零時差漏洞 - 資安趨勢部落格

又來了!! Hacking Team 資料外洩添新的 Adobe Flash 零時差漏洞 (CVE-2015-5123)

2015 年 07 月 12 日2015 年 07 月 13 日趨勢科技 TrendMicro

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊，總量近400GB的公司內部文件,檔案程式等資料被公開。在此次洩露的文件中，包含了Hacking Team的客戶資料、財務文件、合約、內部E-mail郵件,根據報導維基解密（WikiLeaks）公布了Hacking Team內部超過100萬筆電子郵件，並提供了搜尋機制。其中包含了601筆與台灣相關資料。

在連續兩個 Adobe Flash Player 零時差漏洞因 Hacking Team 資料外洩事件而曝光之後，趨勢科技又發現了另一個 Adobe Flash Player 零時差漏洞 (CVE-2015-5123)。Adobe 在接獲我們通報之後已發布了一項安全公告。此漏洞的分類為重大漏洞，因為駭客一旦攻擊成功，就可能取得系統的掌控權。此漏洞的影響層面涵蓋 Windows、Mac 和 Linux 平台上的所有 Adobe Flash 版本。

問題根源分析

根據趨勢科技的分析，此漏洞一樣是valueOf 技巧所導致的問題。不過有別於前兩個 Flash 零時差漏洞的是，它利用的是 BitmapData 物件，而非 TextLine 和 ByteArray。

以下是觸發該漏洞的步驟：

建立一個新的 BitmapData 物件，準備好兩個 Array 物件，產生兩個新的 MyClass 物件，然後將 MyClass 物件分別指派至前面兩個 Array 物件。
覆寫 MyClass 物件的 valueOf 函式，然後呼叫 paletteMap 並傳入前述兩個 Array 當成參數。BitmapData.paletteMap 將觸發 valueOf 函式。
在 valueOf 函式中呼叫 dispose() 來釋放 BitmapData 物件的記憶體，導致 Flash Player 當掉。

目前趨勢科技正密切監控是否有任何駭客攻擊運用到這項概念驗證 (POC) 漏洞。一有最新消息或新的發現，我們會立即更新這篇文章。由於 Hacking Team 資料外洩事件已經廣為公開，因此使用者已有遭到攻擊的危險。所以，建議使用者暫時先停用 Adobe Flash Player，直到 Adobe 釋出修補程式為止。繼續閱讀

新舊比較：APT 目標針對性攻擊所用的漏洞

2014 年 12 月 10 日2014 年 12 月 03 日趨勢科技 TrendMicro

最近一起新發現的網路間諜活動被大肆的報導著，由被稱為「Sandworm Team」的團體所發動。這起攻擊的核心是能夠影響所有現行支援中的微軟Windows版本和Windows Server 2008及2012的零時差漏洞。

根據趨勢科技的分析，該漏洞讓攻擊者能夠透過微軟Windows和Server上的OLE封裝管理程式漏洞來執行另一個惡意軟體。之前的報告說明該漏洞被用在針對幾個組織和產業的針對性攻擊中。趨勢科技研究人員的分析顯示，這攻擊和資料蒐集與監控系統（SCADA）有關目標有著密切關連。此外，這個漏洞很快就被用在另一起採用新規避技術（將惡意檔案嵌入PPSX檔案）的攻擊。

有時舊，有時新

並不是只有零時差漏洞會被用在針對性攻擊上。在2014年上半年，趨勢科技看到攻擊者仍然重度的使用較舊的漏洞。最好的例子莫過於CVE-2012-0158，這是跟Windows公共控制項有關的漏洞。儘管自2012年初就有了修補程式，但這漏洞已被證明是APT攻擊 /目標攻擊中不可或缺的工具，包括了PLEAD攻擊活動。

當然，這並不代表零時差漏洞沒有在2014年造成威脅。一個針對好幾個大使館的APT攻擊 /目標攻擊被發現會利用一個Windows零時差漏洞。這個漏洞在幾天後被修補 –值得注意的是這發生在Windows XP停止支援前，而Windows XP也是受影響的平臺。另一個零時差漏洞也被Taidoor攻擊活動的幕後黑手重度的使用在攻擊中。這個零時差漏洞在三月後期被發現，修補程式在四月的禮拜二更新推出。

各擅勝場

漏洞幾乎都會被廠商加以修補，尤其是被認為是關鍵性的漏洞。但儘管有修補程式存在，也不是所有的使用者和組織都會加以更新或立即更新。原因之一是更新修補程式可能會中斷營運。或者是會經過較長的延遲時間才更新修補程式，因為在企業環境中更新修補程式需要先經過測試。

從這角度上，攻擊者會因為「可靠性」而使用舊漏洞。有些已經充分測試過的漏洞可以在目標網路和組織中發現。並且因為這些漏洞已經存在多年，讓攻擊者更能夠去產生完美的惡意軟體或威脅來利用此漏洞。

在另一方面，新的漏洞可以讓攻擊者取得上風。零時差漏洞可以讓所有人都措手不及，包括了安全廠商。供應商要不斷地去建立必要的安全措施和對應的修補程式，零時差漏洞可以利用「安全空窗期」來攻擊，甚至能夠影響最安全的環境。在這個意義上，零時差漏洞可以被認為更有效也更具危險性。

如果受影響平臺或應用程式已經過時或超過支援期限，那麼零時差漏洞會更加有效。因為沒有修補程式可用，可以進行零時差漏洞攻擊的安全空窗期就會變成無限長。

一個很好的例子是一個目標攻擊利用了IE瀏覽器漏洞。這個漏洞（CVE-2014-1776）受到大量的關注，因為最初報導指出微軟不會發表Windows XP上的修補程式。不過很快就有修補程式釋出在該平臺上。

繼續閱讀

《 CTO 看趨勢》漏洞揭露 – 開放還是保密？

2013 年 07 月 08 日2013 年 07 月 02 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Raimund Genes（技術長）

在五月底，兩個Google安全工程師宣布來自Google總部關於零時差漏洞和揭露的新政策。他們強烈建議，已經出現在外的零時差漏洞資訊，廠商應該要在被通知後不超過七天內公布出來。理想狀況下，公告或修補程式都應該由廠商提供，但他們也表示，如果廠商沒有動作，研究人員應該要自己公布詳細的資訊。

這是個非常積極的作法。以微軟為例，對於重要修補程式並沒有設定公布期限：這需要在品質和時效性間尋求一個平衡點。要平衡這兩者並不容易。一方面，仍在活躍中的可攻擊漏洞會讓惡意軟體作者知道廠商的漏洞。另一方面，快速推出的修補程式可能會對應用程式和整體系統有負面影響，讓其更加脆弱。

幾乎每個安全廠商都曾經因為不小心而出現誤報。我們有許多的安全措施，像是白名單比對，但總是會有莫非定律。讓我們的產業因此影響了使用者的電腦。作業系統廠商在進行修補時要更加小心。他們需要有適當的品質保證，因為修補程式將會影響到數百萬台的電腦。

在我看來，七天後揭露的作法是合理而可行的，但期待在這時間內推出修補程式就不合理了。讓我們來看看Google本身會怎麼做。目前，有一個Google Android木馬程式正在擴散，它可以在「設備管理程式」中隱藏自己，讓安全軟體無法看到或試圖去清除它。這有可能是因為Android內的一個安全漏洞造成。Google可以在七天內解決這個問題嗎？讓我們拭目以待…

繼續閱讀

多個零時差漏洞概念證明攻擊碼威脅MySQL伺服器

2012 年 12 月 31 日2012 年 12 月 20 日趨勢科技 TrendMicro

在這今年的最後一個月，MySQL被一組零時差漏洞攻擊碼給淹沒了。這些都是由Kingcope所發表，他也公布了這些安全漏洞的概念證明（PoC）攻擊碼。

最新被發現的零時差漏洞會用多種方式來影響MySQL，像是應用程式崩潰/阻斷服務、升級權限、身份驗證繞過、Windows系統上的遠端管理者權限和堆積區（Heap）/堆疊區（Stack）溢位。這些漏洞已經被軟體廠商確認，並被分配了CVE編號：CVE-2012-5611、CVE-2012-5612、CVE-2012-5613、CVE-2012-5614、CVE-2012-5615。

兩個嚴重的安全問題，ExploitDB：23073和23083在MySQL上允許遠端身份認證過的攻擊者透過發送特製請求來取得Windows系統權限。

以下是其他的嚴重問題：

（CVE-2012-5611）：經由發送超長參數給GRANT FILE指令來發動，接著會導致堆疊緩衝區溢位。它讓遠端攻擊者可以執行任意程式碼，甚至導致資料庫崩潰。不過，要利用這個漏洞，必須要有有效的用戶名稱和密碼。
（CVE-2012-5612）：一連串特製的指令可以導致堆積緩衝區溢出漏洞，像是USE、SHOW TABLES、DESCRIBE、CREATE TABLE、DROP TABLE、ALTER TABLE、DELETE FROM、UPDATE、SET PASSWORD等。如果漏洞攻擊成功，可以讓身份驗證過的低權限遠端攻擊者去更改一個目前使用者的密碼成一個未定義值。
（CVE-2012-5614）：可以透過SELECT指令和一個包含大量獨特、嵌入元素XML的UpdateXML指令來造成服務崩潰。要成功利用此漏洞也需要身分認證過的有效使用者名稱和密碼。
（CVE-2012-5615）：MySQL內的列舉（Enumeration）漏洞，可以讓遠端攻擊者根據所產生的錯誤訊息來獲取所有有效的用戶名稱。
（CVE-2012-5613）：這不被視為軟體的安全漏洞，因為它是因為設定錯誤而造成。但它可以讓遠端認證過的使用者獲得管理者權限。一個有FILE權限的攻擊者可以建立跟MySQL管理者完全一樣權限的新使用者。

MySQL資料庫是有名的高效能、高可靠性和易於使用。它可以運行在Windows和許多非Windows平台上，像UNIX、Mac OS、Solaris、IBM AIX等。它一直是成長最快的應用程式，也被許多大公司所選用，像是Facebook、Google和Adobe等等。也因為它的普及，網路犯罪分子和其他攻擊者也肯定會盯上這平台。

為了幫助使用者解決這些問題，趨勢科技Deep Security已經發布了更新 – 12-032，包含一套新的DPI規則。建議使用者更新以下的DPI規則。

Exploit DB	CVE編號	DPI 規則名稱
23076 MySQL (Linux) Heap Based Overrun PoC Zeroday	CVE-2012-5612	1005264 – Oracle MySQL Server Command Length Restriction
23081 MySQL Remote Preauth User Enumeration Zeroday	CVE-2012-5615	1005045 – MySQL Database Server Possible Login Brute Force Attempt*
23078 MySQL Denial of Service Zeroday PoC	CVE-2012-5614	1005265 – Oracle MySQL Server Denial Of Service Vulnerability
23083 MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day		1005263 – Windows MySQL Server Remote Code Execution
23075 MySQL (Linux) Stack Based Buffer Overrun PoC Zeroday	CVE-2012-5611	1005266 – Oracle MySQL GRANT Command Stack Buffer Overflow Vulnerability
23077 MySQL (Linux) Database Privilege Elevation Zero day Exploit	CVE-2012-5613	1005266 – Oracle MySQL GRANT Command Stack Buffer Overflow Vulnerability
23073 MySQL 5.1/5.5 WiNDOWS REMOTE R00T (mysqljackpot)		1004177 – Oracle MySQL ‘COM_FIELD_LIST’ Command Buffer Overflow Vulnerability*

* 這些漏洞已經被包含在現有DPI規則內了。

趨勢科技的DPI規則可以保護使用者免受這些已知漏洞的攻擊。截至本文撰寫時，我們還沒看到任何利用這些概念證明碼進行的攻擊。

＠原文出處：Multiple Zero-Day POC Exploits Threaten Oracle MySQL Server作者：Pavithra Hanchagaiah（資深安全研究員）
想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

◎即刻加入趨勢科技社群網站,精彩不漏網

搜尋超級電腦病毒Stuxnet,搜尋結果頁面夾帶更多守株待兔惡意攻擊

2010 年 10 月 11 日2018 年 10 月 11 日趨勢科技 TrendMicro

假 Youtube 網頁,假防毒軟體,夾帶在搜尋頁面中趁機打劫

被稱為超級電腦病毒的 Stuxnet 蠕蟲,近日肆虐全球,網路犯罪者正利用 Stuxnet 蠕蟲到處肆虐的新聞熱潮來散發惡意程式。趨勢科技資安威脅高級研究員 Ivan Macalintal 發現，許多有關此蠕蟲的搜尋結果均遭到毒化。此次遭到 Black_Hat SEO黑帽搜尋引擎最佳化的一些搜尋字串包括：「stuxnet SCADA」、「stuxnet removal tool」、「stuxnet cleanup」、「stuxnet siemens」、「stuxnet worm」等等。某些已遭毒化的搜尋字串還高居搜尋結果頂端。其中有一個搜尋字串所指到的惡意 URL ({BLOCKED}lo-canada.org/2008/stuxnet.html) 會將使用者帶到一個專門攻擊 CVE-2010-0886 與 CVE-2010-1885 漏洞的網站。此外，還有某些搜尋結果會將使用者導向專門攻擊 PDF 和 SWF 漏洞的網站。該威脅分別命名為TROJ_PIDIEF.XE 和 SWF_AGENT.WAW。

事實上，可能招來的惡意程式很多，包括會在系統上植入其他惡意程式的下載程式在內，此外也包括 TROJ_FAKEAV.SMZU 這個假防毒軟體FAKEAV 變種。假防毒軟體FAKEAV 變種特別喜歡利用搜尋結果和新聞事件來誘騙使用者購買假防毒軟體。