又有一所美國大專院校遭勒贖,要求二百萬美元贖金

位於美國紐約的蒙洛學院(Monroe College)上周遭勒贖軟體攻擊;駭客要求的贖金高達二百萬美元。

蒙洛學院於七月十一日遭到勒贖軟體的駭侵攻擊,導致該校師生無法存取校務電腦系統;包括該校的網站、Email、教學輔助系統等都陷入癱瘓。

攻擊者要求該校以比特幣支付相當於二百萬美元的巨額贖款,以取回被加密鎖定的系統與校務檔案。

該校表示,目前尚不清楚攻擊者的身分;該校也尚未決定是否要支付高達二百萬美元的贖金。該校已經會同 FBI 進行調查,而資安研究單位認為最近幾起針對政府單位和學校的勒贖攻擊行動,很可能都是同樣幾個駭侵團體發動的。

另外,駭侵團體要求的勒贖金額也有升高的趨勢;數年前幾家美國大學院校被勒贖的贖款約在數千美元上下,然而近來贖金卻節節上漲。

 

資料來源:

  1. https://www.insidehighered.com/news/2019/07/15/hackers-demand-2-million-monroe-college-ransomware-attack
  2. https://nakedsecurity.sophos.com/2019/07/16/ransomware-attackers-demand-1-8m-from-us-college/

掀起全球流行的變臉軟體 FaceApp,資安疑慮引發各界關注

近來再度於社群平台上掀起全球話題俄羅斯變臉軟體 FaceApp,引發大量資安疑慮;資安專家認為用戶應該謹慎使用這類 App

兩年前就已推出的手機變臉軟體 FaceApp,最近推出可以計算模擬人臉變老的模樣,因而再度掀起使用熱潮;許多用戶在社群平台上分享自己變老後的照片;但 FaceApp 是由俄羅斯團隊開發,再加上美國總統大選將至,因而引發各界的資安疑慮。

美國民主黨全國委員會就提出警訊,呼籲民眾不要安裝使用這支來自俄羅斯的 App,以避免潛在的資安風險;也有資安專家從其使用授權條款出發,認為這支 App 的使用條款要求太多權限,無法確保用戶隱私。甚至有人指出 FaceApp 會把用戶手機裡的所有相片上傳到俄羅斯的伺服器。

TechCrunch 和其它專家研究 FaceApp 的運作過程,指出並沒有觀察到除了用戶選定的相片之外,其他相片也被上傳的跡象;專家說 iPhone 版 FaceApp 使用的是 iOS 的標準 API,一次只能上傳一張用戶主動選取的相片。

FaceApp 團隊也出面說明,該團隊雖然位在俄羅斯,但用戶相片是在 AWS 和 Google Cloud 中處理,並沒有傳送到俄羅斯。

資料來源:

  1. https://techcrunch.com/2019/07/17/faceapp-responds-to-privacy-concerns/
  2. https://edition.cnn.com/2019/07/17/politics/dnc-warning-faceapp/index.html

Google 發現能讓 iPhone 變磚的 iMessage 訊息炸彈

Google 的資安研究單位發現,特定的 iMessage 訊息能讓 iPhone 陷入反覆重開機的錯誤,除非將手機重設為出廠預設狀態,否則手機將無法使用。

根據 Google 資安研究單位 Project Zero 指出,該單位發現一個可讓 iPhone 無法使用(變磚)的 iMessage 文字訊息炸彈;iPhone 一旦接收到這個訊息,就會陷入不斷重新啟動的循環,導致用戶無法使用手機,甚至 hard reset 都無法解決問題。

研究人員說,用戶想要取回手機控制權的唯一方式,就是在重開機後立即進入恢復模式,然後清空手機內所有資料,回復至出廠狀態。這當然會造成用戶存在手機中的資料流失。

除了 iPhone 外,如果是 Mac 版 iMessage 接收到這個訊息,同樣會造成 MacOS 當機,但重新啟動後即可繼續使用,不會造成 Mac 變磚。

Google Project Zero 在發現這個問題時便立即通報 Apple,Apple 也在問題提報的九十天之內就推出了修補軟體;只要 iPhone 在五月時更新到 iOS 12.3 之後的版本,就不用擔心這個問題。還沒有更新到此版本的 iPhone 使用者,請立即更新,並打開手機的自動更新開關。

資料來源:

  1. https://bugs.chromium.org/p/project-zero/issues/detail?id=1826
  2. https://www.forbes.com/sites/daveywinder/2019/07/07/google-confirms-apple-iphone-bricking-imessage-bomb/#296a19177a43

中國製智慧家庭設備商,洩漏超過二十億筆個資項目

中國一家名為 Orvibo 的智慧家庭設備供應商,遭資安單位發現將二十億筆以上的個資資料庫曝露在網上,幾無保護,供人任意存取。

據資安研究人員指出,在這個資料庫中主要存有用戶姓名、Email、密碼、精確的地點座標資訊,筆數達二十億筆以上,含蓋幾乎全球各地的用戶,受害者遍及中國、日本、泰國、美國、英國、墨西哥、法國、澳洲、巴西等國。

Orvibo 主要的業務範圍包括各種智慧家庭解決方案,例如家用、業務用或旅館業者的各種系統,包括安全與能源管理系統,以及遠端監控與資料記錄分析服務,並透過其私有雲端服務平台加以整合。

這個資料庫的內容僅經過簡單的 MD5 雜湊加密,非常容易破解還原;資安研究單位在六月初就發送資安疑慮通知給 Orvibo 公司,但直到七月初,該公司才將這個資料庫加上較強的保護措施。

資料來源:

  1. https://www.bleepingcomputer.com/news/security/billions-of-records-including-passwords-leaked-by-smart-home-vendor/
  2. https://blog.avast.com/orvibo-smart-home-devices-leaked-records

廣受歡迎的線上會議服務 Zoom 被爆嚴重安全漏洞,網站可藉以綁架 Mac 攝影鏡頭

資安研究人員發現用戶極多的 Zoom 線上視訊會議服務,其 Mac 版應用程式內含嚴重安全漏洞,可直接開啟用戶 Mac 電腦上的攝影鏡頭,並自動將用戶加入任何視訊會議。

獨立資安研究者 Jonathan Leitschuh 發現 Zoom Mac 版應用程式存有極嚴重的 0-day 安全漏洞,任何網站都可利用這個漏洞,在用戶不知情的情形下,直接開啟 Mac 的攝影鏡頭,把用戶加入任一視訊會議之中。

更糟的是,Zoom 完全沒有告知用戶,其應用程式會在 Mac 上安裝一個在背景運作的網頁伺服器;即使用戶先前已將 Zoom 應用程式自 Mac 上移除,這個網頁伺服器也不會遭到移除,甚至還會自動重新安裝 Zoom 應用程式。

Letischuh 指出,這個漏洞會讓用戶的 Mac 陷入被 DoS 的風險之中,只要攻擊者持續發送大量 GET request 指令給 Zoom 秘密安裝的網頁伺服器,Zoom app 就會不斷向 MacOS 發出回到前景模式的要求,這樣就能有效阻斷用戶的正常操作。

Letischuh 在三月初發現這個漏洞後,立即向 Zoom 回報,但 Zoom 沒有立即處理,在一般公認的 90 天保密期中,也僅推出一個快速修補方案,但並沒有真正解決其安全問題。

在各大科技媒體這兩天廣泛報導後,Zoom 才推出緊急更新版本,完全移除隱藏版的網頁伺服器。

 

資料來源:

  1. https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5
  2. https://www.theverge.com/2019/7/8/20687014/zoom-security-flaw-video-conference-websites-hijack-mac-cameras
  3. https://www.theverge.com/2019/7/9/20688113/zoom-apple-mac-patch-vulnerability-emergency-fix-web-server-remove
  4. https://blog.zoom.us/wordpress/2019/07/08/response-to-video-on-concern/

十五年前的惡意軟體 MyDoom,今日依然肆虐

五年前誕生的 Email 惡意軟體 MyDoom,在十五年後的今天,仍然在網路上散布,繼續危害用戶。

據資安專家指出,於 2004 年出現的 Email 惡意軟體 MyDoom,在十五年後仍然在網路上自行散播感染。即使在 2019 年上半年,還是有近五十萬封夾帶 MyDoom 的惡意 Email 在網上流竄。

MyDoom 又名 Novarg、Mimail 或 Shimg,主要透過 Email 感染;受害電腦遭感染後會寄出更多夾帶 MyDoom 的垃圾信,有些變種也會透過區域網路散布。

MyDoom 在感染後會開啟 TCP 埠號 3127 到 3198 的後門,讓攻擊者能過遠端控制受害電腦,並進一步植入更多惡意軟體;某些變種也能用來發動 DoS 攻擊。

雖然已經過了十五年,但 MyDoom 在網路上的活動量不但沒有消失,甚至今年還有增加的趨勢,;目前受害者分布以美國和中國為主,科技業則是主要被攻擊的產業。

 

資料來源:

  1. https://blog.talosintelligence.com/2019/07/rats-and-stealers-rush-through-heavens.html
  2. https://www.bleepingcomputer.com/news/security/notorious-mydoom-worm-still-on-autopilot-after-15-years/

變種惡意軟體 TrickBooster 肆虐,已感染超過兩億五千萬組 Email 帳號

由TrickBot 變種而來的新惡意軟體 TrickBooster 近來大舉肆虐,據估計已經感染超過兩億五千萬組 Email 帳號。

由三年前的 TrickBot 變種而來的惡意軟體 TrickBooster,近來在歐洲造成大量用戶遭感染,據估計受害者已超過兩億五千萬個 Email 帳號。

TrickBooster 係透過垃圾郵件擴散。用戶電腦感染後,TrickBooster 會取得用戶的 Email 帳密、通訊錄、收件匣和寄件匣,發送夾帶惡意軟體的垃圾信給通訊錄上的連絡人後,再刪除掉寄件備份和垃圾信箱,所以用戶難以發現自己的 Email 被用來寄垃圾惡意信件。

資安研究單位追蹤到 TrickBooster 的控制伺服器,並且取回了存有駭侵記錄的資料庫;分析之後發現在兩億多個受害帳號中,有上百萬個 Email 屬於英國政府及其海內外附屬單位,包括英國國防部、外交部、大英國協相關單位、健保單位,還有多個英國地方政府與民意機關。

 

資料來源:

  1. https://www.governmentcomputing.com/security/digital-disruptions/trickbot-email-addresses-deep-instinct
  2. https://www.deepinstinct.com/2019/07/12/trickbooster-trickbots-email-based-infection-module/

微軟 Excel 存有遠端執行任意程式碼漏洞

微軟 Excel 被發現存有可被遠端執行任意程式碼的資安漏洞。

當 Excel 無法適當處理記憶體中的物件時,就可能遭駭客利用此漏洞進行攻擊。

如果當時被駭用戶以系統管理員權限登入,駭客即可取得系統管理權限,進行各種高階操作。

這個漏洞僅出現在特定版本的微軟 Excel,但作業系統則橫跨 Windows、RT 版和 Mac 版。駭客可以使用夾帶特定檔案或連結的釣魚信或即時訊息,引誘用戶點擊後開啟檔案,以進行攻擊。

影響產品:

  • Microsoft Excel 2010、2013、2016、2019 for Windows 32/64、RT、Mac
  • Office 365 ProPlus for 32/64 bit systems

解決方案:透過系統更新安裝修補程式

 

資料來源:

  1. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1110
  2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1110

Windows Defender Application Control 安控機制可被跳過的漏洞

Windows Defender Application Control 存有一個可被駭侵者跳過的安全漏洞,使駭侵者能免於被 PowerShell 的安控機制阻擋。

駭侵者若想跳過 WDAC,必須先取得系統管理權限,且 PowerShell 係在 Constrained Language 模式下運作;這樣駭侵者便能跳過系統資安機制,取用系統資源。

影響產品(版本):PowerShell Core 6.1、6.2

解決方案:安裝最新微軟安全更新程式

 

資料來源:

  1. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1167
  2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1167
  3. https://twitter.com/CVEnew/status/1152242978649444353

羅技等品牌無線鍵鼠 USB 接收器,存有多個嚴重資安漏洞,可能遭劫持

包括羅技、微軟等主要品牌無線鍵鼠或簡報控制器,其 USB 接收器被資安人員發現存有多個嚴重安全漏洞,駭侵者附了可以竊取鍵盤按鍵資料外,更可以插入按鍵資料,並且取得電腦控制權。

資安人員指出,這些漏洞也能讓駭客取得用於加密鍵鼠通訊的密鑰;甚至還能跳過阻擋不明鍵鼠連線的安全系統。

存有這些安全漏洞的裝置,包括羅技全系列使用「Unifying」USB 接收器的產品線;羅技自 2009 年起使用 Unifying USB 接收器於所有無線滑鼠、鍵盤、軌跡球、簡報控制器等周邊之上。

事實上,這個漏洞並非羅技產品獨有,只要是採用了相同的控制晶片的產品,都存有這個漏洞;受影響的品牌除羅技外,還包括 HP、Dell、Gigabyte、Lenovo、AmazonBasics、微軟的無線鍵鼠產品等;而且因為是硬體的安全漏洞,所以和作業系統無關,包括 Windows、OSX、Linux 等皆受影響。

目前僅有部分廠牌推出更新修補程式,建議以上廠牌無線鍵鼠用戶盡速更新,以免成為駭侵對象。

影響產品(版本):羅技、HP、Dell、Gigabyte、Lenovo、AmazonBasics、微軟等多種無線鍵鼠產品

解決方案:至各廠牌網站下載安裝更新修補程式

 

資料來源:

  1. https://www.bastille.net/research/vulnerabilities/mousejack/affected-devices?fbclid=IwAR2-XqecmMnE4SfV39NQBMUB68cG3opAQi6Lufu_BT66zh7HiUCmZNY3Smg
  2. https://www.zdnet.com/article/logitech-wireless-usb-dongles-vulnerable-to-new-hijacking-flaws/?fbclid=IwAR2lndtglgv4poJXZzC2p9URXqHNyeLdB6VEOGu9J2MsOsh7tPQfBY43Ec8
  3. https://www.theverge.com/2019/7/14/20692471/logitech-mousejack-wireless-usb-receiver-vulnerable-hack-hijack?fbclid=IwAR0vBhtQYrWsIcnTngnjl2nUg7nsequXBTFtBfeVIBvuNW4dKUa36SgzovE