教育文化委員會重要焦點,文化部長李永得說,已請行政院資通安全處連同NCC與文化部共同組成專案小組了解,釐清責任。   

 

<回到新聞條列重點>         

2021年學校與研究單位成攻擊最頻繁目標,臺灣每週遭攻擊次數是全球平均3倍          iThome

資安威脅情勢每年都在不斷演變,今年1月底,資安業者Check Point公布2021年全球的威脅趨勢回顧報告,在3月10日,該公司臺灣總經理劉基章進一步揭露了近期的臺灣資安現況。         

<回到新聞條列重點>         

FBI公布俄羅斯駭客開採PrintNightmare漏洞並繞過MFA的手法          iThome

美國聯邦調查局(FBI)及美國網路安全暨基礎架構管理署(CISA)本周連袂警告,由俄羅斯政府支持的駭客集團藉由繞過多因素認證(MFA)及開採微軟於去年7月修補的PrintNightmare(CVE-2021-34527)漏洞,成功入侵了一家非政府組織(NGO),因而公布了該駭客集團所使用的技巧、程序與入侵指標,並提供預防建議。    

<回到新聞條列重點>         

Meta在2018年的資料外洩事件被愛爾蘭判罰1,700萬歐元  iThome

愛爾蘭資料保護委員會(Data Protection Commission,DPC)本周宣布,Meta在2018年發生的十多起資料外洩事件違反了歐盟的《通用資料保護規則》(EU General Data Protection Regulation,GDPR),因而判罰1,700萬歐元。     

<回到新聞條列重點>         

78% 美國人認為「元宇宙」只是一波炒作        INSIDE

調查還發現,理論上應對元宇宙比較有興趣的 18-24 歲年輕人,有約 45% 受訪者表示他們不知道什麼是元宇宙,甚至認為它是炒作的比例還比全年齡更高,有 81%!   

<回到新聞條列重點>         

台灣首場元宇宙資安論壇 高虹安出席:推企業資安投資抵稅          ETtoday新聞雲

逢甲大學 EMBA 學聯會邀國內產官學界資安專家舉辦「元宇宙資安論壇」集思廣益,分享近年台灣網路資安趨勢走向。其中趨勢科技台灣區暨香港區總經理洪偉淦與會分享「企業資安威脅與對應的防護之道」,介紹網路目標式勒索攻擊的威脅,從入侵途徑到後續強化建議進行介紹,讓與會人員可以透過案例探討來了解自身企業如何因應該種威脅。    

<回到新聞條列重點>         

Google更新reCAPTCHA Enterprise加入帳戶防護工具      iThome

Google公開預覽帳戶防護工具(Account Defender),新功能包含在Google的線上詐欺偵測服務reCAPTCHA Enterprise,可供網站擁有者確認用戶在網站的操作是否與過去的典型行為一致,以進一步打擊線上詐欺。    

<回到新聞條列重點>         

Log4j引爆軟體供應鏈資安議題,社群加大修補力道 OpenSSF成立推軟體安全改善計畫     iThome電腦報周刊

基本上,OpenSSF是以強化開源軟體安全為宗旨的組織,獲得業界大廠,包括微軟、Google、IBM、英特爾等支持。他們推出的最新計畫Alpha-Omega,是在Log4j漏洞公布後,白宮召集美國軟體及資安界人士共商對策後的結果,當中將透過和軟體專案負責單位,運用自動安全測試工具來促進開源軟體供應鏈的安全性,而在第一階段期間,微軟和Google也將投入500萬美元支持這項計畫。       

<回到新聞條列重點>         

俄羅斯擬自發憑證以繞過歐美制裁     iThome

近日西方國家的網路及軟體業者紛紛跟進政府制裁令,對俄羅斯企業停止服務。即使主要憑證發放機構如Symantec、Verisign、DigiCert等尚未宣佈暫停服務,但在政府及支付業者將俄羅斯或白俄列入制裁名單後,這些公司也因無法收到款項不能更新發出的TLS/SSL憑證,使用這些憑證的網站也將在憑證過期後,不被瀏覽器驗證。這會讓用戶在造訪這些網站時接到瀏覽器的明顯警告,或是勸導離開。    

<回到新聞條列重點>         

駭入三星、Nvidia的駭客要利誘微軟、蘋果等公司員工協助內應 iThome

日前駭入Nvidia及三星的南美駭客組織Lapsus$在Telegram公開招募知名公司的員工作為內應幫他們駭入公司網路,該組織列出的名單涵括大型軟體公司、電信商、伺服器代管及客服中心業者,包括微軟、蘋果、IBM、美商藝電(EA)等。

<回到新聞條列重點>         

【資安日報】2022年3月10日,俄羅斯同樣成為網站竄改與資料破壞攻擊的受害者、研究人員揭露新型態CPU推測執行漏洞          iThome

本篇報導為iThome資安日報,其中在攻擊與威脅的主題中,提及趨勢科技觀察到名為RURansom的資料破壞軟體,鎖定俄羅斯的攻擊行動。         

<回到新聞條列重點>         

網路設備漏洞引發放大40億倍的驚天DDoS攻擊    iThome

多家安全及網路廠商研究人員發現一款IP網路設備漏洞,理論上能讓攻擊者以1個封包引發42億倍放大率的反射放大DDoS流量,而且已經有駭客實際開採向企業發動攻擊。         

<回到新聞條列重點>         

台灣量子國家隊成軍 培養未來量子世代產業鏈       中央通訊社

行政院科技會報辦公室整合中研院、經濟部與科技部,攜手產業打造「量子國家隊」,未來5年將投入新台幣80億元經費,量子國家隊總共17個研究團隊,其中包含72位專家學者與24家企業參與,研發面向聚焦量子元件、量子電腦、量子演算法及量子通訊等技術,目標建構台灣自製可真實運算的量子電腦以及量子通訊網路系統,研發出量子科技的關鍵核心技術。         

<回到新聞條列重點>         

趨勢科技PC-cillin與人氣貼圖作家「好想兔」跨界合作 T客邦

趨勢科技觀察,台灣近年有越來越多內容創作者的數位資產、圖文創作、社群平台帳號密碼遭到駭客竊取,使得創作者們辛苦經營許久的心血付之一炬。為此,趨勢科技首度與人氣網路貼圖作家「好想兔」跨界合作,呼籲更多圖文影音創作者慎防網路詐騙,以行動表達支持創作者安心創作。         

<回到新聞條列重點>         

微軟認為在彈性工作模式之間取得平衡、讓「回到辦公室」變得有價值將成為企業重要課題     Mashdigi

針對後疫情時代的工作型態發展,微軟表示目前越來越多企業開始面臨不同挑戰,亦即如何在彈性工作模式與回到辦公室工作之間取得平衡,而如何讓「回到辦公室」這件事情變得更有價值,顯然將成為企業接下來面臨課題。         

<回到新聞條列重點>         

微軟示警駭客竊取帳號事件頻傳 企業強化身份識別安全刻不容緩          CIO IT經理人

根據微軟最新觀察發現,近來駭客正將目標鎖定在竊取身份識別資料上,光是2021年11月26日到2021年12月31日,就對商業組織、企業發動超過8,300萬次攻擊。為協助企業防護跨雲的身份識別帳號安全,微軟建議企業應從:引進多因素驗證機制(MFA)、查核帳號權限、刪除未使用的帳號,以及啟用零信任機制等四大面向著手,除做好基本身份識別資料的管理工作外,也應該強化較薄弱的安全防護機制。    

<回到新聞條列重點>         

微軟突破技術限制,實現拓墣量子位元     iThome

微軟所開發的機密設備,能夠以一對馬約拉納零模引發物質的拓撲相位,產生不受環境雜訊干擾的拓撲量子位元,成為目前最有希望用於發展大型商用量子電腦的技術。         

<回到新聞條列重點>         

微軟Patch Tuesday修補Exchange Server RCE等71項漏洞 駭客透過網路呼叫即可觸發攻擊          網路資訊雜誌

微軟本周釋出Patch Tuesday安全更新,修補Exchange Server重大RCE在內的71項漏洞。修補的漏洞編號為CVE-2022-23277,能讓攻擊者透過一個網路呼叫,在伺服器帳號下觸發惡意程式碼。雖然駭客需要驗證,但這項影響本地部署的Exchange伺服器的漏洞可能被用於橫向移動,而引發變臉攻擊(business email compromise, BEC)或是電子郵件造成的資料竊取。    

<回到新聞條列重點>         

微軟研究團隊讓虛擬實境中的個人形象能以自然全身狀態呈現     聯合新聞網

過去在虛擬實境中的個人形象表現,礙於運算效能與實際需求,多半僅以上半身型態呈現,但在微軟混合實境與人工智慧實驗室 (Mixed Reality & AI Lab)研究團隊所提出技術,將能透過上半身擷取資訊模擬下半身自然動作,讓使用者在虛擬實境中出現的身形可以更加完整。    

<回到新聞條列重點>         

台灣微軟擁抱多元與包容文化 賦能科技女力推動創新思維,定調三月女性歷史月實踐共融價值 Coding Angels 加值女性職涯發展       電腦硬派月刊

科技業近年強調發展創新思維以驅動企業成長,重視多元人才提供的豐富觀點,女性獨特視角在其中更扮演關鍵角色;2017 年起,微軟全球女性員工成長 67.5%,領導階層女性員工更提升 124% 。多元與包容(Diversity and Inclusion)文化是微軟長期追求的核心理念,台灣微軟亦自領導階層貫徹相關政策,近年更以實際行動支持 LGBTQ+ 社群。     

<回到新聞條列重點>         

防俄國網路攻擊! 德國呼籲民眾「別用卡巴斯基」       自由時報電子報

德國聯邦資訊安全局(BSI)發布公告,呼籲避免使用來自俄羅斯的「卡巴斯基」(Kaspersky)防毒軟體,以免俄國趁機發動網路攻擊。德國聯邦資訊安全局公告指出,使用防毒軟體須同意軟體製造商取得電腦系統諸多權限,俄羅斯軟體製造商很可能成為發動網路攻擊或監視行動的工具。    

<回到新聞條列重點>         

公視片庫遭誤刪遺失8萬筆 外包廠商下錯指令出包       自由時報電子報

公視片庫昨日爆出重大災情,珍貴資料遭外包資訊公司人員誤刪,片庫資料共計有42萬4千筆,此次資料損毀約10萬筆,上週找回2萬筆,目前遺失8萬筆。外界質疑為何公視沒有另外備份,使得珍貴資料遺失?對此,公視做出回應,表示當時是要做重複備份的動作,但外包人員下錯兩次指令,以致於資料遺失。    

<回到新聞條列重點>         

手機報稅2.0 行動支付也OK        工商時報電子報

財政部北區國稅局15日表示,5月報稅季即將來臨,今年我國將推出「手機報稅2.0」措施,增加連結電子支付及行動支付繳稅功能,同時也新增編修扶養親屬與所得額資料。         

<回到新聞條列重點>         

居家、在校上課哪個好?廣達NFT從學童著色找真相    自由時報電子報

廣達(2382)旗下文教基金會攜手台大統計教學中心,調查學童居家及在校學習情況,首次以圖畫方式進行問卷實測分析,並於今天公布結果,發現相對於居家線上教學,孩童在校學習在心理與個性上會有正向助益的改變,廣達將所有問卷畫作的用色匯聚製成NFT,預計4月上架OpenSea。 

<回到新聞條列重點>         

加LINE群領飆股?金管會示警:這些業者恐全觸法        經濟日報網

「您好,我是之前與您聯繫過的投顧助理,現在加我LINE,自營商有牌導師會免費送三檔飆股給你喔」,近一年全台各地,都充斥「加賴送飆股」的群組通知或簡訊,或是被迫加入「征服股海」,金管會晚間示警,這些業者恐都已經觸法。         

<回到新聞條列重點>         

歐洲議會通過新的加密資產市場框架草案,不強制封鎖基於工作量證明的比特幣及以太幣          iThome

歐盟執委會(European Commission,EC)在2020年提出了加密資產市場(Markets in Crypto Assets,MiCA)框架,打算建立有關加密資產的歐盟法規,最近有個修正版原本打算以環保為由,封鎖基於工作量證明的加密貨幣,包括比特幣及以太幣在內,不過,歐洲議會在本周一(3/14)否決了這個備受爭議的版本,並接納了另一個相對寬容的版本,讓加密貨幣社群鬆了一口氣。    

<回到新聞條列重點>         

【資安日報】2022年3月15日,公視新聞備份出包導致勒索軟體攻擊事故曝光、汽車電氣零件供應商Denso遭勒索軟體攻擊          iThome

近來針對汽車零件製造商的攻擊事件頻傳,繼昨天普利司通證實北美公司遭勒索軟體攻擊後,由Toyota獨立出來的電氣零件供應商Denso,也傳出成為勒索軟體受害者的情況,不過,Denso仍照常生產零件,表明營運不受影響。    

<回到新聞條列重點>         

VOIP 產品的開源多媒體程式庫 PJSIP,內含 5 個嚴重資安漏洞  資安人

資安廠商 JFrog 日前發表研究報告,指出該公司發現經常用於各種 VOIP 服務的開源程式庫 PJSIP 多媒體溝通程式庫,內含 5 個嚴重資安漏洞,可能導致駭侵者遠端執行任意程式碼。         

<回到新聞條列重點>         

Dell暫不加入微軟Pluton硬體安全計畫    iThome

微軟2020年宣布的Pluton是開發的硬體安全平臺,可儲存加密金鑰、登入憑證及其他敏感資料。根據微軟的設計,透過將Pluton整合到處理器可降低惡意程式竊取的機會。微軟希望能以Pluton取代業界通行的可靠平臺模組(Trusted Platform Module,TPM),也宣布與AMD、Intel及高通合作將共同打造Pluton安全處理器,確保未來Windows裝置的安全性。  

<回到新聞條列重點>         

如何解決混合基礎架構的五大資安挑戰     CIO IT經理人

對越來越多的企業組織而言,IT環境已含括公有雲服務、私有雲與在地自建的混合基礎架構,而後者在混用環境裡所佔比例越來越低。

<回到新聞條列重點>         

「丟丟妹」直播被冒名! 詐得標人盜刷600萬       tvbs新聞網

刑事局警方破獲詐騙集團,專門埋伏在臉書直播拍賣內,再假冒成直播主私訊得標人,騙取買家的信用卡資料,再進一步盜刷,包括丟丟妹、田哥海鮮等27個知名直播主都被冒名,至少上百人受害,詐騙金額超過600萬元。    

<回到新聞條列重點>         

AI智駕車學生挑戰賽 即起至4/5受理報名         自由時報電子報

經濟發展局長郭裕信表示,配合亞洲‧矽谷計畫,市府建置虎頭山創新園區,作為全台首座結合自駕車與資安物聯網兩大主軸之驗證中心,原訂於去年舉辦的「虎頭山AI智駕車學生挑戰賽」即日起開放報名,大專院校、高中職學生皆可報名參加。    

<回到新聞條列重點>         

96%技術決策者認為:裝置安全性將直接影響企業盈虧 Ctimes

根據《PSA Certified 2022 安全性報告》調查結果,許多企業將安全性視為物聯網策略和企業文化的核心,90% 的受訪者在過去 12 個月內增加了對安全性的重視程度,近九成的受訪者將安全性視為三大優先事項之一,並有 42% 的受訪者將打造「安全至上的文化」,做為企業的首要任務。         

<回到新聞條列重點>         

研究人員再掀Spectre推測執行漏洞,波及英特爾及Arm處理器           iThome

阿姆斯特丹自由大學(Vrije Universiteit Amsterdam)的漏洞安全實驗室VUSec本周發表一篇研究報告,指出在2018年曝光的CPU推測執行漏洞Spectre並沒有修補完全,使得該實驗室依然可透過其它管道開採其中的CVE-2017-5715漏洞,進而推測核心記憶體中的機密資訊。    

     

<回到新聞條列重點>         

攻電動車!劉揚偉:鴻海擁「關鍵2優勢」 技術廣度勝同業       三立新聞網

鴻海(2317)去年大賺超過一個股本,今(16)日召開線上法說會,董事長劉揚偉揭示集團2022年六大發展主軸,分別是資通訊(ICT)、電動車、全球布局、半導體、軟體布局以及ESG等,其中,他也透露電動車布局效益將自明年起更明確顯現,並持續以BOL模式布局全球電動車產能。

<回到新聞條列重點>         

鴻海電動車全球參與廠商約 2,200 家,日本供應商一口氣暴增五倍          科技新報網

截至 3 月初,約 2,200 家公司參與鴻海領軍的專案。與 2021 年 4 月專案啟動時相比,參與企業總數增加 70%,日本公司數量一口氣增加五倍。某些公司已開始與鴻海和其他企業一起開發零組件。         

<回到新聞條列重點>         

「車輪上的資料中心」全球汽車調查結果          電子工程專輯

莫仕(Molex)公佈了一項全球調查結果,審視加速下一代汽車架構和駕駛體驗發展的創新步伐。雖然參與者對數位技術的廣泛應用表示樂觀,但他們也指出,必須克服技術、產業和生態系統方面的嚴峻挑戰,以滿足對於配備軟體、儲存、連接和運算功能的汽車的需求,這些功能本質上構成了一個強大的「車輪上的資料中心」。 

      

<回到新聞條列重點>