廣受歡迎的線上會議服務 Zoom 被爆嚴重安全漏洞,網站可藉以綁架 Mac 攝影鏡頭

資安研究人員發現用戶極多的 Zoom 線上視訊會議服務,其 Mac 版應用程式內含嚴重安全漏洞,可直接開啟用戶 Mac 電腦上的攝影鏡頭,並自動將用戶加入任何視訊會議。

獨立資安研究者 Jonathan Leitschuh 發現 Zoom Mac 版應用程式存有極嚴重的 0-day 安全漏洞,任何網站都可利用這個漏洞,在用戶不知情的情形下,直接開啟 Mac 的攝影鏡頭,把用戶加入任一視訊會議之中。

更糟的是,Zoom 完全沒有告知用戶,其應用程式會在 Mac 上安裝一個在背景運作的網頁伺服器;即使用戶先前已將 Zoom 應用程式自 Mac 上移除,這個網頁伺服器也不會遭到移除,甚至還會自動重新安裝 Zoom 應用程式。

Letischuh 指出,這個漏洞會讓用戶的 Mac 陷入被 DoS 的風險之中,只要攻擊者持續發送大量 GET request 指令給 Zoom 秘密安裝的網頁伺服器,Zoom app 就會不斷向 MacOS 發出回到前景模式的要求,這樣就能有效阻斷用戶的正常操作。

Letischuh 在三月初發現這個漏洞後,立即向 Zoom 回報,但 Zoom 沒有立即處理,在一般公認的 90 天保密期中,也僅推出一個快速修補方案,但並沒有真正解決其安全問題。

在各大科技媒體這兩天廣泛報導後,Zoom 才推出緊急更新版本,完全移除隱藏版的網頁伺服器。

 

資料來源:

  1. https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5
  2. https://www.theverge.com/2019/7/8/20687014/zoom-security-flaw-video-conference-websites-hijack-mac-cameras
  3. https://www.theverge.com/2019/7/9/20688113/zoom-apple-mac-patch-vulnerability-emergency-fix-web-server-remove
  4. https://blog.zoom.us/wordpress/2019/07/08/response-to-video-on-concern/

十五年前的惡意軟體 MyDoom,今日依然肆虐

五年前誕生的 Email 惡意軟體 MyDoom,在十五年後的今天,仍然在網路上散布,繼續危害用戶。

據資安專家指出,於 2004 年出現的 Email 惡意軟體 MyDoom,在十五年後仍然在網路上自行散播感染。即使在 2019 年上半年,還是有近五十萬封夾帶 MyDoom 的惡意 Email 在網上流竄。

MyDoom 又名 Novarg、Mimail 或 Shimg,主要透過 Email 感染;受害電腦遭感染後會寄出更多夾帶 MyDoom 的垃圾信,有些變種也會透過區域網路散布。

MyDoom 在感染後會開啟 TCP 埠號 3127 到 3198 的後門,讓攻擊者能過遠端控制受害電腦,並進一步植入更多惡意軟體;某些變種也能用來發動 DoS 攻擊。

雖然已經過了十五年,但 MyDoom 在網路上的活動量不但沒有消失,甚至今年還有增加的趨勢,;目前受害者分布以美國和中國為主,科技業則是主要被攻擊的產業。

 

資料來源:

  1. https://blog.talosintelligence.com/2019/07/rats-and-stealers-rush-through-heavens.html
  2. https://www.bleepingcomputer.com/news/security/notorious-mydoom-worm-still-on-autopilot-after-15-years/

中國 Android 惡意軟體「狸貓換太子」,會將正版 App 替換成夾 帶廣告詐騙機制的假貨

資安研究人員發現一個來自中國的 Android 惡意軟體「史密斯探員」,會將用戶手機中的正版 App 偷換成會夾帶廣告詐騙機制的假 App,受害者已達兩千萬人。

資安公司 Check Point 指出,該公司發現一個來自中國廣州的 Android 惡意軟體,會將用戶手機中的各種正版 App 偷偷換成看起來很像,但是卻會暗中下載並點擊廣告的假 App。

這個被命名為「史密斯探員」(Agent Smith)的 Android 惡意軟體在 2018 年初首次出現,一開始只出現在 Adnroid 平台上一個稱為 9Apps 的第三方 App Store,但 Check Point 最近發現「史密斯探員」也出現在 Google 官方的 Play Store 平台中,已經發現有 11 支 App 內含該惡意軟體。

目前該惡意軟體的受害者已達兩千萬人左右,主要分布在印度、巴基斯坦與孟加拉;Check Point 擔心這支惡意軟體侵入 Google Play Store 後,受害者會大幅增加。該公司估計目前新增的受害者已達一千萬名。

Check Point 也在第一時間通報 Google,目前 Google Play Store 已將確認感染的 App 下架,但 Android 用戶仍應提高警覺,因為類似的惡意軟體種類相當多。

 

資料來源:

  1. https://blog.checkpoint.com/2019/07/10/agent-smith-android-malware-mobile-phone-hack-virus-google/
  2. https://www.zdnet.com/article/new-android-malware-replaces-legitimate-apps-with-ad-infested-doppelgangers/

美國資安公司販售 BlueKeep 駭侵工具,用以測試資安環境

一家名為 Immuity Inc. 的公司,推出可利用 BlueKeep 嚴重安全漏洞的駭侵工具,該公司宣稱這可讓公司行號用以測試資安設定。

一家美國資安公司 Immunity Inc. 在日前在其資安測試工具 CANVAS 7.23 版中,新增了可利用 BlueKeep 漏洞進行駭侵測試的模組,引起資安界的討論。

透過該測試工具,就能成功利用 BlueKeep 取得遠端電腦的控制權,並執行任何程式碼。

BlueKeep 是最近 Windows 遠端桌面協定最嚴重的安全漏洞之一,CVE 編號為 CVE-2019-0708,可以用來散布例如 WannaCry 之類的惡意軟體。微軟已在五月時提供安全更新修補程式,但市面上仍有許多 Windows 電腦未及更新。

CANVAS 的售價達數千美元,該公司表示這個工具僅用於測試用途,而且不會自我複製並感染其他電腦;但有資安專家認為,這個工具的公開販售,等於是讓任何人都能擁有利用 BlueKeep 這個漏洞的強大駭侵工具,只要他出得起幾千美金。

資料來源:

  1. https://www.zdnet.com/article/us-company-selling-weaponized-bluekeep-exploit/
  2. https://twitter.com/Immunityinc/status/1153752470130221057

變種惡意軟體 TrickBooster 肆虐,已感染超過兩億五千萬組 Email 帳號

由TrickBot 變種而來的新惡意軟體 TrickBooster 近來大舉肆虐,據估計已經感染超過兩億五千萬組 Email 帳號。

由三年前的 TrickBot 變種而來的惡意軟體 TrickBooster,近來在歐洲造成大量用戶遭感染,據估計受害者已超過兩億五千萬個 Email 帳號。

TrickBooster 係透過垃圾郵件擴散。用戶電腦感染後,TrickBooster 會取得用戶的 Email 帳密、通訊錄、收件匣和寄件匣,發送夾帶惡意軟體的垃圾信給通訊錄上的連絡人後,再刪除掉寄件備份和垃圾信箱,所以用戶難以發現自己的 Email 被用來寄垃圾惡意信件。

資安研究單位追蹤到 TrickBooster 的控制伺服器,並且取回了存有駭侵記錄的資料庫;分析之後發現在兩億多個受害帳號中,有上百萬個 Email 屬於英國政府及其海內外附屬單位,包括英國國防部、外交部、大英國協相關單位、健保單位,還有多個英國地方政府與民意機關。

 

資料來源:

  1. https://www.governmentcomputing.com/security/digital-disruptions/trickbot-email-addresses-deep-instinct
  2. https://www.deepinstinct.com/2019/07/12/trickbooster-trickbots-email-based-infection-module/

微軟 Excel 存有遠端執行任意程式碼漏洞

微軟 Excel 被發現存有可被遠端執行任意程式碼的資安漏洞。

當 Excel 無法適當處理記憶體中的物件時,就可能遭駭客利用此漏洞進行攻擊。

如果當時被駭用戶以系統管理員權限登入,駭客即可取得系統管理權限,進行各種高階操作。

這個漏洞僅出現在特定版本的微軟 Excel,但作業系統則橫跨 Windows、RT 版和 Mac 版。駭客可以使用夾帶特定檔案或連結的釣魚信或即時訊息,引誘用戶點擊後開啟檔案,以進行攻擊。

影響產品:

  • Microsoft Excel 2010、2013、2016、2019 for Windows 32/64、RT、Mac
  • Office 365 ProPlus for 32/64 bit systems

解決方案:透過系統更新安裝修補程式

 

資料來源:

  1. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1110
  2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1110

Windows Defender Application Control 安控機制可被跳過的漏洞

Windows Defender Application Control 存有一個可被駭侵者跳過的安全漏洞,使駭侵者能免於被 PowerShell 的安控機制阻擋。

駭侵者若想跳過 WDAC,必須先取得系統管理權限,且 PowerShell 係在 Constrained Language 模式下運作;這樣駭侵者便能跳過系統資安機制,取用系統資源。

影響產品(版本):PowerShell Core 6.1、6.2

解決方案:安裝最新微軟安全更新程式

 

資料來源:

  1. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1167
  2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1167
  3. https://twitter.com/CVEnew/status/1152242978649444353

羅技等品牌無線鍵鼠 USB 接收器,存有多個嚴重資安漏洞,可能遭劫持

包括羅技、微軟等主要品牌無線鍵鼠或簡報控制器,其 USB 接收器被資安人員發現存有多個嚴重安全漏洞,駭侵者附了可以竊取鍵盤按鍵資料外,更可以插入按鍵資料,並且取得電腦控制權。

資安人員指出,這些漏洞也能讓駭客取得用於加密鍵鼠通訊的密鑰;甚至還能跳過阻擋不明鍵鼠連線的安全系統。

存有這些安全漏洞的裝置,包括羅技全系列使用「Unifying」USB 接收器的產品線;羅技自 2009 年起使用 Unifying USB 接收器於所有無線滑鼠、鍵盤、軌跡球、簡報控制器等周邊之上。

事實上,這個漏洞並非羅技產品獨有,只要是採用了相同的控制晶片的產品,都存有這個漏洞;受影響的品牌除羅技外,還包括 HP、Dell、Gigabyte、Lenovo、AmazonBasics、微軟的無線鍵鼠產品等;而且因為是硬體的安全漏洞,所以和作業系統無關,包括 Windows、OSX、Linux 等皆受影響。

目前僅有部分廠牌推出更新修補程式,建議以上廠牌無線鍵鼠用戶盡速更新,以免成為駭侵對象。

影響產品(版本):羅技、HP、Dell、Gigabyte、Lenovo、AmazonBasics、微軟等多種無線鍵鼠產品

解決方案:至各廠牌網站下載安裝更新修補程式

 

資料來源:

  1. https://www.bastille.net/research/vulnerabilities/mousejack/affected-devices?fbclid=IwAR2-XqecmMnE4SfV39NQBMUB68cG3opAQi6Lufu_BT66zh7HiUCmZNY3Smg
  2. https://www.zdnet.com/article/logitech-wireless-usb-dongles-vulnerable-to-new-hijacking-flaws/?fbclid=IwAR2lndtglgv4poJXZzC2p9URXqHNyeLdB6VEOGu9J2MsOsh7tPQfBY43Ec8
  3. https://www.theverge.com/2019/7/14/20692471/logitech-mousejack-wireless-usb-receiver-vulnerable-hack-hijack?fbclid=IwAR0vBhtQYrWsIcnTngnjl2nUg7nsequXBTFtBfeVIBvuNW4dKUa36SgzovE

Gmail、Google 日曆等服務,已成釣魚郵件與惡意軟體有效散布管道

卡巴斯基發表研究報告,指出用戶眾多的 Gmail 和 Google 日曆等 Google 雲端服務,現在也成為釣魚郵件與惡意軟體散布的有效管道。

資安公司卡巴斯基指出,用戶眾多,使用便利的 Google 各種雲端服務,目前成為駭侵團體發動釣魚郵件並散布惡意軟體的有效管道。

詃公司近來發現,包括 Gmail、Google 日曆、Google 相簿、Google 線上表單、Google Drive 和儲存空間,甚至連網站分析工具 Google Analytics,都傳出駭客利用來散布釣魚垃圾信與惡意軟體的案例。

以 Google 日曆為例,駭客可以透過發送假的行程邀請給受害者,並在邀請中置入惡意軟體連結;通常用戶對於行程邀請的防備心較薄弱,再加上日曆服務不像 Email 一樣多半備有成熟且較精準的垃圾與病毒偵測機制,因此用戶中標比例更高。

同樣的,駭客也會透過共享 Google Photos 相片,來發送夾帶惡意連結的通知信;由於通知信是用 Google Photos 的系統發出,因此用戶不易起疑。

在卡巴斯基的報告中,分享了更多利用 Google 服務發送惡意連結的案例,頗值參考;用戶在收到任何來自 Google 服務的通知或邀請時,也應該仔細檢視發送者,來自不明發送者的邀請不要點開,疑似詐騙或夾帶惡意連結的應立即檢舉。

資料來源:

  1. https://usa.kaspersky.com/blog/spam-through-google-services/17799/

資安研究單位指出,Email 仍是最主要的駭侵攻擊目標

多家資安研究單位共同指出,雖然現今各種駭侵方式日新月異,Email 仍然是最主要且最容易的駭侵管道。

綜合各家資安研究單位針對 Email 易遭攻擊的研究資料,有以下發現:

  • Mimecast 指出,過去一年以來有高達 73% 的公私營單位曾遭假冒身分攻擊並造成損失;其中 55% 的攻擊是釣魚信件。
  • Mimecast 又說,同時也有 53% 的公私營單位曾遭勒贖信件攻擊;一年前的比例是 26%。
  • Proofpoint 表示,2019年第一季觀察到的惡意檔案攻擊,有 61% 和 Emotet 有關;Emotet 是一個能發動各式攻擊的 botnet,會透過垃圾郵件等方式來夾帶惡意檔案。值得注意的是,在郵件中放置惡意檔案下載連結的攻擊方式,五倍於直接夾帶惡意軟體檔案。
  • Proofpoint 也說,愈來愈多攻擊事件透過社交工程發動 Email 攻擊。

資料來源:

https://usa.kaspersky.com/blog/spam-through-google-services/17799/