世界駭客大賽Pwn2Own – 永遠不知道有那些新研究將會揭開面紗

 

 

在過去十年的世界駭客大賽Pwn2Own競賽中,不同的人會對此競賽產生不同的感情。它曾被稱為是對瀏覽器的大屠殺,雖然沒有真人倒地。它曾幫人開創自己的事業,或至少,幫他們成就惡名。它被指責同時摧毀了粉絲跟黑特的心。同樣地,在比賽史上沒有粉絲或黑特真的受傷,但內心就不敢保證了。

過去十年來,Pwn2Own已經成為安全研究的根源

更有甚者是指責Pwn2Own不過是個 Security theater (維安劇場) – 只是場精采的秀,但沒有真正出現什麼。但實際上恰恰相反。在過去十年來,Pwn2Own已經成為安全研究的根源。

不只是因為在Pwn2Own上所使用的漏洞都很複雜(當然它們也的確複雜)。這計畫所披露的幾個漏洞都得到社群的讚賞,如Pwnie大獎。除此之外,在Pwn2Own所出現的漏洞也驅動了其他研究,最終讓廠商提出了解決方案。例如在數年前,釋放後使用(UAF, use-after-free)漏洞被用來攻擊瀏覽器,特別是Internet Explorer。結果導致許多研究人員找出UAF漏洞並將其回報給零時差計畫(ZDI)。UAF狂潮讓微軟引入了隔離堆積(Isolated Heap)和記憶體保護(MemoryProtection)等安全措施來防止這些UAF漏洞被利用。這些讓ZDI研究人員去深入研究問題並找出解決方案。這些結果提交給微軟的安全獎勵計畫 – Mitigation Bypass Bounty,並獲得了125,000美元的獎金(全部捐給了慈善機構)。

如果沒有Pwn2Own,UAF會如此熱門嗎?有可能,但被運用在競賽中肯定帶動了這方面的研究,結果就是更加安全的瀏覽器。當然,我們不只是看到了UAF。這些年來已經出現過各種類型的漏洞,而這些漏洞都在比賽出現後變得更加常見(或至少更加流行)。像是沙箱逃脫(sandbox escape)、連接點竄改(junction point manipulation),繞過控制流防護(CFG bypass)和字體濫用(font abuse)都曾如此過。 Continue reading “世界駭客大賽Pwn2Own – 永遠不知道有那些新研究將會揭開面紗"

iOS 裝置攻擊管道多樣化,Apple 審查機制受到嚴格考驗

儘管行動威脅的感染方式和途徑大家都耳熟能詳,但行動威脅的多樣性、規模和範圍在 2016 年卻更加擴大。行動使用者目前仍是網路犯罪者所垂涎的目標,所以勒索病毒才會變得如此猖獗。再者,軟體被揭露的漏洞越來越多,歹徒也趁機擴大其攻擊面、惡意程式數量和散布方式。尤其,過去一向以安全自豪的 iOS 系統也開始淪陷。

2016 年,針對 Apple 裝置的攻擊主要是盡量避開 Apple 為了防止惡意程式上架所建立的嚴格審查機制。其中,Apple 的企業授權憑證是歹徒最常用來感染已越獄 iOS 裝置的方式。除此之外,也有越來越多漏洞遭到攻擊。這表示,隨著 Apple 的市占率不斷擴大,預料 Apple 的產品將有更多軟體漏洞被發現。

根據感染裝置的所在地點而調整其行為模式

2016 年,絕大部分可能有害的程式與惡意程式都會根據感染裝置的所在地點而調整其行為模式。例如,ZergHelper (IOS_ZERGHELPER.A) 在中國會假扮成某個第三方市集的應用程式,但在其他地區則是冒充成英文學習工具。同樣值得注意的是中國境內的第三方應用程式商店海馬 (以及越南的 HiStore) 會散布重新包裝且含有越權廣告的應用程式 (IOS_LANDMINE.A),此外還會濫用一些 iOS 的執行程序和功能利用軟體漏洞來避開 iOS 的隱私權保護機制。 Continue reading “iOS 裝置攻擊管道多樣化,Apple 審查機制受到嚴格考驗"

《概念證明應用程式》即便手機設定成不接受來自Google Play以外的應用程式,竟也可以偷偷安裝應用程式!

新的 Dirty COW攻擊方式 可讓惡意程式碼直接寫入程序

Dirty COW(編號CVE-2016-5195)是在2016年10月首次被公開披露的Linux漏洞。這是個嚴重的提權漏洞,可以讓攻擊者在目標系統上取得root權限。它被Linus Torvalds描述為「古老的漏洞」,在披露後就迅速地被修補。多數Linux發行版本都已經盡快地將修補程式派送給使用者。

Android也同樣受到Dirty COW漏洞影響,雖然SELinux安全策略大大地限制住可攻擊範圍。趨勢科技發現了一種跟現有攻擊不同的新方法來利用Dirty COW漏洞。這個方法可以讓惡意程式碼直接寫入程序,讓攻擊者能夠對受影響設備取得很大的控制。目前所有的Android版本都受到此問題影響。

不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站Android手機用戶

概念證明應用程式:即便手機設定成不接受來自Google Play以外的應用程式,也可以偷偷安裝應用程式

下面的影片顯示一個已經更新最新修補程式的Android手機安裝了我們所設計的概念證明應用程式且無須要求授予任何權限。一旦執行,就可以利用Dirty COW漏洞來竊取資訊和變更系統設定(在這展示中會取得手機位置,開啟藍牙和無線熱點)。它也可以偷偷安裝應用程式,即便手機設定成不接受來自Google Play以外的應用程式。

 

為什麼會這樣?當執行一個ELF檔案時,Linux核心會將可執行檔映射到記憶體。當你再次打開相同的ELF可執行檔時會重複使用這份映射。當利用Dirty COW漏洞來修改執行中的ELF可執行檔時,執行中程序的映像也會改變。讓我們想想這代表什麼:Dirty COW可以修改任何可讀的執行中程序。如果程序不可讀,則用cat /proc/{pid}/maps來找出是否有任何載入中的ELF模組可讀。

在Android上也可以應用相同的步驟。Android Runtime(ART)程序可以用相同的方式動態修改。這讓攻擊者可以在Android設備上執行應用程式來修改任何其他可讀程序。所以攻擊者可以注入程式碼並控制任何程序。

 

圖1、改進的Dirty COW攻擊

 

這種攻擊將攻擊能力延伸到不僅僅只是讀寫檔案,而是直接將程式碼寫入記憶體。可以取得root權限而無須重新啟動或造成系統崩潰。

在我們的概念證明影片中,動態修改libbinder.so讓我們的應用程式取得系統root權限。我們使用這能力繞過Android的權限控管來竊取資訊和控制系統功能。

 

解決方式和資訊披露

趨勢科技已經將此問題通報Google。Dirty COW最初是透過2016年11月的Android更新加以修補,但這直到2016年12月的更新才強制此項修補。使用者可以詢問行動設備廠商或電信業者來了解自己的設備何時可以取得更新。

我們現在正在監控使用此類攻擊的威脅。強烈建議使用者只安裝來自Google Play或可信賴第三方應用程式商店的應用程式,並使用行動安全解決方案(如趨勢科技的行動安全防護)來在惡意威脅進入設備或對資料造成危害前加以封鎖。

企業使用者應該要考慮如趨勢科技企業行動安全防護的解決方案。它涵蓋了設備管理、資料防護、應用程式管理、法規遵循管理、設定檔配置及其他功能,讓企業主可以在自帶設備(BYOD)計畫的隱私安全與靈活性、增加生產力之間取得平衡。

 

@原文出處:New Flavor of Dirty COW Attack Discovered, Patched 作者:Veo Zhang(行動威脅分析師)

 

Netis 路由器後門漏洞最新發展

還記得這篇大約 2014 年所發表的j文章嗎?

這篇文章指出了中國 Netis 品牌路由器在韌體當中暗藏了一個遭到嚴重利用的後門漏洞。以下是有關該漏洞情況的最新發展,以及一個您最近或許經常看到經常被觸發的 TippingPoint Digital Vaccine (DV) 數位疫苗過濾規則。

這個第 32391 號 DV 過濾規則是用來檢查是否有人試圖掃瞄這個後門漏洞,而這條規則直到最近都還經常被觸發,這顯示仍有大量試圖利用這個後門的網路攻擊。基本上,這條規則誤判的可能性為零。根據我們所的 ThreatLinQ 通報儀表板顯示,這條規則從 2016 年 8 月釋出以來已觸發了將近 290 萬次。不過,這數字只涵蓋了大約 5% 的客戶端觸發數量,因此可推算出我們全體客戶的觸發數量大約在 5,700 萬次之譜。

我們分析了一些從 TippingPoint 裝置擷取到的封包,到目前為止每一個樣本都沒有誤判,正如我們所料。以下是我們架設的 Lighthouse (燈塔) 誘捕環境所觀察到 IP 位址惡意掃瞄最頻繁的網域:

下圖是其中一個掃瞄封包在 Wireshark 工具中展開的樣子: Continue reading “Netis 路由器後門漏洞最新發展"

HID門禁控制器的遠端管理漏洞威脅更新

趨勢科技想要提醒客戶一些關於HID門禁控制器遠端管理漏洞的最新發展。

你可能還記得,在2016年3月30日,我們的零時差計劃(ZDI)發表了一篇關於Rocky “HeadlessZeke” Lawshae與我們DVLabs團隊所發現漏洞的公告。這是HID VertX和Edge門禁控制器的遠端管理漏洞。如果遭受攻擊,此漏洞可能讓攻擊者完全控制系統。就實際狀況而言,這代表攻擊者可以取得送至門禁控制器系統的網路封包,有效地攻破系統並進行包括開鎖在內的動作。

幸運的是,廠商在趨勢科技披露時已經提供了修補程式給受影響的系統。

但因為趨勢科技的披露,我們已經看到有研究人員做出可用來找出有漏洞系統的概念證明(概念驗證)程式碼。

我們尚未知道是否有針對這些系統的攻擊出現。但概念證明程式碼的出現的確會使攻擊此漏洞的可能性增加:惡意分子可能會利用概念證明程式碼所提供的資訊來開發出有害或惡意的程式碼。

任何尚未更新此漏洞修復程式的HID VertX或Edge系統使用者都應該馬上進行部署。如果你是趨勢科技的TippingPoint客戶,在測試與部署HID VertX或Edge門禁系統修補程式前,可以透過2015年9月22日就提供的數位疫苗過濾器20820來獲得保護。

 

 

@原文出處:Threat Update on Remote Root Vulnerability in HID Door Controllers作者:Christopher Budd(全球威脅交流)

 

Locky 勒索病毒利用 Flash 和 Windows 系統核心漏洞散布

今年四月初,Adobe Flash Player 出現了一個 零時差漏洞  (CVE-2016-1019)。此漏洞很快就被收錄到  Magnitude 漏洞攻擊套件 當中,Adobe 被迫緊急釋出修補程式。駭客利用此漏洞並搭配「Drive by download」路過式下載(隱藏式下載、偷渡式下載、強迫下載. 網頁掛馬)技巧來散布 Locky勒索病毒(勒索軟體/綁架病毒)

Vulnerability 漏洞 勒索軟體 警告 安全

不過,使用者所面臨的威脅還不只這樣。最近,趨勢科技發現這項攻擊又增加了一個新的技巧。除了利用 Flash 漏洞之外,駭客更利用一個 舊的 Windows 權限升級漏洞 (CVE-2015-1701) 來躲避資安軟體的沙盒模擬分析技術。

隱匿的惡意行為

趨勢科技不僅分析了擷取到的網路流量,也分析了一個相關的檔案下載程式  (也就是 TROJ_LOCKY.DLDRA)。從網路流量可發現此威脅利用的是 CVE-2016-1019 漏洞。至於檔案下載程式,則是利用了一個罕見的 Windows 核心漏洞。檔案下載程式可藉此連上其幕後操縱 (C&C) 伺服器 (IP:202.102.110.204:80),並且下載Locky勒索軟體到系統上。這項技巧利用了多項核心層級的系統機制,包括:工作項目、系統執行緒以及非同步程序呼叫 (APC)。由於這些機制在使用時都不需要透過任何檔案,因此惡意程式可以在不被偵測的狀況下植入系統中。

檔案下載程式會將其惡意程式碼植入 Windows 用來執行各種服務的  svchost.exe 系統執行程序當中。此外,它還會檢查 Windows 的版本及 win32k.sys 檔案的日期來確認系統是否含有漏洞,藉此降低被偵測的風險。

這項漏洞可用於躲避偵測,尤其是能躲避沙盒模擬分析技術。此外,以這項核心漏洞為基礎的隱藏技巧,也讓分析和沙盒模擬技巧更難偵測這項威脅。我們在分析惡意程式檔案時發現它在遇到新版的 Windows 作業系統時可能會改用其他漏洞。 Continue reading “Locky 勒索病毒利用 Flash 和 Windows 系統核心漏洞散布"

緊急呼籲:即刻解除安裝 QuickTime for Windows 軟體

就在趨勢科技 Zero Day Initiative 零時差漏洞懸賞機構發現了兩個新的 QuickTime for Windows 漏洞不久之後,Apple 即宣布即將終止對該軟體的支援。

這兩個漏洞可能讓駭客從遠端執行程式碼,進而掌控受害的電腦。若發生在企業環境內部,這等於是敞開大門讓駭客進入全公司網路。

根據趨勢科技全球威脅通訊經理 Christopher Budd 表示,目前尚未看到有任何攻擊已利用這些漏洞,但問題是,這兩個漏洞永遠也沒有機會修補。

Budd 表示:「繼 Microsoft Windows XP 和 Oracle Java 6 之後,QuickTime for Windows 軟體現在也加了支援終止的行列,因此未來不會再釋出更新來修補漏洞。所以,其資安風險將隨著被發現的漏洞數量而不斷升高。最終辦法還是只有依照 Apple 建議將 QuickTime for Windows 解除安裝一途。」

呼籲大家最好遵照 Apple 的建議盡快將 QuickTime for Windows 軟體解除安裝。

原因有二: Continue reading “緊急呼籲:即刻解除安裝 QuickTime for Windows 軟體"

Heartbleed 類型的新HTTPS漏洞 – DROWN出現

 

 

一個新的HTTPS漏洞(已經有了專屬網站、亮眼圖示以及響亮好記的暱稱)已經被發現,被描述為可能跟Heartbleed心淌血漏洞一樣嚴重的漏洞。它被稱為DROWN,跟它在2014年出現的前輩一樣,它會影響今日使用HTTPS的大部分網域(根據其網站的FAQ約33%)。不僅僅是網站,郵件服務器和TLS相關服務也都會受到影響。

 

DROWN是什麼?

它是會影響HTTPS及其他依賴SSL/TLS服務的漏洞。這些協定主要用加密技術來確保服務所需要的個人資料(如登錄憑證/信用卡號碼),像是網路購物、銀行網站還有即時通。

經由利用DROWN,攻擊者能夠破解這些協定,截獲並竊取被保護的個人資料。也可以用它來攻陷合法網站,好變更功能或插入惡意程式碼。

 

誰會受到影響?

很顯然地,任何允許TLS和SSLv2連線的伺服器或客戶端都會。網站 drownattack.com提供線上檢查服務來檢視某個網域或IP是否有DROWN漏洞。

DROWN網站聲稱在漏洞披露(3月1日)時,在所有HTTPS伺服器/網站中有33%具有此弱點。它接著說,以此來說,瀏覽器們所信任的網站中有22%具備此漏洞,包含了前一百萬名網域的25%。

Continue reading “Heartbleed 類型的新HTTPS漏洞 – DROWN出現"

DROWN SSLv2出現漏洞,三分之一的HTTPS伺服器陷入危險

一個「新」而重要的漏洞被發現了,會影響到 HTTPS及有使用 SSL/TLS的服務。這個漏洞存在於SSLv2協定中,影響所有使用的程式。研究人員將此攻擊稱為DROWN,「Decrypting RSA using Obsolete and Weakened eNcryption(即利用過時和弱加密來解密RSA)」的縮寫。此攻擊讓攻擊者可以讀取或竊取透過「安全」連線送出的資訊。目前還沒有已知的真實攻擊發生。

DROWN和其他SSLv2問題在最近的安全通報中使用下列CVE編號:

  • 跨協定攻擊使用SSLv2的TLS(DROWN)(CVE-2016-0800
  • SSLv2不會封鎖停用的加密(CVE-2015-3197
  • 使用分治法(Divide and conquer)找出SSLv2的會話金鑰(session key)(CVE-2016-0703

SSLv2被認為是過時的協定(可以追溯到1995年2月)。已經不再被建議使用在任何工作環境中。然而,許多伺服器仍然因為向下相容的關係而支援SSLv2。伺服器管理員希望確保自己的服務可以盡可能地提供給更多使用者;他們希望確保使用者在連到伺服器時(即便是用過時的系統),可以存取所有可用的服務。

要進行DROWN攻擊,攻擊者必須能夠進行中間人(MITM)攻擊,並且可以對目標伺服器進行多次SSLv2連線。如果攻擊者對伺服器進行多個SSLv2連線,就可以使用暴力破解法找出會話金鑰。一旦找到金鑰,就可以解密被擷取的網路流量。

如果滿足底下兩個條件中的任何一個,伺服器就可能受到DROWN攻擊影響:

  1. 支援SSLv2請求
  2. 其私密金鑰被用在其他允許SSLv2連線的伺服器上,即便是用較新的SSL/TLS協定版本

提出DROWN的研究者聲稱,有17%的HTTPS伺服器仍然允許SSLv2連線。因此,如果能夠進行中間人(MITM)攻擊,攻擊者可以用SSLv2連線來試探伺服器(受害者電腦不會用此發送連線),找出會話金鑰,用它來解密(甚至是TLS流量)。

考慮到重複使用金鑰的狀況,有另外16%的HTTPS伺服器會受到影響,所以有三分之一的HTTPS伺服器都有危險。此外,如果其他服務(如SMTP、POP等)也在這些伺服器上共用同一把金鑰,它們也會有危險。

研究人員已經在GitHub上發表掃描程式,它會發送SSLv2請求到給定端口並等待回應;以此測試漏洞是否存在。這並非指這伺服器已經真的被攻擊了。

 

圖1、DROWN偵測工具展示(點入以放大)

 

解決辦法

要修復此漏洞相當簡單:如同OpenSSL的建議一樣,伺服器管理員需要確保在任何地方都不再支援SSLv2。SSLv2已經過時,有許多已知漏洞,今日已經不該再使用。此外,伺服器的私鑰不該被重複使用,特別是過去曾經支援過SSLv2的伺服器。

OpenSSL 1.0.2的使用者應該升級到1.0.2g。OpenSSL 1.0.1的使用者應該升級到1.0.1s。更舊版本的OpenSSL使用者應該升級到這兩版本的其中一個。

Deep Security客戶可以使用下列DPI規則下來檢查環境中是否有SSLv2被使用:

  • 1005321 – Detected SSLv2 Request

在SSL/TLS 中有其他弱點會讓攻擊更加容易,特別是還在使用出口等級加密(export grade cipher)的話。底下規則可以幫忙偵測和解決這類風險:

 

  • 1006561 – Identified Usage Of TLS/SSL EXPORT Cipher Suite In Response
  • 1006485 – SSL RSA Downgrade Vulnerability
  • 1006562 – Identified Usage Of TLS/SSL EXPORT Cipher Suite In Request

 

@原文出處:DROWN SSLv2 Vulnerability Rears Ugly Head, Puts One-Third of HTTPS Servers At Risk