漏洞 - 資安趨勢部落格

Windows 即服務 (Windows-as-a-Service) – 安全性與挑戰

2016 年 02 月 16 日2016 年 02 月 16 日趨勢科技 TrendMicro

從記錄上來看，微軟對提供自家產品支援一向相當慷慨，就變已經發表了新版本。比方說Windows XP（在2001年發表）提供更新到2014年4月。然而，來自微軟的最新訊息顯示此一政策正在逐漸改變。

看看微軟最近一些關於支援和升級的發展：

進行非常積極的Windows 10升級活動。像是免費提供Windows 10升級給已授權Windows 7和8/8.1的使用者；事實上，它現在已經成為建議的更新。
已經終止對舊版本Internet Explorer的支援，要求使用者升級到最新也是最後一版的Internet Explorer 11。
新一代的Intel、AMD和高通處理器需要Windows 10才能從微軟取得支援；要轉移到新的處理器系列也將需要最新版本的Windows。

每一個事件都可以單獨加以解釋。但放在一起就很清楚其方向：微軟希望使用者可以使用較為一致的「平台」，所用的軟體差異相對較小。這平台也將獲得更小但更頻繁的功能更新 – 這訊息已經傳達給微軟Windows測試人員計畫（Windows Insider Program）的成員。

對於長期的微軟觀察家來說，這並非新消息。早在Windows 10推出消費者預覽版時，「Windows即服務」的想法就開始在進行討論。這跟其他雲端廠商所使用的「即服務（as-a-Service）」概念並不完全一樣，但有許多相似處：服務廠商可以很容易的推出更新給所有的使用者，因為服務就運行在自家伺服器上。使用者並不是真的有機會不使用服務廠商所提供的更新。在這種情況下，「服務」（Windows）並非運行在伺服器上，但它仍會不停地接收到來自服務廠商（微軟）的更新。繼續閱讀

Linux 核心漏洞影響 PC、伺服器及 Android KitKat 4.4 裝置

2016 年 02 月 05 日2016 年 02 月 04 日趨勢科技 TrendMicro

最近，Linux 核心出現了一個過去從未被發現的漏洞，導致全球數千萬 Linux PC 和伺服器皆受到影響。研究人員表示，此漏洞可讓駭客將本機使用者的權限提升至最高的系統管理員 (root) 等級，就連 Android KitKat 4.4 或更新版本的裝置也受影響。此漏洞最遠可追溯至 2012 年，受影響的 Linux 核心版本包括 3.8 或更新版本，而且是出現在應用程式用來儲存加密金鑰、認證碼及其他敏感安全資料的鑰匙圈 (keyring) 當中。駭客一旦攻擊成功，就能在 Linux 核心上執行程式碼以取得系統快取中的安全資料。截至漏洞揭露日期為止，資安小組仍在研究可能影響的裝置範圍。繼續閱讀

Microsoft 已告別 Internet Explorer (IE)，您也該考慮看看

2016 年 01 月 12 日2016 年 01 月 26 日趨勢科技 TrendMicro

Microsoft 設定的 IE 8、IE 9、IE 10 支援期限已到 (1 月 12 日)，Microsoft 建議使用者將這些版本的瀏覽器升級到最新的 IE 11 或者改用最新推出的 Microsoft Edge 瀏覽器。該公司表示：「2016 年 1 月 12 日起，只有最新版的 Internet Explorer (限目前仍支援的作業系統) 未來才會收到技術支援和安全更新。」根據一項獨立研究顯示，目前仍有將近3.7億的使用者 (也就是 45% 的 IE 用戶) 仍在使用舊的版本。

舊版瀏覽器的使用者在過了支援期限之後應該會收到一份「終止支援」通知，而舊版的瀏覽器也將不會再收到任何修補或修正程式。Microsoft 的技術支援網站寫道：「Internet Explorer 11 是最好的 IE 版本，未來也將持續收到安全更新、相容性修正以及技術支援，其支援的系統包括Windows 7、Windows 8.1 和 Windows 10。Internet Explorer 11 不僅更安全、效能更好、相容性更高，而且支援今日網站及服務的網路標準。Microsoft 鼓勵所有客戶升級到最新的瀏覽器並隨時保持更新，以享受更快、更安全的上網體驗。」

Microsoft 呼籲使用者升級或採用其他瀏覽器來保護系統，並防範任何潛在風險。該公司強調，雖然舊版瀏覽器仍可以運作，但使用者將因為再也無法取得支援而暴露在更多未修補漏洞的危險當中：「安全更新可修補一些可能遭到惡意程式攻擊的漏洞，進而提升使用者與使用者資料的安全。定期發布的安全更新可防止電腦遭到惡意攻擊，因此隨時保持更新非常重要。」

多年來，由於 Internet Explorer 存在著許多安全漏洞，因此已成為網路犯罪集團最愛的攻擊目標之一。事實上，光 2014 年，該瀏覽器就被發現了 243 個記憶體損毀漏洞，儘管這些漏洞目前都已修補。

[延伸閱讀： Microsoft Edge 瀏覽器如何讓 Windows 10 更安全 (How Microsoft Edge improves security on Windows 10)]

有鑑於大量瀏覽器漏洞已損及公司聲譽，Microsoft 在最新的作業系統上推出了一個叫做 Edge 的全新預設瀏覽器。根據趨勢科技威脅分析師 Henry Li 指出，該瀏覽器「有系統地去除了一些今日使用環境再也用不到的功能 (以及程式碼) 來縮小潛在的攻擊面。」

原文出處： Microsoft Says Goodbye to Internet Explorer; You Should Too

新的棘手問題：Pawn Storm零時差攻擊如何閃過Java的點擊播放（Click-to-Play）保護

2015 年 10 月 26 日2015 年 10 月 26 日趨勢科技 TrendMicro

趨勢科技在幾個月前披露Pawn Storm(典當風暴)使用當時尚未被發現的零時差Java漏洞（CVE-2015-2590）進行攻擊。在當時，我們注意到另一個漏洞被用來繞過Java的點擊播放（Click-to-Play）保護。這第二個漏洞（CVE-2015-4902）現在已經被Oracle在每季定期更新中修復，這要歸功於趨勢科技的發現。

點擊播放（Click-to-Play）要求使用者在執行Java應用程式前點擊它通常會顯示的地方。它會詢問使用者是否真的確定自己要執行Java程式碼。

繞過點擊播放（Click-to-Play）保護讓惡意Java程式碼可以在不顯示任何警告視窗下執行。這對Pawn Storm來說非常有用，因為它在今年初使用針對這些漏洞的攻擊碼來對北大西洋公約組織（NATO）成員和白宮進行針對性攻擊。Pawn Storm本身以頻繁使用零時差攻擊而知名：最近它被發現將Adobe Flash未修補的漏洞用在其攻擊的一部分。（此漏洞已經被Adobe修復。）

當我們私下披露此漏洞時，Oracle承認有此漏洞。用來繞過這種保護的方法很巧妙；在我們徹底討論此漏洞前先讓我們討論一些背景資料。

Oracle提供Java網路啟動通訊協定（JNLP）技術來讓需要遠端伺服器上資源的應用程式可以在客戶端桌面上啟動。它可以用來部署applet或web start應用程式。在此攻擊中，攻擊者利用JNLP來部署applet。

要實現這做法，Java提供了目錄服務讓Java軟體客戶端透過名稱發現和查找物件。這就是所謂的JNDI（Java命名和目錄介面）。這種機制是Java遠端程序呼叫的基礎，稱為RMI（遠端方法調用）。JNDI有些基本概念和此攻擊有關，即：

Context – 一組名稱和物件的綁定。換言之，Context物件可以解析一個物件的名稱。這個物件有數種類型；RegistryContext是其中之一。
ContextFactory – context物件的工廠（factory），其為呼叫者建立Context物件。RegisterContextFactory是建立ContextFactory物件的工廠（factory）。

下圖顯示此攻擊是如何運作：

攻擊者需要完成三件事以進行攻擊：

攻擊者將圖2中的HTML碼加到一個惡意網站。
攻擊者建立具備公開IP地址的RMI註冊伺服器。
攻擊者建立另一個同樣具備公開IP地址Web伺服器來儲存惡意Java程式碼。

圖2.、HTML碼插入到一個惡意網站

下面是攻擊進行的過程：

在受害者的電腦上，瀏覽器程序產生（fork）出exe程序（Java客戶端的一部分）來請求惡意網站上的init.jnlp。這由圖2內的HTML碼所造成（Java網路啟動通訊協定用一個.jnlp檔案來透過Java Web Start技術來啟動Java程式碼。）

惡意網站傳回jnlp。讓我們來看看此檔案的內容：

繼續閱讀

【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭

2015 年 10 月 14 日2015 年 10 月 15 日 Trend Labs 趨勢科技全球技術支援與研發中心

趨勢科技研究人員發現Pawn Storm正利用新的 Adobe Flash 零時差漏洞來發動新一波攻擊。Pawn Storm 是一個存在已久的網路間諜攻擊行動，以攻擊知名目標聞名，而且近兩年來更使用了 Java 有史以來第一個零時差漏洞。

在最近一波攻擊行動當中，Pawn Storm攻擊了全球多個外交部。受害目標皆收到了含有漏洞攻擊連結的魚叉式網路釣魚郵件。其電子郵件和網址都經過精心設計，看起來都指向一些正常的時事新聞網頁，其使用過的電子郵件主旨包括：

「自殺汽車炸彈攻擊北約在喀布爾的護送車隊」
“Suicide car bomb targets NATO troop convoy Kabul”

「敘利亞軍隊在普丁的空襲掩護下推進」
“Syrian troops make gains as Putin defends air strikes”

「以色列空襲迦薩走廊上的目標」
“Israel launches airstrikes on targets in Gaza”

「俄羅斯警告將對美國在土耳其和歐洲提高核武的行為做出回應」
“Russia warns of response to reported US nuke buildup in Turkey, Europe”

「美軍表示有 75 位美國訓練的反抗軍將回到敘利亞」
“US military reports 75 US-trained rebels return Syria”

值得注意的是，其散布這項新零時差漏洞攻擊的網址與今年四月針對北大西洋公約組織和美國白宮的攻擊所用的網址類似。

近來，各國外交部門已成為 Pawn Storm 特別關注的對象。除了惡意程式攻擊之外，歹徒也架設了各種假冒的 Outlook Web Access (OWA) 伺服器來攻擊各國外交部門，從事一些簡單卻極為有效的網路釣魚攻擊 ( credential phishing attacks)。某個外交部甚至被竄改了內送郵件的 DNS 設定。這表示，Pawn Storm在 2015 年當中有好長一段時間一直在攔截該機構所收到的電子郵件。

根據我們的分析顯示，這個 Flash 零時差漏洞至少影響了 Adobe Flash Player 19.0.0.185 和 19.0.0.207 兩個版本。