Windows 7 更新後無法啟動,微軟暫停對 Sophos 防毒用戶推送四月分更新

微軟暫停推送本月的 Windows 7 與 Windows 8.1 更新給 Sophos 防毒軟體用戶,因為有眾多用戶回報更新後電腦即無法啟動。

發生更新後無法啟動問題的,主要是在 Windows 7 和 Windows 8.1 上安裝 Sophos Endpoint Security and Control 以及 Sophos Central Endpoint Standard/Advanced 防毒軟體的電腦;同樣的問題也出現在 Windows Server 2008 R2 和 Windows Server 2012 之上。

微軟在周二推送了四月分的軟體更新,主要解決的問題包括 KB4493467、KB4493446、KB4493448、KB4493472、KB4493450 和 KB4493451。

Sophos 已經對其用戶發出通知,暫勿安裝微軟四月份系統更新;已經安裝且發生問題的用戶,可以用安全模式啟動電腦後關閉 Sophos 防毒並移除更新程式,就能再度啟動 Windows 並重新啟用 Sophos 防毒。

其他消息來源指出,Avast防毒同樣受這次更新影響,但微軟尚未確認。

資料來源:

  1. https://community.sophos.com/kb/en-us/133945
  2. https://www.zdnet.com/article/windows-7-problems-microsoft-blocks-april-updates-to-systems-at-risk-of-freezing

駭侵組織鎖定 D-Link、TOTOLINK 等家用路由器進行 DNS 劫持

近三個月來有駭侵團體鎖定家用路由器進行 DNS 劫持攻擊,遭入侵的多為 D-Link 和 TOTOLINK 的產品,總數接近兩萬台。

資安公司 Bad Packets 指出,該公司自去年十二月起觀察到至少三波大規模家用路由器劫持攻擊事件,而攻擊行動目前仍持續進行中。

駭侵團體透過路由器韌體的安全漏洞,竄改路由器的 DNS 伺服器設定,將用戶的網路連線導向至假的 DNS 伺服器,以讓用戶進入假網站,誘使用戶輸入帳號密碼或其他重要資訊。

據報導,受害者會被導至的假網站包括 Netflix、Google、PayPal 等,以及巴西多家銀行的官方網站。

目前已知受害的路由器廠牌型號與受感染台數分列如下:

  • D-Link DSL-2640B – 14,327
  • D-Link DSL-2740R – 379
  • D-Link DSL-2780B – 0
  • D-Link DSL-526B – 7
  • ARG-W4 ADSL routers – 0
  • DSLink 260E routers – 7
  • Secutech routers – 17
  • TOTOLINK routers – 2,265

如果你發現自己的路由器 DNS 被設定為以下四個 IP 之一,請立即更正,並儘快更新路由器韌體。

  • 70.173.48
  • 217.191.145
  • 128.126.165
  • 128.124.131

資料來源:

  1. https://badpackets.net/ongoing-dns-hijacking-campaign-targeting-consumer-routers/
  2. https://twitter.com/stefant/status/1114190053226549248
  3. https://en.wikipedia.org/wiki/DNSChanger
  4. https://www.zdnet.com/article/hacker-group-has-been-hijacking-dns-traffic-on-d-link-routers-for-three-months/#ftag=RSS-03-10aaa0a

最新 WiFi 加密標準 WPA3 存有安全漏洞,攻擊者可取得密碼

研究報告指出,最新的 WiFi 加密標準 WPA3 仍存有安全漏洞,駭客可藉以取得無線網路的加密密碼。

由資安專家 Mathy Vanhoef 和 Eyal Roene 發表的研究報告指出,最新的 WPA3 無網網路加密協定,仍然存有一系列的安全漏洞;駭客可以透過這些漏洞取得無線網路密碼。

報告指出,推出才一年的 WPA3,當初是為了補強 WPA2 的弱點而推出,例如離線字典攻擊與前向保密(Forward secrecy);然而 WPA3 本身也有一些設計缺陷。

該報告透過理論分析與實際模擬,指出駭客可以利用時間差或鄰近頻道的快取攻擊來取得 WiFi 密碼。

報告也指出,他們找到的安全漏洞,能夠以非常簡單的軟體更新加以解決。

詳細的漏洞分析與攻擊模擬結果,可參照報告原文。

資料來源:

  1. https://papers.mathyvanhoef.com/dragonblood.pdf
  2. https://www.computing.co.uk/ctg/news/3074010/security-flaws-in-wpa3-allow-attackers-to-hack-passwords

義大利公司疑似散布間諜軟體,Google Play 緊急下架二十五支 App

Google Play 日前緊急移除二十五支 App,這些 App 遭到一支被稱為  Exodus 的間諜軟體感染;資安研究單位指散布該 App 的是一家名稱 eSurv 的義大利公司,而該公司亦承包義大利政府標案,目前正接受司法調查。

非營利資安研究單位「無邊界安全」(Security Without Borders)指出,這些 App 偽裝成義大利各電信業者的服務用軟體。

一旦感染後,手機中的各種資訊,包括 IMEI、手機號碼、安裝的 App 清單、撥號與通聯記錄、簡訊內容、手機所在地的座標、網頁瀏覽記錄、行事曆中的行程、通訊錄等敏感個資都會遭到不當存取。

無邊界安全同時指出,Exodus 可能已經感染數百到上千支 Android 手機。

散布該 App 的義大利公司 eSurv 的主要業務是錄影監視系統、無人機監視、面孔與車牌辨識等安保範圍;在此事遭揭發後 eSurv 的網站即無法讀取,該公司的多個社群帳號亦被清空。

那不勒斯的義大利檢調單位已針對此案展開調查行動。報導指出,三星期前 eSurv 的辦公室即遭到搜索,所有可疑電腦設備均遭調查單位查扣。

資料來源:

  1. https://securitywithoutborders.org/blog/2019/03/29/exodus.html
  2. https://threatpost.com/google-play-boots-italian-spyware-apps-that-infected-hundreds/143308/
  3. https://www.securityweek.com/exodus-android-spyware-possible-links-italian-government-analyzed
  4. https://www.vice.com/en_us/article/eveeq4/prosecutors-investigation-esurv-exodus-malware-on-google-play-store

新發現的高通晶片設計瑕疵,可能導致眾多 Android 裝置面臨密鑰外洩風險

新發現的高通(Qualcomm)手機晶片設計瑕疵,讓駭客得以取得存在晶片中的加密密鑰。Android 手機機用戶請盡速更新系統。

資安研究單位 NCC Group 的研究員 Keegan Ryan 近日發表研究報告,指出高通的手機晶片由於設計瑕疵,駭侵者可用其分支預測與快取中取得資訊,並且據以解開儲存於晶片中的 224、256 位元 ECDSA 加密密鑰。

研究報告稱一供有 36 種高通手機晶片有此安全問題,包括廣泛使用在各型熱銷 Android 手機中的 SnapDragon 820、835、845 與 855 型晶片。

採用這些晶片的市場熱銷手機包括 Samsung Galaxy 系列、Sony Xperia 系列、小米 Mi 系列和 LG V50、中興 Axon 等。

Qualcomm 在今年四月時針對此漏洞推出修補程式,而 Google 隨後也發表 Android 系統更新;然而各廠家推出針對旗下 Android 手機系統更新軟體的進度不一,有些較舊手機甚至完全無法更新。建議 Android 手機用戶盡可能安裝最新版作業系統。

資料來源:

  1. https://www.nccgroup.trust/us/our-research/private-key-extraction-qualcomm-keystore/
  2. https://threatpost.com/qualcomm-critical-flaw-private-keys-android/144112/
  3. https://www.qualcomm.com/company/product-security/bulletins

多支 Android App 內含廣告軟體,大量耗電並用光連線頻寛

資安廠商發現多達 50 支 Google Play Store 中的 Android App 暗藏廣告軟體,不但破壞用戶體驗,更會造成電力或可用上網額度快速耗盡等問題。

資安廠商 Avast 發表研究報告指出,該公司在 Google Play Store 中發現至少 50 支各式 Android App,內含有問題的廣告軟體,會造成用戶各種困擾。

一但用戶安裝了這些 App,不但手機經常會自動跳出全螢幕廣告,還會要求用戶點按安裝特定 App;而用戶的手機速度會明顯變慢,電池電力會快速耗盡,可用上網額度也會被占用;對沒有上網吃到飽的用戶來說,可能造成上網費用暴增。

據 Avast 統計,這些 App 個別下載量從五千次到五百萬次不等,整體下載量可能超過三千萬次;而 App 所屬領域相當多元,從小遊戲、健身、相片編修、音樂等都有。目前多數廣告 App 均已遭下架。

由於這些 Android App 都曾在 Google Play 合法上架,因此用戶難以識別;Avast 建議 Android 手機用戶應該安裝值得信任的防毒軟體,在下載前也應先仔細閱讀 App 說明與用戶意見回饋。類似的不良 App 應會有用戶提供負面反應,只要細讀即可察覺。另外對於要求過多權限的 App,也應提高警覺。

資料來源:

  1. https://blog.avast.com/adware-plagues-google-play
  2. https://docs.google.com/spreadsheets/d/1T2zy8lTtkYj45psdTyOZw6GVe1WI7LQuU8k42tHeiuM/edit#gid=1186582891

汽車大廠 Toyota 五周以來兩度遭大規模駭侵

全球汽車生產大廠 Toyota 日前宣布其在日本的多家事業體遭到駭侵攻擊,這已經是五周以來該公司第二度遭大規模攻擊。

Toyota 指出,遭駭客攻擊的公司以其設於東京的銷售子公司為主,駭客侵入其資料庫,近三百一十萬名顧客資料遭到不當存取。

目前該公司正在調查這些資料是否外流且遭到濫用,Toyota 也指出這些資料並不包括客戶的財務資訊,但 Toyota 並未公布遭駭資料包括哪些項目。

此外,Toyota 在越南的子公司也在同一天表示該公司可能遭駭。

五周前 Toyota 澳洲分公司遭到更猛烈的駭侵攻擊,影響程度較本次事件更劇;該公司在澳洲的銷售活動遭到阻礙,甚至無法交車。資安專家懷疑主導這次駭侵行動的組織,極可能是來自越南的 APT32 (OceanLotos) 駭侵團體。有報導指出 APT32 目前集中鎖定全球大型車廠進行攻擊。

資料來源:

  1. https://www.infosecurity-magazine.com/news/toyota-japan-hacked-vietnam-office/
  2. https://www.zdnet.com/article/toyota-announces-second-security-breach-in-the-last-five-weeks/
  3. https://www.cyberscoop.com/apt32-ocean-lotus-vietnam-car-companies-hacked/

LockerGoga 勒贖軟體分析

資安廠商 Securonix 發表研究報告,詳細解析造成全球鋁業大廠 Norsk Hydro 與其他企業近四千萬美元損失的勒贖軟體 LockerGoga,其感染途徑與運作流程。

據 Securonix 的研究報告指出,LockerGoga 為害對象是以企業內的 Windows 電腦  IT 與 OT(Operational Technology)系統為主;近期對挪威海德魯鋁業公司和其他受害企業造成的損失,約在三千五百萬到四千一百萬美金之間。

LockerGoga 的主要感染途徑,據研究指出很可能是透過夾帶惡意巨集的 MS Word 或 RTF 文件檔的釣魚郵件散布。

LockerGoga 內建多個發行商發行的合法數位簽章,因此能夠躲過某些惡意軟體入侵偵測系統;報告也指出某些 LockerGoga 的變體更包含了 taskkill 指令,能夠直接停止各種防毒防駭軟體的運作。

也有部分變體版本能夠刪除 Windows 內的事件記錄檔案。

LockerGoga 也像其他惡意軟體一樣,能透過 SMB 在內部網路中尋找對象 Windows 電腦進行感染;甚至還能透過 Active Directory 在內部網路中大量散布。

一旦 Windows 電腦感染 LockerGoga 後,檔案系統內的 doc、.dot、.docx、.docb、.dotx、.wkb、.xlm、.xml、.xls、.xlsx、.xlt、.xltx、.xlsb、.xlw、.ppt、.pps、.pot、.ppsx、.pptx、.posx、.potx、.sldx、.pdf、.db、.sql、.cs、.ts、.js、py 等檔案,便會用勒贖軟體內建的 RSA-1024 公鑰來將檔案加密用的 AES-256 私鑰進行加密。遭加密的檔案其附檔名會被改為 .locked。

其餘的詳細流程可直接參考 Securonix 的研究報告。

資料來源:

  1. https://www.securonix.com/securonix-threat-research-detecting-lockergoga-targeted-it-ot-cyber-sabotage-ransomware-attacks/

英國政府:資料駭侵造成的企業損失,兩年來增加 41%

英國政府發表報告,針對 1500 家企業和 500 家非營利機構調查結果指出,因駭侵造成的資料外洩損失,兩年以來增加了 41%

英國數位、文化、媒體與體育部(DCMS)日前發表年報,針對 1500 家大中小型企業與 500 家非營利組織,調查其資安意識與認知、資安布署情形,以及被駭侵的狀況、受影響程度等。

調查報告中有兩個重點:首先是受駭侵的企業家數較去年為少:2017 年有 46% 企業回報遭到駭侵,2018 年為 43%;2019 年的數字是 32%;但個別企業被駭平均次數則由 2017 年的 2 次提高到今年的 6 次。

其次,大多數企業均已針對 GDPR 的最新規範進行資安升級行動。

專家認為企業對資安的意識與防護行動正在逐漸提升,這可能是因為 GDPR 相關法令的嚴格規範所促成;另外駭侵行動本身也產生質變,攻擊行為逐漸集中在少數目標,而攻擊的強度也有所提升。

資料來源:

  1. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/791940/Cyber_Security_Breaches_Survey_2019_-_Main_Report.PDF
  2. https://www.securityweek.com/cost-data-breach-uk-increases-more-41-two-years

67% 的旅館網站,可能外洩房客訂房記錄與個人資料給第三方

研究指出,高達 67% 的旅館或飯店網站,會讓房客訂房記錄與個資外流;駭客甚至可以取消你的訂房。

資安公司賽門鐵克近日發表研究報告,指出 54 國、超過 1500 家以上的旅館或飯店,會將房客的訂房代碼分享給第三方廣告商或分析工具廠商;每個飯店網站都有隱私權政權,但無一提及上述行為。

取得訂房代碼的第三方,將有機會存取各種旅客的資訊,諸如旅客全名、Email 地址、居住地址、手機號碼、信用卡後四碼、卡片種類、卡片到期日、護照號碼等重要資訊。

該報告針對從二星級到五星級飯店的網站進行廣泛測試,有些飯店隸屬於全球級連鎖飯店旗下,其中 57% 的飯店在訂房後會以 Email 寄送連回飯店網站的直接連接,而連結網址中就含有如訂房編號和個人 Email 等未加密的明文資訊。

而當旅客點擊連結開啟網頁時,平均會產生多達 176 個連線要求,許多連線要求是用以開啟各種第三方內容,例如廣告系統、社群分享工具或分析工具等等;這些工具往往可以藉此取得傳輸的資訊。

詳細可參考賽門鐵克報告全文。

資料來源:

https://www.symantec.com/blogs/threat-intelligence/hotel-websites-leak-guest-data