趨勢科技 TrendMicro – 第 521 頁

< 資安新聞週報 > Android手機嚴重漏洞,就可造成手機全面癱瘓!/Windows 10的新瀏覽器安全嗎?

2015 年 08 月 05 日2021 年 12 月 23 日趨勢科技 TrendMicro

歡迎來到資安新聞週報，本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

影響 95% Android手機嚴重漏洞,只要一通特製多媒體簡訊(MMS),就可造成手機全面癱瘓!

趨勢科技發現最新Android系統漏洞，駭客可以利用藏有惡意程式的App 或是網頁，針對Android 行動裝置進行攻擊，一旦使用者安裝此App 或是瀏覽這些遭的網頁，將會開啟一個有害的 MKV 檔案，此檔案將會在裝置開機時自動執行啟動，造成手機無法接電話、收發簡訊或是螢幕全黑導致全面當機 !

Windows 10的新瀏覽器Microsoft Edge：有改進但也有新風險
Windows 10的新瀏覽器 Microsoft Edge 相對於Internet Explorer在安全性方面有顯著的加強。然而，它也存在著舊版本所沒有的新潛在威脅來源。

台灣和香港數家電視和政府網站遭Hacking Team Flash漏洞攻擊

最近出現一項駭客攻擊行動專門入侵台灣和香港的網站，並利用 Hacking Team 的 Flash 漏洞讓使用者系統最終感染了 PoisonIvy 和其他惡意程式。這項攻擊始於 7 月 9 日，就在 Hacking Team 公開宣布發生資料外洩幾天之後。

俄羅斯地下市場已擁有自動化基礎架構與精密的工具

我們的研究報告深入探討了一個基礎架構日益成熟的網路犯罪商品/服務販賣和交易地下生態體系。該報告也討論了該體系的激烈競爭、流程自動化、新攻擊管道以及社群地下活動。

網拍買露營用攜帶瓦斯,遇到詐騙改吃泡麵

一名住在台北市的張姓女子透過「露天拍賣」購買買2台可攜式瓦斯爐準備露營，匯了4600元給賣家，結果直到露營出發前還沒收到貨，才發現遇到詐騙集團,整個假期都只能吃泡麵。

一個會讓 Android 裝置沒有反應的漏洞

趨勢科技在 Android 上發現了一個可能導致手機似乎無法動彈的漏洞 ─ 沒有聲音、無法打電話、畫面沒有反應。從 Android 4.3 (Jelly Bean) 到最新的 Android 5.1.1 (Lollipop) 皆含有這項漏洞。

政府開始回頭重新檢討頗具爭議的網路安全出口規範

美國網路安全產業和政府單位一直在針對當前的出口規範進行角力，研究人員認為這些規範將使得網際網路變得更不安全。目前美國政府已經表示願意重新檢討這項規範並試圖採納民間意見。

Ponemon 2015 年醫療產業安全報告 (Healthcare Security Report) 四項重要結論

高達 91% 的受訪者在過去兩年內至少曾經發生一次資料外洩。大多數的受訪者已發生過至少 11 次以上的資安事件。醫療產業 IT 團隊亦了解這樣的嚴重情況，但至今仍苦無降低資料外洩威脅的有效對策。

FBI 的網路安全計畫正面臨挑戰

政府監管機關已經發現多項阻礙 FBI 落實網路安全計畫的障礙，這項計畫的目標是要降低美國所遭受的威脅。

最新研究顯示高階主管的網路安全憂慮急速攀升

根據一項針對美國企業、執法機關、政府單位以及其他機構高階主管和資安專家的調查顯示，75% 的受訪者表示他們今年較 12 個月前更擔心網路安全威脅。

趨勢科技PC-cillin雲端版全面支援 Windows 10

準備升級到 Windows 10 了嗎？我們準備好了。

根據 Microsoft 表示，最新版的 Windows 10 作業系統增加了許多全新的資訊閱讀、撰寫、儲存及分享方式。我們特別製作了一個網頁 (請看下文) 來提供您一些工具和技巧，協助您順利升級至 Windows 10，並透過我們相容於 Windows 10 的新版家用防護軟體趨勢科技PC-cillin 10 – 2016雲端版來保護您的安全。

趨勢科技白帽菁英計畫專案之一: 海外資安賽事啟航 !
今年趨勢科技持續贊助台灣資安勁旅HITCON 前進LAS Vegas參加DEF COF CTF, 賽事於8/6~8/9 舉辦, 除了祝褔團隊有好佳績之外, 我們也派出隨行小編隨團貼身觀察, 每天為各位傳回現場大會活動的最新訊息及戰況, 大家一起為台灣團隊加油打氣 !

關於趨勢科技「白帽菁英養成計劃」
2014 回顧》台灣之光！趨勢科技贊助之 HITCON 團隊,打敗中日韓俄法，奪2014年全球駭客大賽第二名

決戰時刻倒數1 天,一起為台灣隊集氣!!請每日密切注意《趨勢科技DEF CON 隨行小編拉斯維加斯連線報導》#資訊安全 #資安人才 #HITCON #DEFCON #白帽菁英養成計畫

Posted by 趨勢科技 Trend Micro on 2015年8月4日

原文參考出處：This Week in Security News

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。

▼ 歡迎加入趨勢科技社群網站▼

【推薦】PC-cillin 雲端版榮獲世界著名防毒評鑑機構高度評比

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

台灣和香港數家電視和政府網站遭Hacking Team Flash漏洞攻擊

2015 年 08 月 05 日2015 年 08 月 19 日趨勢科技 TrendMicro

Hacking Team 資料外洩相關的Flash漏洞攻擊，被發現入侵了台灣和香港的網站, 此一攻擊活動從 7月9日開始,也就是Hacking Team 資料外洩宣布被駭的幾天後隨即受駭。會下載 Poison Ivy遠端存取工具和其他惡意軟體到使用者電腦上。

PoisonIvy是個在地下市場中流行的RAT後門程式，通常被用在「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）攻擊中。這個後門程式已知會抓取螢幕截圖、網路攝影機影像和聲音；記錄按鍵和活動視窗；刪除、搜尋和上傳檔案並執行其他侵入性行為。

這一波攻擊入侵了台灣的電視台、教育單位、宗教團體及一知名政黨的網站；還有一個受歡迎的香港新聞網站。這些受駭的網站有著固定的使用者,比方說提供就業考試給政府僱員的教育單位,已經製作和進口電視節目和電影長達十年的台灣網路電視。

我們已經通知了受攻擊影響網站的所有者；然而到本文撰寫時，還有三個網站處在受駭狀態。

Hacking Team的痕跡仍然在那

攻擊者一開始傳送Hacking Team所流出的Flash Player漏洞（CVE-2015-5119）到預先入侵好的網站上，就在該公司宣布遭受駭客攻擊（7月5日）和Adobe修補漏洞（7月7日）的幾天後。攻擊者們進行另一波的攻擊，導致另一個Hacking Team相關的Flash零時差漏洞攻擊（CVE-2015-5122）。

圖1、Hacking Team相關Flash漏洞攻擊送至台灣和香港網站的時間表

值得注意的是，在第一波和第二波攻擊開始時，兩個台灣教育機構網站皆在攻擊目標中。

圖2、台灣受駭的宗教團體網站

PoisonIvy和其他惡意軟體

趨勢科技發現所有受駭網站（除了一知名台灣政黨官方網站）都被用iframe來注入一惡意SWF，會導致遠端訪問工具（RAT） Poison Ivy (BKDR_POISON.TUFW)。

而另一方面，該政黨網站會帶來嵌入在圖片內的不同惡意軟體，偵測為TROJ_JPGEMBED.F。政黨網站跟其他受駭網站一樣會將資料發送到同一伺服器（223[.]27[.]43[.]32），推測這是同一波攻擊活動的一部分。

圖3、Hacking Team Flash漏洞攻擊所嵌入的圖片

雖然分析工作仍在進行中，好確定這波攻擊活動是否為 APT攻擊，趨勢科技已經看到一個可疑網域wut[.]mophecfbr[.]com嵌入在惡意軟體中，它也出現在之前報導被稱為「Tomato Garden（番茄花園）」針對性攻擊所使用命令和控制（C&C）列表內。

建議

為了防止電腦遭受漏洞攻擊和惡意後門程式植入，使用者要更新Adobe Flash Player。你可以透過Adobe Flash Player網頁來檢查自己是否使用最新的版本。隨時了解常用軟體的最新消息也有幫助。參考我們的部落格文章 – 「Adobe Flash難題：積重難返」來了解更多最近的Flash相關事件，以及使用者和企業可以做些什麼。

趨勢科技可以偵測此事件中的所有惡意軟體和漏洞攻擊碼。SHA1值如下：

SWF_CVE20155122.A
d4966a9e46f9c1e14422015b7e89d53a462fbd65

SWF_CVE20155122.B
fdcdf30a90fa22ae8a095e99d80143df1cc71194

SWF_CVE20155122.C
9209fee58a2149c706f71fb3c88fef14b585c717

BKDR_POISON.TUFW
2dc1deb5b52133d0a33c9d18144ba8759fe43b66

＠原文出處：Hacking Team Flash Attacks Spread: Compromised TV and Government-Related Sites in Hong Kong and Taiwan Lead to PoisonIvy|作者：Joseph C Chen（網路詐騙研究員）

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。

▼ 歡迎加入趨勢科技社群網站▼

趨勢科技PC-cillin雲端版全面支援 Windows 10

2015 年 08 月 04 日2015 年 09 月 02 日趨勢科技 TrendMicro

準備升級到 Windows 10 了嗎？我們準備好了。

趨勢科技PC-cillin 10 – 2016雲端版將協助您保護線上安全，提供您進階的網路安全和隱私權，為您防範病毒、垃圾郵件、網路釣魚、身分竊盜等等。

別因一時疏忽而中毒

有了趨勢科技PC-cillin 10 – 2016雲端版，您就不會因為一時疏忽而中毒，因為它可保護您的所有 PC、

Mac 以及 Android™ / Apple iOS 行動裝置。簡單來說，不論您使用何種裝置或作業系統，PC-cillin雲端版都能為您提供適當防護。

趨勢科技PC-cillin 10 – 2016雲端版防範真實世界威脅最可靠的消費性資安防護軟體。這也正是為何去年趨勢科技 Internet Security 被獨立測試機構 AV-Test Institute 評選為「2014 年最佳防護」(Best Protection in 2014) 的原因。

除此之外，趨勢科技PC-cillin 10 – 2016雲端版更提供了比平均值快 50 倍的網站防護。*

* 消費型 EPP 評比分析 – 社交工程惡意程式版 1 (NSS Labs)

2016 年新增功能

我們在得獎連連的防護上新增了下列功能：

雲端儲存掃瞄 – 防範 Microsoft OneDrive 雲端儲存的檔案成為感染源。
利用密碼管理來保護瀏覽器 – 趨勢科技密碼管理通 r能協助您管理所有的密碼並防止您在瀏覽器上使用網路銀行時遭到代碼注射、鍵盤側錄或中間人攻擊。此功能已內建在趨勢科技PC-cillin 10 – 2016雲端版當中。
勒索軟體 Ransomware防護 –針對全球越來越多的勒索軟體變種提供專門的防護。趨勢科技PC-cillin 10 – 2016雲端版能防範文件在未經授權的情況下遭到加密或修改。
SSL 檢查 – 在您使用金融機構或購物網站時為您提供妥善防護。它可檢查 Secure Socket Layer (SSL) 憑證的真偽並在發現偽造憑證時發出警示。

實用連結

需要升級至最新 Windows 版本的協助嗎？繼續閱讀

Windows 10 的新瀏覽器Microsoft Edge：有改進但也有新風險

2015 年 08 月 04 日2015 年 09 月 02 日趨勢科技 TrendMicro

本部落格討論了 Windows 10的新瀏覽器 Microsoft Edge 相對於Internet Explorer在安全性方面有顯著的加強。然而，它也存在著舊版本所沒有的新潛在威脅來源。

整合外掛程式

Microsoft Edge現在已經整合進兩個被廣泛使用的外掛程式：Adobe Flash和PDF閱讀程式。Flash已經證明為顯著安全風險多年。我們都認為使用者和網站應該遠離它，但現實是，在可預見的未來Flash並不會消失。針對Flash的攻擊將持續成為問題，將它作為內建功能可能會在之後帶來風險。

同樣地，模組windows.data.pdf.dll中整合了PDF閱讀程式。這也可能成為攻擊者想攻下Edge瀏覽器時的潛在目標。

雖然這些代表了潛在攻擊來源，只要設計得當還是可以保持相對安全。無論Google Chrome或Mozilla Firefox瀏覽器都已經整合外掛程式而沒有重大問題；正確的實作方式可以減少不安全外掛程式的風險。

此外，整合Flash代表可以透過Windows Update更新，減低使用者執行舊Flash版本的風險。（注意，這並非前所未有：自Windows 8的Internet Explorer 10以來就是這樣）

支援asm.js

Edge的一個新功能是支援asm.js。這是Mozilla所開發的JavaScript子集，設計來執行的比傳統程式碼更快。實際上，它轉換C/C ++/等程式碼成JavaScript程式碼，如果瀏覽器支持asm.js就可以執行的更快。LLVM編譯器負責這個動作。

圖1、asm.js流程圖

在其他瀏覽器中，支援asm.js已經導致安全問題。在2015年的Pwn2Own競賽中，Mozilla Firefox瀏覽器實作asm.js的一個漏洞（CVE-2015-0817）被用來成功地掌控瀏覽器。因此，我們也不能排除它成為Microsoft Edge漏洞來源的可能性。

繼續閱讀

Windows 10 推出 Microsoft Edge 來強化瀏覽器安全性

2015 年 08 月 03 日2015 年 07 月 30 日趨勢科技 TrendMicro

Internet Explorer 或許是今日漏洞攻擊最熱門的目標之一，光是 2014 年，Internet Explorer 就被發現及修補了 243 個漏洞。

在 Microsoft 每次的定期安全更新 (Patch Tuesday) 當中都會包含一則內含數個 IE 漏洞的安全公告，這就是 Microsoft 所稱的「Internet Explorer 積存安全性更新」，因為 Internet Explorer 的零時差漏洞真是多得不勝枚舉，例如：

正因如此，Internet Explorer 的風評一向不是太好，其安全性不佳的名聲也成了它發展的障礙。所以 Microsoft 決定在 Windows 10 上推出一個「嶄新的」瀏覽器，叫「Microsoft Edge」，而安全性強化當然是其中一個重點。

Microsoft Edge 中的安全性強化

其實，Edge 並非完全砍掉重練，其 HTML 繪製引擎仍算是 Trident 引擎 (也就是 Internet Explorer 所用引擎) 的一個分支版本，現已改名為 Microsoft Edge HTML。不過，其底層移除了大量 IE 專屬的技術和相關程式碼，這些技術在 Edge 當中已不存在。此外，也導入了多項新的瀏覽器功能。

MemGC

MemGC 記憶體管理功能採用「先標記再找機會清除」的記憶體回收機制，如此可減少所謂「使用已釋放記憶體」的漏洞，也就是 UAF (Use-After-Free) 漏洞。Edge 採用 MemGC 來管理其「文件物件模型」(DOM)，並支援物件的記憶體管理。

過去兩年，UAF 漏洞一直是 Internet Explorer 的一大罩門。Microsoft 每次的定期安全更新都包含多項有關 UAF 漏洞的修補。為了解決這樣的情況，Microsoft 於 2014 年夏季在 IE 當中加入了兩項防護機制：其一是 Isolated Heap (隔離式 Heap 記憶體)，負責管理大多數的 DOM 物件和其相關物件。其二是所謂的 MemoryProtection (記憶體保護)。

Isolated Heap 讓駭客無法輕易地使用已釋放的物件。MemoryProtection 則可避免駭客利用堆疊 (stack) 中已釋放物件的指標來攻擊 UAF 漏洞。在其他情況下，MemoryProtection 可讓 UAF 漏洞的攻擊難度更高。

圖 1：MemoryProtection 流程示意圖。

這兩項防護機制大大提升了 UAF 漏洞攻擊的難度，但還是有許多方法可以避開這些機制，尤其當已釋放物件的指標並不在堆疊中時。

圖 2：UAF 漏洞攻擊步驟。

一般來說 UAF 漏洞的攻擊步驟如下：

配置物件 A 的 Heap 記憶體區塊。
釋放物件 A。
駭客在 Heap 區塊當中填入精心設計的資料。
物件 B 參照到物件 A。這樣一來，駭客就能透過物件 A 來存取其填入記憶體中的資料。

MemGC 的設計正是要避免這類攻擊，當一個 Heap 區塊被釋放時，MemGC 首先會偵測是否有任何指向該區塊的物件參照。若有，該區塊就不會被釋放。如此一來，UAF 漏洞攻擊就無法得逞。

圖 3：MemGC 如何防止 UAF 漏洞攻擊。

Abandonment (棄置) 類別

記憶體內容損毀是一種常見而且需要特別注意的漏洞類型。Microsoft Edge HTML 繪製引擎 (edgehtml.dll) 導入了一個新的類別叫做「Abandonment」(棄置)。

Abandonment 會偵測記憶體內容損毀的情況，並且在偵測到這類情況時發出一個「FAIL_FAST_EXCEPTION」例外錯誤。如此可避免錯誤進一步擴大，防範任何可能的漏洞攻擊。

圖 4：Abandonment 類別。

Abandonment 類別可偵測並處理的異常狀況包括：

Double Free (重複釋放)
Out Of Memory (記憶體耗盡)
Overflow (溢位)
Invalid Pointer (無效指標)
Invalid Arguments (無效參數)
Unreachable Code (無法觸及的程式碼)
Not Yet Implemented Function (尚未實作的函式)
Excepted return value (除外的回傳值)

預設採用「加強的受保護模式」沙盒環境以及 64 位元模式

Windows 在 Vista 時首次導入強制的一致性控管。Vista 的 Internet Explorer 7 率先在瀏覽器中導入一個稱為「受保護模式」(Protected Mode，簡稱 PM) 的沙盒環境。不過，受保護模式提供的防護有限。

Windows 8 再導入所謂的 App 容器，且 Windows 8 的 IE 10 在這項技術上提供了一種叫做「加強的受保護模式」(Enhanced Protected Mode，簡稱 EPM) 的沙盒環境。

但這有個問題：IE 外掛程式必須重新改寫才能支援 EPM，因為原本的外掛程式並不支援 App 容器。為了維持相容性，EPM 沙盒環境在預設情況下是關閉的。基於類似理由，在 64 位元系統下，IE 的繪圖處理程序是在 32 位元模式下執行，即使瀏覽器是在 64 位元模式下執行。

由於 Edge 是新的瀏覽器，因此不像 IE 那樣有著向下相容的沈重包袱，其 EPM 沙盒環境預設就是開啟狀態。此外，其繪圖處理程序也是以 64 位元模式執行 (只要系統可以支援)。

拋開老舊功能

正如前面所言，Edge 消除了一些 Microsoft 認為今日瀏覽器再也不需要支援的功能。其中之一就是支援舊的 IE 擴充架構，例如：瀏覽器協助程式物件 (Browser Helper Object，簡稱 BHO) 以及工具列，這是過去 IE 經常遭到攻擊的其中兩個途徑。這兩項功能在 Edge 當中皆已去除，Microsoft 已經表明 Edge 將採用類似 Google Chrome 和 Mozilla Firefox 的擴充架構，不過此架構今年稍晚才會推出。

除此之外，未來也不再支援某些程序碼語言 (scripting language)。從 IE 3 時代 (將近 20 年前) 開始導入的 ActiveX，一直是 IE 瀏覽器用來執行原生程式碼的方式之一。傳統上，Internet Explorer 的外掛程式 (如 Flash 和 Java) 都需要對應的 ActiveX 來支援。

VBScript 是另一個程序碼語言，但其他瀏覽器從未支援該語言。IE的VBScript支援一直是漏洞的來源，如：CVE-2014-6332。此外還有 VML (Vector Markup Language) 向量標記語言，這是一種用來顯示向量圖形的標記語言 (不過，現在 HTML5 也能達到同樣功能)，在支援該語言的程式碼當中也存在著漏洞，如 CVE-2013-2551。

在 Microsoft 眼中，以上這些都已經是過時的技術，因此 Edge 未來將不再支援這些語言，這樣就能大幅減少 Edge 遭到攻擊的機會。但少了 ActiveX 之後的最大影響就是暫時完全失去 Java 的支援，當然也消除了潛在的威脅。

另一個 Edge 將不再支援的舊技術是 X-UA 相容檔案標頭。這是一種用來讓網站以向下相容於舊版瀏覽器的方式繪製網頁的模式，但卻也成了各種漏洞的來源，例如：

拋開上述所有功能的目標只有一個，那就是藉由去除今日使用環境不再需要的功能 (以及對應的程式碼) 來縮小潛在的攻擊面。

總而言之，與 Internet Explorer 相比，Microsoft 確實在 Edge 底層下了很大的功夫。這一點有助於提升未來 Windows 預設瀏覽器的安全性，畢竟它將來會有很多使用者。只不過，Edge 所做的某些變更，必定也將引來一些新的潛在攻擊，這一點我們將在後續的文章當中繼續討論。

原文出處： Windows 10 Sharpens Browser Security With Microsoft Edge 作者：Henry Li (威脅分析師)
想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚