漏洞 - 資安趨勢部落格

無伺服器應用程式(Serverless Applications)：它們在DevOps代表什麼?

2018 年 05 月 08 日2018 年 04 月 24 日趨勢科技 TrendMicro

資安研究人員指出，在超過1,000個開放原始碼的無伺服器應用程式中，有21%具有嚴重漏洞或設定錯誤。他們還指出有6%將敏感資料（如API金鑰和帳號密碼）儲存在可公開存取的檔案庫中。

什麼是無伺服器應用程式？

“無伺服器”有點不精確。應用程式在第三方雲端基礎設施上運行（如Amazon Web Service（AWS）的Lambda，微軟的 Azure Functions和Google的Cloud Functions）。它們沒有使用專屬伺服器、虛擬機或容器(container)；只有應用程式的程式碼在雲端伺服器上執行直到完成任務。

無伺服器應用程式體現了新興的功能即服務（FaaS）模型，將雲端運算轉變成一個平台，企業可以用來開發、部署和管理其應用程式，無需建立自己的基礎設施。

透過“無伺服器”，開發人員和企業受益於其靈活性和自動化能力。它也可以是推出應用程式的一種可擴展且高經濟效益的方式，因為不需要配置或維護專屬伺服器，安裝/管理軟體或運行環境。

[InfoSec指南：緩解Web注入攻擊]

無伺服器應用程式最常見的安全問題是什麼？

安全研究人員指出，大多數漏洞和弱點是因為實際應用程式中所用的不安全程式碼等問題所造成。他們發現這些是開放原始碼無伺服器應用程式最常見的安全問題：

資料注入 – 不可信或未經處理的輸入在應用程式元件（例如儲存、資料庫和通知系統）之間傳輸
認證機制
雲端儲存系統的錯誤授權設定
應用程式請求或授予的權限
監控和記錄功能不足
來自第三方套件的不安全程式碼

繼續閱讀

CIGslip 駭客技巧可讓駭客避開 Microsoft Code Integrity Guard 程式碼完整性保護機制

2018 年 03 月 14 日2018 年 03 月 20 日趨勢科技 TrendMicro

資安研究人員發現了一種可避開 Microsoft Code Integrity Guard (CIG) 程式碼完整性保護機制的攻擊技巧，將惡意程式庫注入受 CIG 保護的應用程式和執行程序，例如 Microsoft Edge 瀏覽器。

CIG 如何運作？

CIG 是從 Windows 10 和 Windows Server 2016 開始導入的一項程式碼保護機制，屬於 Device Guard 裝置保護機制的一環，Microsoft 的 Edge 瀏覽器即支援 CIG。第三方軟體廠商也可在自己的應用程式當中加入 CIG 機制。支援 CIG 的應用程式只能載入 Microsoft 和 Windows Store 簽署的動態連結程式庫 (DLL) 和二進位檔案，如此可防止應用程式被注入不肖的程式碼。此外，CIG 也可攔截銀行木馬程式在瀏覽器 (如 Edge) 內顯示網路釣魚內容的程式碼。

[資訊安全指南：如何防範網頁注入]

CIGslip 如何避開 CIG 機制？

這個稱為「CIGslip」的攻擊技巧能避開 CIG 的保護機制，不需在系統記憶體內注入未經簽署的程式碼。惡意程式可利用 CIGslip 的技巧模仿正常 DLL 載入執行程序的方式來避開 CIG 的保護。接著，將無 CIG 保護的執行程序內部的惡意程式碼載入受 CIG 保護的執行程序當中，這就是駭客將其程式碼注入應用程式的方式。繼續閱讀

電子郵件軟體Exim爆漏洞,超過40萬台伺服器面臨嚴重漏洞風險

2018 年 03 月 08 日2018 年 03 月 13 日趨勢科技 TrendMicro

台灣研究人員最近在被廣泛使用(但低調)的電子郵件軟體Exim中發現一個嚴重的漏洞。如果遭受攻擊，這個漏洞可以讓攻擊者遠端執行惡意程式碼。安全報告指出至少有40萬台伺服器面臨風險。

這是一個影響廣泛的問題，尤其是因為網路上的郵件伺服器有56%運行Exim(根據2017年3月的調查)。Exim是個郵件傳輸代理程式(MTA)，將郵件從寄件者傳送到收件者的軟體，基本上是用作中繼程式。

Exim開發人員已經在版本4.90.1修復了此漏洞，此版本在2月8日發布(漏洞報告發布後三天)。他們建議使用者要立刻安裝這個修補程式，並且表示之前的所有版本都已經過期。但是考慮到受影響伺服器的數量，可能需要數週甚至數個月才能更新完所有有漏洞的伺服器。

Exim漏洞的詳細資訊

研究人員將此問題歸類為”認證前遠端程式碼執行”漏洞，並將其編號為CVE-2018-6789。這是位於base64解碼函式內的單字元緩衝區溢位問題。透過將特製內容送入有漏洞的Exim伺服器就可能讓攻擊者遠端執行程式碼。繼續閱讀

SgxPectre可從Intel SGX Enclave取得資料

2018 年 03 月 07 日2018 年 03 月 13 日趨勢科技 TrendMicro

俄亥俄州立大學最近的一篇研究報告詳細介紹英特爾(Intel)軟體防護擴充指令集(SGX)遭受Spectre攻擊的最新情況。SGX是英特爾(Intel)現代處理器的一項功能，它將選定程式碼及資料管控在”飛地(enclave)”以保護它們不會被洩露或竄改。如果這被研究人員稱為SgxPectre的攻擊成功，攻擊者就可以從飛地(enclave)取得資料。

當使用者在應付今年一月所披露的英特爾(Intel)處理器漏洞Meltdown和Spectre時，這些嚴重漏洞似乎並未影響到SGX飛地(enclave)。飛地(enclave)的安全設計是即使是作業系統也不能存取其內容。

這個攻擊使用了Spectre漏洞加上現有SGX執行時函式庫(runtime library)內有弱點的程式碼，可以完全存取受防護飛地(enclave)的內容。這些漏洞存在於執行時函式庫(runtime library) – Intel SGX SDK，Rust-SGX和Graphene-SGX特別被指出。

研究人員展示這個漏洞攻擊時補充：”SGXPECTRE建立了惡意的SGX飛地(enclave)來與其他飛地(enclave)共存，再使用旁路攻擊(side-channel)觀察快取追蹤和分支預測延遲。” 繼續閱讀

Uber 爆漏洞,雙重認證機制出包

2018 年 02 月 14 日2018 年 02 月 13 日趨勢科技 TrendMicro

2017 年 11 月，全球叫車共乘大廠 Uber 陷入了一場資料外洩風暴，該公司被揭發有 5,700 萬名司機和乘客的資訊外流到網路上。一月底又出現了另一個資安問題，研究人員 Karan Saini 發現 Uber 有一個系統漏洞可讓駭客跳過 Uber 應用程式的雙重認證 (2FA) 機制。

該公司早在 2015 年就開始實驗雙重認證，希望能取代電子郵件和密碼的簡單認證方式。然而，這項功能卻因為 Uber 應用程式的登入方式而使得駭客有可能跳過這項安全機制。根據 Saini 提供的詳細資料指出，使用者只要有電子郵件和密碼就能登入其帳號。接著，使用者可以在同一個瀏覽器階段切換到 Uber 的「help」(協助) 子網域，然後再用相同的登入憑證就能登入。

Uber 公司已在本文截稿前修正了該問題，並且說明這有可能是其內部資安團隊為了測試評估各種雙重認證技術的效果而導致的問題。同時，該公司也表示並非所有裝置都預設使用雙重認證，只有在適當的情況下才會使用，也就是當發現有可疑活動的時候。

雙重認證的重要性

隨著資料外洩與資訊竊盜案件日益頻傳，不論企業機構或一般消費者都應開始考慮淘汰傳統的單一認證機制，改用雙重認證。對企業機構來說，這意味著必須在其系統內加入雙重認證，對一般消費者來說，這意味著要確實啟用這項機制 (如果不是預設使用的話)。

此案例告訴我們，即使是雙重認證系統也並非完美。更何況，網路犯罪集團還可透過網路釣魚或惡意程式的方式來克服這項機制。不過，多一分防護總是比少一分好，所以雙重認證畢竟還是比單一認證來的安全。而且雙重認證不一定會比較複雜，因為大多數的雙重認證都只是需要多一封手機簡訊或多一個應用程式 (後者較為安全) 來進行雙重認證而已。

所有企業機構，尤其是需要經手或儲存大量客戶資料的企業，都應優先在系統當中加入額外的安全機制。雙重認證是一道容易架設的安全機制，而且不論對企業或使用者來說都不需太複雜的步驟。

請參考這篇「如何設定雙重認證 (2FA)」來保護您的網路帳號。

原文出處：Bug Allows Attackers to Bypass Uber’s Two-Factor Authentication System