本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一週精選
- AI 程式設計中的幻象:幻覺與程式碼可信度
- 趨勢科技攜手NVIDIA AI Enterprise強化AI部署
- AI換臉真假難辨?六招辨別深偽(Deepfake)詐騙影片
- Commando Cat: 一種利用 Docker Remote API 伺服器的新型虛擬加密貨幣挖礦攻擊
- 陳怡樺:讓資安重新回到平衡點
- 《上週資安新聞周報》視訊詐騙工具暴增 不需技術就能深偽變臉及聲音/科技業為品牌網路釣魚攻擊首選,微軟高居榜首、蘋果次之/奧運還沒結束!法國爆大型網攻 40博物館遇駭「比賽場地也淪陷」
媒體資安新聞一周精選
微軟 Azure 健康機器人資安漏洞,可能洩漏病患個資 科技報橘
【資安日報】8月14日,微軟發布8月例行更新,公布多達10個零時差漏洞 iThome
研究人員揭露Windows更新機制缺陷,並宣稱能重新引入已修補漏洞 iThome
Windows 10、11再陷藍白死當危機!關鍵驅動程式曝重大漏洞 自由時報電子報
Windows 10與Server 2016以上版本CLFS.sys存在DoS漏洞,或致藍畫面當機 iThome
Windows 重大漏洞! 駭客可遠端將修補完全的 PC 打回原型重現數千漏洞 網路資訊雜誌
微軟1月遭駭事故傳出英國內政部也是受害單位,郵件帳號遭俄羅斯駭客Midnight Blizzard入侵 iThome
微軟揭露OpenVPN的4個零時差漏洞 iThome
Office尚無更新版的漏洞可能導致敏感資料外洩,多個版本受影響 iThome
M365網路釣魚防護警示可遮蔽,有心人士可透過CSS樣式表隱藏 iThome
安全更新引發大當機,CrowdStrike傳有意買下修補程式管理新創Action1改善軟體開發流程 iThome
CrowdStrike總裁親自領取「史詩級失敗」獎項 iThome
趨勢科技/GMI Cloud合作守護企業AI應用安全 新通訊元件雜誌
趨勢科技推深偽偵測方案防範AI視訊詐騙 電子時報
【資安日報】8月8日,黑帽大會首度增設AI議程,趨勢科技展示深偽偵測技術 iThome
AMD 晶片被發現有重大安全漏洞,2006 年之後的產品都受到影響 雅虎奇摩
Ivanti虛擬流量管理系統存在身分驗證繞過漏洞,已有概念性驗證程式碼公開,用戶應儘速處理 iThome
14億筆騰訊用戶資料流入駭客論壇 iThome
研究人員揭露合法雲端服務被用於散布後門程式的手法日益複雜,臺灣也有組織遇害 iThome
計程車隊遭「惡意阻斷攻擊」 APP叫車卡卡 tvbs新聞網
CyberArk 調查:97%台灣企業遭受與身分相關的資安入侵事件 網管人
2024年第二季電子郵件安全觀察:QRcode釣魚郵件攻擊恐成常態性攻擊 資安人
安全研究人員:駭客可透過 5G 基頻漏洞將協議降至 4G 以竊取資料 科技新報
川普競選團隊遭伊朗駭客入侵 驚爆重大醜聞及性侵少女影片可能曝光 新頭殼
川普競選團隊遭駭 疑伊朗介入美國大選 自由時報電子報
不甩美警告 中駭客組織潛伏未減 自由時報電子報
【資安日報】8月13日,韓國國防工業承包商傳出遭北韓駭客攻擊,軍事偵察機資料外流 iThome
美國田納西州男子經營筆電農場,協助北韓駭客在美、英企業「工作」 iThome
傳南韓軍事偵察機機密遭北韓竊取 iThome
韓Kakao Pay個資送中 被斥叛國 自由時報電子報
【資安日報】8月12日,研究人員揭露存在18年的瀏覽器漏洞,而且已有濫用漏洞行為,Linux及macOS電腦都可能中招 iThome
Palo Alto Networks 引領資訊安全轉型 以生成式AI建構主動防禦機制 電子時報網
KnowBe4發布第二季網路釣魚測試結果 中央通訊社
世界駭客競賽全球1742隊爭桂冠 台灣資安戰隊獲第7名 自由時報電子報
金管會:打詐無止盡 呼籲金融業用新科技阻詐 工商時報電子報
資安股新兵報到!中華資安國際興櫃在即,憑何獲封中華電小金雞?3大獲利亮點一次看 雅虎奇摩
中嘉寬頻×魔術醫師 防假消息抗骨鬆超有趣 Pchome 新聞
微軟 Azure 健康機器人資安漏洞,可能洩漏病患個資 科技報橘
微軟 Azure 雲端平台上的健康機器人服務驚傳安全漏洞!網路安全公司 Tenable 的研究人員發現,Azure 健康機器人存在多個權限提升漏洞,包括「資料連接」功能,駭客可以透過伺服器端請求偽造(SSRF)攻擊,取得管理權限,進而存取其他用戶的資源,可能導致病患個資外洩。微軟已在漏洞曝光後的一週內修復了受影響的環境,目前沒有任何跡象顯示這些漏洞被駭客利用。微軟表示,已針對所有受影響的服務實施了緩解措施,用戶無需採取任何行動。然而,這次事件也凸顯出聊天機器人漏洞可能被駭客利用來竊取病患個資的風險。
【資安日報】8月14日,微軟發布8月例行更新,公布多達10個零時差漏洞 iThome
本週二(8月13日)是許多軟體業者發布8月例行更新的日子,其中最值得留意的是微軟,雖然他們這次僅公布90個漏洞,較7月143個有明顯減少的趨勢,但值得留意的是,揭露的零時差漏洞多達10個,其中有6個已被用於實際攻擊行動,美國網路安全暨基礎設施安全局(CISA)也證實這些漏洞遭到利用的現象,要求聯邦機構限期完成修補。
研究人員揭露Windows更新機制缺陷,並宣稱能重新引入已修補漏洞 iThome
資安業者SafeBreach的研究人員指出,他們發現一種無法偵測的降級攻擊手法,過程中利用視窗作業系統的自動更新機制Microsoft Update弱點,從而提升權限並繞過各式安全機制,讓完全修補的Windows電腦曝露在原本微軟公布的數千個漏洞風險當中。研究人員強調,這種降級手法不僅無法偵測、難以察覺,甚至有可能無法復原。他們將在Black Hat USA 2024、DEF CON 32兩項資安會議上,展示相關研究成果。
Windows 10、11再陷藍白死當危機!關鍵驅動程式曝重大漏洞 自由時報電子報
網路安全公司Fortra發現Windows系統中的關鍵驅動程式存在嚴重漏洞,該漏洞可導致系統藍白畫面死當,這個問題影響所有版本的Windows 10和Windows 11系統,即使已安裝了最新修補程式也無法避免。
Windows 10與Server 2016以上版本CLFS.sys存在DoS漏洞,或致藍畫面當機 iThome
CLFS.sys是微軟Windows中的驅動程式,負責管理通用日誌檔案系統(CLFS)。CLFS提供支援應用程式和系統元件進行日誌紀錄的框架,能夠管理多日誌串流(Log Stream),這些日誌串流可用於系統恢復、資料同步和精確的操作追蹤。
Windows 重大漏洞! 駭客可遠端將修補完全的 PC 打回原型重現數千漏洞 網路資訊雜誌
在拉斯維加斯的 Black Hat 大會上,研究人員 Alon Leviev 展示研究發現,二個漏洞讓他可以在 Windows 關鍵元件,包括 DLL、及 NT 核心製造降級、提升權限以及繞過安全功能。而且經過降級攻擊,即使所有元件都退到舊版,但查詢 Windows Update 時,OS 會顯示修補完成,且復原與掃瞄工具都無法偵測到。
微軟1月遭駭事故傳出英國內政部也是受害單位,郵件帳號遭俄羅斯駭客Midnight Blizzard入侵 iThome
今年1月微軟證實遭到俄羅斯駭客組織Midnight Blizzard(APT29)入侵的資安事故,駭客存取高階主管的電子郵件帳號,後來陸續傳出有客戶的帳號被入侵的情況,繼4月美國網路安全暨基礎設施安全局(CISA)承認聯邦機構受到波及,現在傳出有其他政府機關受害的情況。
微軟揭露OpenVPN的4個零時差漏洞 iThome
OpenVPN為一虛擬私人網路(VPN)的開源專案,建立於2001年,它在路由或橋接的配置上,透過技術來建立安全的端對端連結,被廣泛應用於各式作業系統上,從Windows、macOS、Android、iOS到BSD等,根據Enlyft的統計,全球約有6,000家企業使用OpenVPN,意謂著有數百或數千萬臺裝置安裝了OpenVPN。
Office尚無更新版的漏洞可能導致敏感資料外洩,多個版本受影響 iThome
微軟於8月8日公布一項影響Office的安全漏洞CVE-2024-38200,可造成敏感資訊洩露給未經授權的攻擊者,同時說明有效版本的Office、M365用戶已獲得防護,但仍需安裝預定在臺灣時間8月14日釋出的安全更新。
M365網路釣魚防護警示可遮蔽,有心人士可透過CSS樣式表隱藏 iThome
資安業者Certitude指出,微軟在收信軟體Outlook提供的首次聯絡安全提示(First Contact Safety Tip)警示功能,攻擊者有機會在信件加入特定的樣式表將其隱藏,從而降低收信人的警覺,增加網路釣魚攻擊成功率。
安全更新引發大當機,CrowdStrike傳有意買下修補程式管理新創Action1改善軟體開發流程 iThome
媒體取得Action1執行長暨共同創辦人Alex Vovk上周寄給員工的備忘錄,顯示雙方正在進行協議。根據備忘錄,CrowdStrike和Action1正在洽談,計畫以近10億美元收購後者。Vovk對員工指出,這收購提案也證明Action1市場正在高速成長,並且可以按計畫,很快實現年營收1億美元的目標。
CrowdStrike總裁親自領取「史詩級失敗」獎項 iThome
CrowdStrike總裁Michael Sentonas上周出現在DEF CON的Pwnie Awards頒獎典禮上,並親自領取了「史詩級失敗」(Most Epic Fail)的資安獎項,臺下則響起一片歡呼聲來鼓勵Sentonas的勇氣。
趨勢科技/GMI Cloud合作守護企業AI應用安全 新通訊元件雜誌
趨勢科技持續引領網路資安平台創新,守護企業使用AI相關應用的安全,今日宣布與領導性新創AI原生GPU雲端供應商GMI Cloud合作,該公司致力開發專為AI及ML工作負載最佳化的垂直整合平台。這項合作旨在強化AI建置環境的資安措施,保護高運算環境中的敏感資料。此外,為了履行AI的使用責任與規範,趨勢科技也宣布與Google、NVIDIA、Microsoft、IBM等合作夥伴一起加入「安全AI聯盟」(Coalition for Secure AI,簡稱CoSAI)。
趨勢科技執行長暨共同創辦人陳怡樺表示:「我們不單只是在適應一個人工智能驅動世界,而是正在創建這個新世界,協助確保所有團隊都能在安全的環境下實現創新。適當地部署新科技可優化業務韌性,而不會削弱其優勢。正如我們在促進雲端保安的角色一樣,我們率先運用人工智能來打造資訊保安防護,並開發專為人工智能設計的防護。」
趨勢科技推深偽偵測方案防範AI視訊詐騙 電子時報
趨勢科技研究報告指出,駭客正搭上AI應用爆炸性成長的熱潮,導致網路犯罪地下市場的AI犯罪工具暴增。這些工具不僅越來越便宜且更容易取得,使得任何技術能力的駭客都能更輕易地發動大規模攻擊,藉由欺騙受害者來從事勒索、身分冒用、詐騙以及散播假訊息。
【資安日報】8月8日,黑帽大會首度增設AI議程,趨勢科技展示深偽偵測技術 iThome
AI資安的風險與機會,已是企業生存發展的重要課題,在美國拉斯維加斯舉辦的黑帽大會(Black Hat USA 2024),主要議程於本月7日與8日展開,不過今年黑帽大會有個延伸活動相當特別,那就是AI Summit研討會,於6日搶先登場。趨勢科技也在AI Summit發表演說,宣布推出商用的深偽偵測技術解決方案,也呼籲在AI時代下的資安,需朝向新一代網路風險管理方式發展。
AMD 晶片被發現有重大安全漏洞,2006 年之後的產品都受到影響 雅虎奇摩
安全公司 IOActive 的研究人員發現了AMD處理器中存在一個長達十數年的漏洞。這個漏洞被命名為「Sinkclose」,它允許惡意軟體以最高權限的系統管理模式(System Management Mode)執行程式碼,而且一旦深入到處理器中,可能根本無法由防毒軟體或其他手段根除。研究人員指出,這個漏洞至少由 2006 年就已經存在,並影響差不多所有 2006 年至今的 AMD 晶片。
Ivanti虛擬流量管理系統存在身分驗證繞過漏洞,已有概念性驗證程式碼公開,用戶應儘速處理 iThome
Ivanti發布資安公告指出,應用程式交付系統Virtual Traffic Manager(vTM)部分版本存在零時差漏洞CVE-2024-7593,由於已有公開的概念性驗證程式碼,攻擊者無須自行從頭研究漏洞,很有可能即將被用於實際攻擊,該公司呼籲用戶應儘速採取緩解措施因應。
這個漏洞被追蹤為 CVE-2024-41730,根據 CVSS v3.1 系統評分為 9.8,影響 SAP BusinessObjects Business Intelligence Platform 430 和 440 版本的「缺少身份驗證檢查」漏洞,在特定條件下可被利用。
14億筆騰訊用戶資料流入駭客論壇 iThome
騰訊為中國最大的網路公司,不僅是中國知名的遊戲開發業者,也打造出熱門的QQ與微信社交平臺,觸角還伸及教育及支付等領域。Fenice釋出的資料庫多達500GB,內含手機號碼、電子郵件信箱及QQ ID等騰訊用戶資訊。
研究人員揭露合法雲端服務被用於散布後門程式的手法日益複雜,臺灣也有組織遇害 iThome
資安業者賽門鐵克指出,由於攻擊者希望避免引人注目並降低維護基礎設施的成本,他們發現有越來越多駭客加入濫用雲端服務的行列,並開發更多用於這類攻擊的作案工具,並出現過往較為罕見的手法。例如在賽門鐵克研究人員公布的6起惡意程式攻擊裡,有超過半數都利用OneDrive,甚至有搭配圖學資料分析服務Microsoft Graph API、程式碼儲存庫GitHub的情況。
計程車隊遭「惡意阻斷攻擊」 APP叫車卡卡 tvbs新聞網
最近民眾透過App要叫台灣大車隊的車,都會有程式當掉進不去的狀況,業者公告,因為他們近期不斷遭受阻斷式攻擊,已經升級系統保護消費者資料,但有乘客反映,說他接到詐騙電話,問他是不是有搭車,對此大車隊強調,客戶資料沒外洩,資安專家曾說過,這叫「撞庫攻擊」。趨勢科技防詐達人特別提醒,一些專門騙取民眾個資的詐騙網站從上周就陸續出現,像是加入LINE好友下載免費表情貼等,已經成為近期詐騙詢問NO.1。
CyberArk 調查:97%台灣企業遭受與身分相關的資安入侵事件 網管人
CyberArk於7日發布《CyberArk 2024威脅情勢報告》,指出機器是風險最高的身分類型,部分原因是多雲策略的廣泛採用以及大型語言模型等人工智慧相關程式不斷被引入,大量機器身分被創建。CyberArk北亞區總監謝文駿表示,97%的台灣企業在過去一年中經歷了身分相關的資料外洩。
2024年第二季電子郵件安全觀察:QRcode釣魚郵件攻擊恐成常態性攻擊 資安人
垃圾訊息研究中心 (Asia Spam-message Research Center),與中華數位科技合作發表《2024年第二季電子郵件安全觀察》,報告顯示本季需要特別留意的便是釣魚郵件。時至年中,有許多單位集中在這個時間點進行社交工程演練,資安或資訊單位的負擔因而加重,便可能出現人為疏忽的破口,應特別留意!由上一季延伸的QRcode釣魚郵件攻擊未見趨緩,未來可能演變為常態性的攻擊。
安全研究人員:駭客可透過 5G 基頻漏洞將協議降至 4G 以竊取資料 科技新報
美國賓州州立大學的一組研究人員於週三舉行的黑帽網路安全會議上,展示了一項新發現,指稱不同 5G 基頻晶片中的一系列安全漏洞,這些漏洞可能讓駭客趁機祕密入侵受害者裝置,並遠端監視他們的一舉一動。
川普競選團隊遭伊朗駭客入侵 驚爆重大醜聞及性侵少女影片可能曝光 新頭殼
《路透社》(Reuters)報導中提出,川普競選團隊於 10 日引述由微軟(microsoft)研究人員的公開報告,並稱伊朗有關的駭客早在 6 月試圖入侵競選團隊中「高階官員」的帳號。
川普競選團隊遭駭 疑伊朗介入美國大選 自由時報電子報
美國前總統川普競選團隊10日向福斯新聞(Foc News)證實,部分內部通訊遭到駭客入侵,其中包括1份關於副總統候選人范斯(JD Vance)的檔案。競選團隊指出,這次駭客攻擊發生在伊朗密謀暗殺川普的報導之後。
不甩美警告 中駭客組織潛伏未減 自由時報電子報
美國政治新聞網站「Politico」九日指出,與中國政府有關聯的駭客組織「伏特颱風」(Volt Typhoon),去年被發現一直在監視並入侵美國重要基礎建設設施,包括對於美軍馳援台灣極為重要的關島通訊系統,迫使拜登政府強烈警告中方停止相關活動,但中方充耳不聞,未停止攻擊或減緩,所幸美國官方機構和民間企業皆已提高意識,從而加強安全措施。
【資安日報】8月13日,韓國國防工業承包商傳出遭北韓駭客攻擊,軍事偵察機資料外流 iThome
上週韓國媒體報導指出,他們專門用於在北韓領空從事情資蒐集的軍事偵察機,相關內部機密文件因北韓駭客對其國防供應商發動網路攻擊遭到外流,而這起網路攻擊,傳出是北韓領導人金正恩下令發起。
美國田納西州男子經營筆電農場,協助北韓駭客在美、英企業「工作」 iThome
針對北韓駭客透過筆電農場(Laptop Farm)為美國企業工作並牟取政府發展軍事的情況,美國司法部最近起訴與之共謀的Matthew Isaac Knoot,其罪名就是經營筆電農場,讓受害企業以為這些人員在美國進行遠距辦公的假象。
傳南韓軍事偵察機機密遭北韓竊取 iThome
報導指出,這家國防工業外包商生產南韓北韓空中偵察的重要資產,包括白頭號(Baekdu)、金剛號(Geumgang)間諜偵察機的相關軍事裝備操作和維護手冊。消息人士指出,根據初步調查,在這次駭客攻擊中,二款軍機的技術資料和規格、操作文件可能已外洩。
韓Kakao Pay個資送中 被斥叛國 自由時報電子報
南韓金融監督院(FSS)十二日透露,在韓國國內擁有四千萬名用戶的行動支付服務Kakao Pay,在未經同意下,將用戶的個資交給中國螞蟻集團旗下的支付寶,目前正在考慮進行裁罰。消息一出震驚南韓網友,有人痛斥Kakao Pay犯下叛國罪。
【資安日報】8月12日,研究人員揭露存在18年的瀏覽器漏洞,而且已有濫用漏洞行為,Linux及macOS電腦都可能中招 iThome
資安業者Oligo Security針對名為0.0.0.0 Day的漏洞提出警告,此漏洞允許惡意網站繞過瀏覽器的安全機制,與受害組織網路環境運作的服務進行互動,使得攻擊者有機會對於電腦本機服務進行未經授權存取,或是遠端執行任意程式碼。另外,資安業者ReasonLabs揭露大規模惡意瀏覽器延伸套件攻擊行動,駭客透過Google廣告宣傳,假借提供多種應用程式當作誘餌,藉此在Chrome、Edge瀏覽器植入惡意延伸套件,估計至少有30萬用戶受害。
Palo Alto Networks 引領資訊安全轉型 以生成式AI建構主動防禦機制 電子時報網
致力扮演台灣數位轉型最佳夥伴的零壹科技,為助企業更了解生成式 AI與資訊安全之間的關係,在2024年「無界創新、未來企業的數位日常-零壹科技數位主題策展」特別邀請Palo Alto Networks 台灣區總經理尤惠生擔任名人堂講師,分享 Palo Alto Networks如何協助企業善用AI來實現資安韌性、落實資安防護的自動化,進而用最省力方式建構全面的安全環境。
KnowBe4發布第二季網路釣魚測試結果 中央通訊社
網路釣魚郵件仍然是網路犯罪分子對全球組織展開惡意攻擊的普遍而有效的工具。這些不良行為者不斷改進他們的策略,根據目前的市場趨勢做出調整,並透過杜撰看上去真實可信的網路釣魚郵件主題來使終端用户和組織上當受騙。他們的策略通常是利用人類的情感,意在引起緊迫感、困惑、焦慮甚至興奮,所有這些都是為了引誘接收者點選惡意連結或打開有害附件。KnowBe4的《2024年網路釣魚產業基準報告》強調了這種威脅的嚴重性,報告透露,約有三分之一的使用者傾向於點選可疑連結或滿足詐騙請求。
世界駭客競賽全球1742隊爭桂冠 台灣資安戰隊獲第7名 自由時報電子報
競爭激烈的2024年世界駭客競賽(DEFCON CTF)決賽結果出爐,台灣資安戰隊在全球1742隊報名中取得第7名佳績
金管會:打詐無止盡 呼籲金融業用新科技阻詐 工商時報電子報
彭金隆表示,打擊詐欺是政府施政的首要項目,金融機構在阻詐過程扮演很重要的角色,過去採取各種方法防堵詐騙,透過綿密的金融機構進行臨櫃關懷,看似普通的動作,但2年內也攔阻1萬多件詐騙,阻詐超過百億元,是基層行員努力的成果,金管會將持續請各金融機構加強臨櫃關懷,並要與給予行員最重要支持與後盾。
資安股新兵報到!中華資安國際興櫃在即,憑何獲封中華電小金雞?3大獲利亮點一次看 雅虎奇摩
洪進福說明,除了省下開發市場、拓展客群的力氣,收費機制也是一個重要因素,「我有想過,如果我們不跟中華電信合作,自己建立帳單收費系統,等於我要再養一群人員來處理系統,這樣收費價格會壓不下來。雖然與中華電信合作要分潤,但總體上還是划算的。」
中嘉寬頻×魔術醫師 防假消息抗骨鬆超有趣 Pchome 新聞
隨著科技進步,網路上充斥著各種假訊息和詐騙,所以如何反詐與增進媒體識讀已成為民眾關注的焦點,中嘉寬頻|三冠王.雙子星講師許嫚真就以許多新聞圖文來解說,避免被媒體牽著鼻子走,也具體教導大家在傳送任何新聞及訊息分享之前,別忘了停看聽,可先至台灣事實查核中心、MyGoPen、趨勢科技防詐達人等平台來查核,會中並透過有獎徵答和賓果遊戲,讓參加的民眾在寓教於樂當中受益匪淺。
趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文 ☺️
⭕️ 訂閱資安趨勢電子報,各種實用數位祕技讓你數位生活更便利;隨時掌握資安警訊讓你安先悠遊網路
✅防毒防詐✅守護帳密✅VPN安心串流✅阻絕惡意✅安心蝦拚 趨勢科技PC-cillin雲端版 搭載深度學習AI引擎,不僅可以一次偵測多種病毒、網路威脅,還可即時封鎖異常行為,保護電腦和行動裝置安全,讓你免受變化莫測的詐騙手法之擾,安心享受網路生活。 【一下指就掉入詐騙陷阱?PC-cillin讓你安心點 】PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
PC-cillin 讓你的『指指點點』可以開心又安心點!
