phpMyAdmin 被發現 0-day 漏洞

資安研究人員在使用率極高的開源 MySQL 網頁管理界面 phpMyAdmin 中,發現一個中等嚴重程度的 0-day 資安濡洞,駭侵者可用以刪除受害用戶的網頁伺服器。

研究報告指出,這個 0-day 漏洞屬於典型的 CSRF 漏洞,駭侵者可以藉由發送某個特別設計的 URL 給具有管理權限,且已登入其 phpMyAdmin 系統的用戶,受者者點按該連結後,即可在受害者不知情的情形下,刪除利用 phpMyAdmin 設定的 MySQL 資料庫。

這個 0-day 漏洞雖然會刪除網頁伺服器,但並不會刪除資料庫本身或任何資料庫中的表格。

此外資安研究人員在今年六月發現此一漏洞時,立即通報給 phpMyAdmin 的維護團隊,但該團隊未能在九十天內修復此漏洞;目前該漏洞亦尚未修復。

  • CVE編號:CVE-2019-12922
  •  影響產品:phpMyAdmin 4.9.0.1 在內的各已推出版本
  • 解決方案:尚無,資料庫管理者應避免點按可疑連結

資料來源:

  1. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12922
  2. https://seclists.org/fulldisclosure/2019/Sep/23
  3. https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html?m=1

大量 Instagram 釣魚郵件,藉侵權為由騙取帳號控制權

資安單位發現大量假冒 Instagram 發送的詐騙釣魚信件,意在竊取帳號控制權,用戶須提高警覺,避免點擊假連結。

據資安公司 Sophos 發布的消息指出,近來有大量假冒熱門相片影片分享社群平台 Instagram 的釣魚信件,在網路上流傳,意圖騙取受害者的帳號控制權。

這波釣魚信件假裝是由 Instagram 平台發出的警告信,指稱用戶分享侵害著作權的內容,如果不按下信件中的申訴按鈕,帳號可能會在 24 小時內遭停權。

用戶如果受騙而按下連結,就會被導向到一個假網站,並要求輸入 Instagram 帳號與密碼;歹徒就可取得用戶的 Instagram 控制權。

由於很多用戶會將同樣的帳號密碼使用在不同服務上,所以歹徒還可能進一步入侵受害者在其他服務上的帳號。

事實上,Instagram 對於侵權內容的處理,並不會在事前通知用戶,而是會先下架內容才通知用戶,所以流程是不一樣的。Instagram 用戶如果收到不明的通知信,一定要提高警覺。

資料來源:

  1. https://nakedsecurity.sophos.com/2019/09/24/instagram-phish-poses-as-copyright-infringement-warning-dont-click/
  2. https://help.instagram.com/1445818549016877

2019年9月份事件通報概況

本中心每日透過官方網站、電郵、電話等方式接收資安情資通報,以下為各項統計數據,分別為通報地區統計圖及通報類型統計圖。

通報地區統計圖為本中心所接獲之通報中,針對通報事件責任所屬地區之通報次數比率,如圖1所示;通報類型統計圖則為本中心所接獲的通報中,各項攻擊類型之筆數比率,如圖2所示。

通報地區統計圖

 

通報類型統計圖

Google 資安研究團隊揭發史上最大 iPhone 駭侵事件

Google 資安研究團隊 Project Zero 揭發史上為期最長、受害範圍最大的 iPhone 駭侵事件;駭侵行動長達兩年時間,受害人數難以估計。

駭侵者係利用 iOS 長期未被發現的 0-day 漏洞,在數個網站中放置惡意程式碼;只要以 iPhone 瀏覽這些網站,就會被植入惡意軟體;用戶在 iPhone 上進行的通訊活動,以及行事曆、相片、密碼、手機所在位置的即時座標等個資都會遭竊。

據 Google 指出,這些被置入惡意程式碼的網站,每周都有數千個訪客。

雖然 Google 並未指出是哪些網站放置惡意程式碼,也沒有指名駭侵者或其目標,但據 TechCrunch 報導,熟知內情人士認為這是由中國支持的駭侵團體,以維吾爾穆斯林人士為目標的駭侵行動。

受這個 0-day 漏洞影響的 iOS 版本,自 iOS 10 一直到 iOS 12;Google 於二月通報 Apple 這個發現,Apple 隨即在二月發行的 iOS 12.1.4 更新中修補了這個嚴重漏洞。

富比士雜誌也指出,這些網站不只攻擊 iPhone,也存有針對 Android 和 Windows 系統的惡意程式碼。

  • 攻擊手法:於網站中安插攻擊用的惡意程式碼。
  • 關鍵字:iOS, 0-day
  • 資料來源:
  1. https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html
  2. https://techcrunch.com/2019/08/31/china-google-iphone-uyghur/
  3. https://www.forbes.com/sites/thomasbrewster/2019/09/01/iphone-hackers-caught-by-google-also-targeted-android-and-microsoft-windows-say-sources/#2adac7224adf

新發現 Android 木馬,不但竊取用戶個資,還會暗中訂閱付費服務

資安研究單位發現一個名為「小丑」(Joker)的 Android 木馬,除了會竊取用戶個資、製造廣告假點閱外,甚至還會暗中訂閱付費服務。

資安公司 CSIS 日前發表研究報告,指出該公司發現一個全新的 Android 木馬程式,稱為「小丑」(Joker),且已經大量透過 Google Play 官方軟體下載中心散布。

這個惡意程式不但會竊取用戶手機中的通訊錄、裝置資訊和簡訊通訊內容,也會製造廣告假點擊,浪費用戶頻寛並詐取廣告分潤;更嚴重的是會自動幫用戶訂閱付費服務,造成更大的損失。

目前 CSIS 觀測到 Joker 已藏身在 24 支於 Google Play 上架的 App 之中,總安裝次數接近五十萬次。受害者多分布於歐洲和亞洲各國,但也觀測到當用戶身處美國和加拿大時,該木馬便會自動停止執行。

CSIS 的報告中有詳細的惡意軟體行為分析可供參考。

資料來源:

https://medium.com/csis-techblog/analysis-of-joker-a-spy-premium-subscription-bot-on-googleplay-9ad24f044451

Android 全新 0-Day 漏洞,可導致駭侵者取得更高操作權限

趨勢科技旗下的資安研究單位 ZDI 發表研究報告指出,該單位發現一個嚴重的 Android 0-Day 漏洞;駭侵者可藉此取得更高的作業系統操作權限。。

ZDI 指出,這個漏洞出現在 Android 的繪圖相關子系統驅動程式 V4l2(Video4Linux 2)中; 駭侵者只要先取得較低的執行權限,接著利用這個漏洞,就可以獲得更高權限,進而控制整個裝置。

這個 0-Day 漏洞的 CVSS 嚴重程度分數達到 7.8,算是相當嚴重的安全漏洞;ZDI 於今年三月通報 Google,但目前針對該漏洞的修補程式,尚未出現在 Google 九月的系統更新之中。

  • 影響產品(版本) :Android 各版本
  • 解決方案:尚無。
  •  CVE編號:暫無
  • 資料來源:
  1. https://www.zerodayinitiative.com/advisories/ZDI-19-780/
  2. https://threatpost.com/android-zero-day-bug-opens-door-to-privilege-escalation-attack-researchers-warn/148014/

蘋果澄清 Google 發表 iOS 安全漏洞報告的若干疑點

日前 Google 發表關於 iOS 的重大安全漏洞消息,造成用戶震撼;蘋果針對其內容發表澄清聲明。

日前 Google 的資安研究團隊 Project Zero 發表重大資安公告,指稱蘋果的 iOS 作業系統存有嚴重資安漏洞,導致駭侵團體長年利用該漏洞竊取用戶敏感資訊;消息傳開後造成媒體大量報導,並造成用戶震撼。

蘋果針對該報告中的問題,於日前發表聲明,澄清下列疑慮:首先,駭侵團體的攻擊目標是針對特定對象,也就是維吾爾人社群,而非針對一般大眾。其次,蘋果強調在 Google 發出公告前六個月,蘋果即已修復該漏洞。

蘋果也說,透過特定網站發動駭侵攻擊的時間,並非如 Google 所說的長達兩年,而是約兩個月。蘋果也在內部發現此一漏洞的十天內就修補了該漏洞。

資料來源:

  1. https://www.apple.com/newsroom/2019/09/a-message-about-ios-security/

 

名為「Checkm8」的漏洞,能破解自 iPhone 4s 到 iPhone X 的所有先前 iPhone 機種

駭客發表一個存在於 iPhone 硬體的漏洞破解方法,能夠暫時性地破解 iOS;為近年來影響範圍最大的 iPhone 漏洞。

這個稱為「Checkm8」(將軍)的漏洞,能在從 iPhone 4s 到 iPhone X 的各種舊款 iPhone 上執行,破解作業系統的執行權限限制,一度引起 iPhone 用戶群的緊張。

但這個漏洞的破解有諸多限制:必須以實體 USB 連接電腦和 iPhone,進入 DFU 模式後,在電腦上執行破解程式才行;而且只要 iPhone 重新開機,破解就失效,必須重覆上述步驟。

此外,除了 iPhone 4s、iPhone 5 和 iPhone 5c 等沒有 Secure Enclave 晶片的機種之外,其他所有 iPhone 機種的資料,都無法透過這個破解取得並解密。

由於是硬體漏洞所致,所以這個漏洞無法修復;不過專家評估這個漏洞並不會造成研重的攻擊事件,用戶只要不讓手機與解鎖密碼落入他人手中,就不必過於擔憂。

資料來源:

  1. https://appleinsider.com/articles/19/09/28/the-checkm8-exploit-isnt-a-big-deal-to-iphone-or-ipad-users-and-heres-why
  2. https://www.theregister.co.uk/2019/09/27/unpatchable_exploit_for_ios/

Windows Defender 防毒軟體於近期更新後無法運作

內建於多個 Windows 版本中的防毒軟體 Windows Defender,在最近一次更新之後出現問題,無法順利掃毒。

 在套用微軟於 2019 年七月發行的每月更新包後,內建於多種 Windows 版本中的掃毒軟體 Windows Defender 出現問題;不論是快速或完整掃毒,在掃瞄約 40 個檔案後,Windows Defender 便會出現「沒有發現威脅」的訊息,然後停止掃毒。

出問題的 Windows Defender 版本是 4.18.1908.7;針對這個錯誤,微軟也推出新版 Windows Defender 加以解決。

如果你還沒有升級到新版,也可以使用「自定掃瞄」來避開這個錯誤。

資料來源:

https://wccftech.com/microsoft-fixes-windows-defender-scans-broke/

惡意活動邀請造成十億 Google 日曆用戶嚴重資安威脅

近來許多 Google 日曆用戶頻繁收到內含惡意連結的活動邀請,造成嚴重資安威脅。Google 已著手處理此一問題。

近來眾多 Google 日曆用戶發現,自己的行事曆中出現奇怪的活動邀請;這些活動邀請往往以贈獎或其他吸引人點擊的文案,以類似釣魚郵件的手法,誘使用戶點擊惡意連結,填寫個資、信用卡資訊。

某些連結甚至直接夾帶惡意軟體,用戶只要一點擊,就有被駭侵的可能。

雖然早在數年前就有資安專家提出類似警告,但 Google 一直到日前才正式承諾,已經認知到該問題,並已著手處理。但 Google 認定這些惡意邀請的出現,並不是產品本身有錯誤或漏洞,而是一種濫用行為。

Google 也呼籲用戶小心處理日曆中出現的不明邀請,若認為該活動邀請有問題,可以提出檢舉並予以刪除。

 

資料來源:

  1. https://support.google.com/calendar/thread/13429505?hl=en
  2. https://support.google.com/calendar/answer/6110973?hl=en&ref_topic=3418057#report_spam
  3. https://www.forbes.com/sites/daveywinder/2019/09/09/google-finally-confirms-security-problem-for-15-billion-gmail-and-calendar-users/#72c55416279f