漏洞 - 資安趨勢部落格

回顧歷年針對未修補系統的攻擊

2019 年 08 月 08 日2019 年 07 月 30 日趨勢科技 TrendMicro

網路犯罪集團攻擊未修補的系統漏洞，依然是當前企業遭駭客入侵最常見的原因之一。隨著網路基礎架構和連網裝置的數量不斷成長，建立一套適當的修補管理程序可說是迫在眉睫。

儘管單單一次的系統修補就必須耗費企業數小時的時間來完成，但根據以往的事件來看，系統未隨時保持更新的代價反而更高。

以下快速回顧近幾年來所發生的一些最具破壞性的網路攻擊與資料外洩事件，從這些事件，我們不難看出未修補的漏洞對企業機構的傷害有多大。

2016-2017年: Petya/NotPetya

受害者:歐洲與美國的各種企業機構
漏洞攻擊手法/漏洞:EternalBlue、EternalRomance (2017 年 4 月已修補)
事件發生日期:2016 年 3 月 / 2017 年 6 月
估計損失:100億美元

歐洲及美國各種銀行、發電廠、交通運輸系統、海運、藥廠、石油、營建、醫療等機構的系統在感染之後離線了數個小時。據稱這些攻擊主要鎖定烏克蘭境內的關鍵基礎架構及系統 (事件發生在放假前夕)，但卻因為橫向擴散的原因而迅速蔓延至歐洲其他國家。

繼續閱讀

為何漏洞修補會成為企業的一項挑戰？談虛擬修補( Virtual Patching)

2019 年 07 月 26 日2019 年 07 月 11 日趨勢科技 TrendMicro

當應用程式或企業 IT 基礎架構含有未修補漏洞會如何？以下說明虛擬修補如何協助企業解決漏洞與修補管理的困境。

Security 101: Virtual Patching — 檢視圖文解說：虛擬修補如何協助企業確保安全

從去集中化到導入雲端、行動裝置及物聯網 (IoT) 技術，隨著企業網路基礎架構日益複雜，修補管理的工作也更加耗時費事、消耗更多企業資源。

不過，應用程式的修補工作一旦有所延誤或甚至擱置，將為企業帶來莫大風險。2017 年 Equifax 資料外洩事件就是最好的例子，該事件洩漏了數百萬名客戶的個人身分識別資訊，而這起事件追根究柢的原因，就是該機構的某個網站應用程式含有未修補的漏洞。在一切都塵埃落定之後，Equifax 表示該事件造成了高達 4.39 億美元的財務損失，此外還要加上英國資訊委員會 (ICO) 針對該事件所做出的處分：50 萬英鎊 (約 66 萬美元) 的罰鍰。

[趨勢科技年度資安總評：Notable Vulnerabilities Disclosed and Exploited in 2018]

為何漏洞修補會成為企業的一項挑戰？

以下是企業在漏洞修補與修補管理上所面臨的一些挑戰：

影響業務永續性。儘管定期安裝修補更新是一項良好的資安實務原則，但許多企業卻覺得修補作業太過冗長，而且會中斷營運、耗費成本，因此選擇將這些工作延後 (或者乾脆捨棄) 以免影響業務。
需要修補的漏洞數量過多。這樣的情況對經常升級 IT 基礎架構的企業來說尤其如此，因為他們會有更多漏洞需要修補。根據趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫 (目前有 3,500 多名外部獨立研究人員參加) 所累的資料顯示，從 2017 至 2018 年，該計畫所發現並通報的漏洞數量增加了 34%。
掌握度不夠。網路基礎架構越龐大，更新流程就越複雜。再加上如果 IT 基礎架構零散，包含各種不同作業系統或應用程式版本，甚至分散多個不同地理位置，那問題將更麻煩。
修補更新過於頻繁。這使得修補管理變得缺乏效率，特別是難以整理出哪些才是最重要、非修補不可的漏洞。
老舊及無法修補的系統。有些已經終止支援的系統和應用程式已無法再獲得更新，即使目前仍有一些營運關鍵作業可能會用到這類系統和應用程式。此外，還有一些內嵌式系統的軟體或元件通常也無法修補，例如：銷售櫃台系統 (POS) 終端機、IoT 裝置以及工業控制系統。

繼續閱讀

Dell 呼籲數百萬使用者修補 SupportAssist 工具漏洞

2019 年 06 月 27 日2019 年 06 月 26 日趨勢科技 TrendMicro

Dell發布了一份資安通報來呼籲客戶更新商用及家用電腦內建的SupportAssist應用程式以解決漏洞問題。這個編號CVE-2019-12280的提權漏洞讓駭客能夠存取敏感資訊並且控制數百萬台執行Windows系統的Dell電腦。

Dell SupportAssist是用來檢查系統軟硬體狀態的工具程式。需要較高的權限才能正常運作，因此是以SYSTEM身份執行。駭客透過此漏洞取得SupportAssist的存取權限就可以控制電腦並透過簽章服務或Microsoft認可為安全的服務來執行惡意程式。

這個漏洞最先是由SafeBreach的研究人員所回報，他們發現SupportAssist沒有安全地處理動態連結程式庫（DLL），讓攻擊者有機會進行 DLL劫持。

繼續閱讀

BlackSquid 利用八種知名漏洞潛入伺服器與磁碟,並植入 XMRig 挖礦程式

2019 年 06 月 13 日2019 年 06 月 12 日趨勢科技 TrendMicro

利用一個未修補的資安漏洞發動攻擊已經夠令人擔憂了，然而同時經由八種漏洞攻擊手法來暗中竊取您的企業資產、資料及客戶資訊，則完全是另一個境界。

趨勢科技發現一個專門攻擊網站伺服器、網路磁碟及可卸除式磁碟的最新惡意程式家族，它利用了多種網站伺服器漏洞攻擊手法以及所謂的「字典攻擊」(dictionary attack)。這個惡意程式叫作「BlackSquid」(以其所建立的系統登錄與主要檔案來命名)，是一個相當危險的惡意程式，原因有幾點。首先，它在面對所處環境時，會運用反制虛擬環境、反制除錯、反制沙盒模擬分析的技巧來判斷自己是否要繼續執行安裝程序。此外，它也具備類似蠕蟲的行為，能自我複製並四處擴散。同時，它更利用了當今最知名的一些漏洞攻擊手法，如 EternalBlue、DoublePulsar，以及 CVE-2014-6287、CVE-2017-12615、CVE-2017-8464 等三項漏洞的攻擊手法，並且會攻擊三種不同版本 ThinkPHP 的漏洞。

除此之外，網路犯罪集團似乎也在測試該惡意程式當中的一些技巧是否可行，以作為後續發展的參考依據。目前我們所蒐集到的樣本，最終會安裝一個 XMRig 門羅幣 (Monero) 挖礦程式。不過，BlackSquid 未來還可能再結合其他惡意程式。

根據我們的監測資料指出，五月份的最後一週，BlackSquid 攻擊數量出現最多的地區是泰國和美國。

躲避技巧、行為模式與漏洞攻擊

BlackSquid 可經由三種管道來感染系統：經由造訪已感染的網站伺服器而讓使用者電腦遭到感染、經由漏洞攻擊來感染網站伺服器、經由可卸除式磁碟或網路磁碟來感染。當以下至少一個條件成立時，它會立即中斷感染的行為以避免被偵測或攔截：

當前使用者名稱與以下常見沙盒模擬分析環境使用者相同時：

繼續閱讀

如何在第一時間防堵漏洞以保障企業安全?

2019 年 06 月 12 日2019 年 05 月 31 日趨勢科技 TrendMicro

資安漏洞隨時可能突然竄出，此時，任何仰賴資訊科技來營運的企業都可能陷入危險。當漏洞發生時，就是歹徒入侵企業系統、從事不法活動的最佳時機：從資料竊取、資訊外洩到各種其他風險。因此，漏洞可說是今日最令企業頭痛的一項問題。

根據最新資料顯示，有越來越多的漏洞不斷被挖掘出來：

• 根據 SecurityWeek 指出，2017 年是漏洞通報數量創新紀錄的一年。整體上，該年總共發現了 20,000 多個資安漏洞，較前一年增加 30%。儘管這數據可能有多種不同解讀方式，例如：資安風險正不斷升高，或是企業軟體使用者通報漏洞的情況更加頻繁。然而，這麼高的平台漏洞增加幅度，確實令人擔憂。

• 儘管 2018 年的數據還在統計，但根據 RiskBased Security 的一項報告，截至去年 8 月為止，已通報的漏洞數量已經超過 10,000 個，其中包括 3,000 個很可能許多企業都還尚未修補的漏洞。

RiskBased Security 表示：「這些已通報漏洞的嚴重性依然很高，企業必須隨時保持警戒，並建立一套完整的軟體漏洞評估與管理計畫。」

儘管企業越來越難抵擋漏洞不斷增加的浪潮 (尤其是零時差漏洞)，但還是可以採取一些關鍵的策略來提升自身安全。