微軟 - 資安趨勢部落格

趨勢科技將繼續為舊版 IE提供防護

2016 年 01 月 27 日2016 年 01 月 28 日趨勢科技 TrendMicro

Microsoft 宣布停止支援舊版的 Internet Explorer 瀏覽器，也就是 IE 8、9、10。這項聲明是 2016 年 1 月份例行安全更新 (Patch Tuesday) 所發布消息之一，同時間發布的其他消息還有 Windows 8 也將終止支援。這意味著，Microsoft 將不再更新舊版的 IE 瀏覽器，即日起唯有使用最新的 IE 版本 (Internet Explorer 11) 才能獲得更新和修補 (除少數例外之外) 。不論是一般使用者或企業用戶，只要沒有升級到最新的瀏覽器版本，就有可能暴露在危險當中。

舊版的 IE 瀏覽器將不再收到任何修補程式，任何有關舊版

瀏覽器的安全問題也將不再修正，如此一來，使用舊版瀏覽器的系統將無法抵抗新發現的威脅。萬一出現新的專門針對舊版 IE 的零時差漏洞攻擊，系統將因無修補程式可用而受到攻擊。此一漏洞修補落差將隨著時間而擴大，其潛在攻擊風險也將越來越高。過去，IE 瀏覽器一直是漏洞攻擊套件最愛的目標，最近就出現了專門攻擊 Hacking Team 資料外洩揭露之某漏洞的案例。

目前還有相當多的使用者仍暴露在危險當中，根據 Net Market Share 在 2015 年 12 月所做的瀏覽器使用率調查顯示，將近 20% 的使用者仍在使用舊版 IE 瀏覽器：

圖 1：2015 年 12 月瀏覽器使用率調查。

此問題的解決之道，依然是升級至最新版的瀏覽器。升級至最新版本不僅可以藉由新版本的功能來提升安全，還可提供更順暢的使用體驗，並且符合最新的網站標準。不過，有些企業可能需要更多時間來測試並解決瀏覽器相容性問題，避免其仰賴 IE 的內部網站應用程式無法運作。針對這類企業，Microsoft 的EMET 倒是一個相當不錯的實用工具。繼續閱讀

加速SHA-1憑證棄用時間？

2015 年 11 月 11 日2015 年 11 月 23 日趨勢科技 TrendMicro

作者：Chris Bailey（趨勢科技SSL總經理）

SHA-1憑證更換成SHA-2憑證的期限可能會提早到2016年6月1日，而非原先的2016年12月31日。

在2013年，微軟宣稱SHA-1憑證會在接下來幾年出現顯著的安全問題，因此在2016年1月1日過後不能再簽發。大多數瀏覽器在微軟的帶動下也表示將會在2017年1月1日停止支援SHA-1憑證，要求伺服器所有者在期限前升級到SHA-2憑證。Google Chrome已經在瀏覽器介面上對於會在2016年到期的SHA-1憑證顯示警告標誌（圖A），以及2016年後過期的SHA-1憑證顯示不安全標示（圖B）。

圖A

圖B

最近的發展

你可能在最近看過一篇學術研究表示SHA-1憑證易受駭客攻擊，所以憑證並不如之前所想的那樣安全。報導也舉用了這項研究。

因為此一對網站管理者的新安全風險，各大瀏覽器都在考慮要立即變更計劃。例如，Mozilla可能在2016年7月1日在其瀏覽器介面和應用程式棄用SHA-1憑證，而非2016底。微軟正在考慮提前緊急棄用日期到2016年6月1日。

Mozilla部落格：https://blog.mozilla.org/security/2015/10/20/continuing-to-phase-out-sha-1-certificates/

微軟部落格：https://blogs.windows.com/msedgedev/2015/11/04/sha-1-deprecation-update/

如果這些提前棄用日期被確認，你所使用的SHA-1憑證在2016年6月1日可能會導致使用者訪問你網頁在瀏覽器介面上出現安全警示。這些瀏覽器廠商甚至可能會要求憑證中心（CA）如趨勢科技在2016年6月1日的提早棄用日期撤銷所有SHA-1憑證。

給你的強烈安全建議

因為這些發展，如果你的伺服器仍在使用SHA-1憑證，趨勢科技強烈建議你在2016年5月31日前更換為SHA-2憑證。可以的話越早越好。

此外，當你確認已經安裝了新的SHA-2憑證，我們建議你接著要撤銷舊的SHA-1憑證。

在更換SHA-1憑證前，必須先檢查你的伺服器和系統軟體是否支援SHA-2憑證。以下是CA Security Council在2014年所列出支援SHA-2的部分系統：

https://casecurity.org/wp-content/uploads/2014/09/SHA256-Support-List.pdf

我們了解此一建議可能對產生額外的負擔，但我們相信對於你的系統安全會有顯著的改善。

Chris Bailey的自介：

Chris Bailey是趨勢科技SSL的總經理。在此之前，Bailey擔任憑證中心（CA） – AffirmTrust的執行長兼共同創辦人，於2011年被趨勢科技所收購。他同時也是GeoTrust的共同創辦人兼技術長，這是VeriSign在2006年所併購的世界主要憑證中心（CA）。Bailey也是CA/Browser論壇和CA Security Council的創始會員之一。

＠原文出處：Accelerated Deprecation Date for SHA-1 Certificates?

假免費 Windows 10 更新通知信暗藏勒索軟體

2015 年 08 月 11 日2015 年 09 月 02 日趨勢科技 TrendMicro

隨著眾所矚目的 Windows 10 (WIN10)正式上市，這股熱潮已經引來網路犯罪集團的覬覦。最近，趨勢科技的工程師已經發現多起相關垃圾郵件(SPAM)攻擊，其中一個就是假冒Microsoft新版作業系統免費更新的通知郵件。如同其他社交工程（social engineering ）郵件一樣，該郵件暗藏了危險的附件檔案，一個勒索軟體 Ransomware的壓縮檔，更確切一點就是CTB-Locker加密勒索軟體，也就是TROJ_CRYPCTB.RUI 變種。

繼續閱讀

Schannel 漏洞=Windows 版的 Heartbleed漏洞？在進行永不停歇的漏洞管理上，虛擬修補程式可能不是萬靈丹

2014 年 11 月 18 日2014 年 11 月 19 日趨勢科技 TrendMicro

隨著潛藏在 Microsoft Windows 超過十年的 Secure Channel( SChannel )安全通道漏洞公開披露，趨勢科技建議 Windows使用者立即修補自己的系統以防範攻擊。Windows SChannel是Microsoft 的資料安全傳輸平台，此漏洞將造成一個可能遭蠕蟲入侵的情況，讓駭客不需借助使用者的操作就能取得系統控制權。

這個被戲稱為「 Winshock」( Windows 震撼)的漏洞，其嚴重性被 Common Vulnerability Scoring System ( CVSS) 通用漏洞評分系統評定為 9.3分 (總分10)。如此高的嚴重性，再加上駭客向來喜歡在漏洞披露之後迅速發動一波攻擊，趨勢科技 Deep Security立即提供了解決方案來對抗這個漏洞。此外，Microsoft也在本月的定期安全更新當中釋出了修補程式。

趨勢科技資深技術顧問簡勝財指出：「這又是一個像Heartbleed(心淌血)漏洞那樣潛在已久而且可能影響深遠的漏洞。當爆出這類新聞時，網路犯罪者通常會立刻卯足全力開發出專門利用新漏洞的攻擊。因此，大眾最重要的是迅速採取應變措施以防範系統遭到入侵或破壞。趨勢科技呼籲客戶將解決此漏洞列為第一要務，而我們也提供了Microsoft修補程式之外的補強措施。」

趨勢科技專家建議客戶採取下列行動：

立即安裝Microsoft修補程式。
改用Internet Explorer以外的瀏覽器來降低風險。
使用Microsoft支援中的新版Windows平台。

=========================================================
Schannel 漏洞=Windows 版的 Heartbleed漏洞？在進行永不停歇的漏洞管理上，虛擬修補程式可能不是萬靈丹

有線電視和衛星電視都製作了許多精彩的內容，但也有很多是垃圾節目，身為消費者的我們會試著去進行篩選。但就如我們都會發現的，要找到對我們來說重要而有意義的內容是件困難的工作。你需要依賴別人的意見，而不是靠自己痛苦的坐在電視前研究哪些會有意義。沒人想要在沒有好處的事情上浪費時間。

如果我們覺得當個沙發馬鈴薯都是件困難的工作，資訊人員和安全專家所面對的就是極其困難的任務，必須去觀看和過濾他們基礎設施內的各個頻道。被迫無時無刻在他們環境裡各種持續不斷出現的噪音中判斷出哪些跡象需要加以注意。微軟在這個禮拜所推出的最新週期性修補程式是安全專家和資訊工程師另一項重擔的例子，必需去處理層出不窮的漏洞。Schannel漏洞攻擊絕對是必看的頻道，必須叫第四台來馬上修復。

橫跨全球的變更管理會議已經舉行以確認最新公布漏洞的營運嚴重性和風險，以及補救程序和時刻表。讓我們面對現實，這對任何人來說都不是簡單的程序。有些組織具備相當成熟的方法和程序來在自己環境內進行關鍵修補程式及週期性修補程式的更新。但絕大多數組織都沒有辦法做到如此成熟的境界，更別說工作人員需要不停的面對持續出爐的關鍵修補程式。這是個以指數成長的問題，沒辦法用傳統方法解決。

社群內有許多關於這項漏洞的出現和嚴重程度。意見從「它是Windows版本的Heartbleed心淌血漏洞」必須立即加以注意，到「還沒有任何漏洞攻擊碼或案例出現」所以讓我們謹慎點，在正常的修補週期進行更新。兩邊的說法都沒有錯，該怎麼做則取決於組織，可以有各種不同的做法。許多系統永遠無法及時得到修補，直到為時已晚。繼續閱讀

【趨勢科技新聞快訊】微軟CVE-2014-4114 PPTX/PPSX 零時差攻擊已現身台灣

2014 年 10 月 22 日2014 年 10 月 22 日趨勢科技 TrendMicro

微軟才在上週二發布的例行性安全公告，其中新發現的零時差漏洞CVE-2014-4114，之前傳出有駭客透過此漏洞成功竊取北大西洋公約組織與歐盟等企業的重要資料。日前趨勢科技已在台灣接獲首例透過此漏洞的攻擊案例，呼籲企業及個人用戶小心防範。

目前已在台灣發現駭客透過此漏洞攻擊的蹤影

一封名為「檢送簡報資料」的郵件，其中包含了一個名為「雲端資安.ppsx」的附件檔(如下圖)。若不慎開啟，內嵌在文件裡的PE病毒將被自動執行。造成使用者電腦暴於資料被竊的風險中。

若有安裝趨勢科技產品，嘗試開啟時可偵測此病毒程式如下圖:

此漏洞的詳細內容如下：

此漏洞存在於Microsoft Windows系統與伺服器當中的OLE封裝管理程式。
OLE封裝程式 (packager) 可下載並執行 INF 檔案。目前在所觀察到的案例中，尤其是在處理 Microsoft PowerPoint 檔案時，封裝程式可讓封裝的 OLE 物件參照任意外部非信任來源的檔案，如：INF 檔案。
當攻擊得逞時，此漏洞可讓駭客從遠端執行任意程式碼。
趨勢科技產品已經可以偵測利用此漏洞的病毒程式，病毒名稱為”TROJ_MDLOAD.PGTY”。當開啟駭客製作的 Power Point檔案之後，會下載一個INF檔惡意程式(被偵測為”INF_BLACKEN.A”)，並嘗試下載與執行一支被偵測為”BKDR_BLACKEN.A”的後門程式，可讓駭客遠端遙控進行不當行為。

由於此一攻擊方式並不特別複雜，很有可能導致駭客們大量濫用，趨勢科技針對此波零時差攻擊提出建議：

趨勢科技用戶：

趨勢科技 APT 防護解決方案已可針對此漏洞進行防護，透過”惡意文件指紋偵測引擎”(ATSE靜態引擎)成功偵測並攔阻此社交工程之惡意文件。呼籲用戶請盡快更新最新防毒元件，以偵測此病毒程式。

趨勢科技用戶請更新最新防毒元件，以偵測此病毒程式。若有使用 TrendMicro Deep Security與 OfficeScan IDF plug-in的用戶們亦可套用下方DPI規則進行偵測。

1006290 – Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114)
1006291 Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114) – 1

一般用戶：

建議用戶盡快針對此一Windows作業系統的漏洞進行修補，在完成修補前，不要隨意開啟陌生人寄來的PowerPoint檔案，以降低被攻擊的風險。一般使用者並透過趨勢科技PC-cillin 2015雲端版協助偵測可疑的PowerPoint 檔案，以免落入駭客陷阱。
詳細的攻擊資訊及手法可參考: