中心公告
2021/09/01
教育部來函轉知 TWNIC RPZ 設定線上說明會 及 自建DNS 遞迴主機之連線填報
請有自建 DNS 遞迴主機之學校回報給區網中心,目前暨南大學已經加入 TWNIC RPZ 計畫,建議有自建 DNS 的學校也可以加入,強化資訊安全,其活動資訊如下:
TWNIC 『RPZ 設定線上說明會』 相關資訊
場次一、110年9月28日 下午2時至4時
Google Meet 視訊會議網址:https://meet.google.com/gdx-ummk-nmk
場次二、110年10月5日 下午2時至4時
Google Meet 視訊會議網址:https://meet.google.com/zkm-wwda-tuz
2021/09/15
[內容說明:]
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202109-0767
研究人員發現微軟Windows內之瀏覽器排版引擎MSHTML存在安全漏洞(CVE-2021-40444),MSHTML用於微軟瀏覽器與Office應用程式中,攻擊者可誘騙使用者開啟含有惡意ActiveX之Office文件,進而載入瀏覽器引擎並瀏覽惡意網頁,利用此漏洞遠端執行任意程式碼。
情資分享等級: WHITE(情資內容為可公開揭露之資訊)
[影響平台:]
● Windows 7 for 32-bit Systems Service Pack 1
● Windows 7 for x64-based Systems Service Pack 1
● Windows 8.1 for 32-bit systems Windows 8.1 for x64-based systems
● Windows RT 8.1 Windows 10 for 32-bit Systems
● Windows 10 for x64-based Systems
● Windows 10 Version 1607 for 32-bit Systems
● Windows 10 Version 1607 for x64-based Systems
● Windows 10 Version 1809 for 32-bit Systems
● Windows 10 Version 1809 for ARM64-based Systems
● Windows 10 Version 1809 for x64-based Systems
● Windows 10 Version 1909 for 32-bit Systems
● Windows 10 Version 1909 for ARM64-based Systems
● Windows 10 Version 1909 for x64-based Systems
● Windows 10 Version 2004 for 32-bit Systems
● Windows 10 Version 2004 for ARM64-based Systems
● Windows 10 Version 2004 for x64-based Systems
● Windows 10 Version 20H2 for 32-bit Systems
● Windows 10 Version 20H2 for ARM64-based Systems
● Windows 10 Version 20H2 for x64-based Systems
● Windows 10 Version 21H1 for 32-bit Systems
● Windows 10 Version 21H1 for ARM64-based Systems
● Windows 10 Version 21H1 for x64-based Systems
● Windows Server 2008 for 32-bit Systems Service Pack 2
● Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
● Windows Server 2008 for x64-based Systems Service Pack 2
● Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
● Windows Server 2008 R2 for x64-based Systems Service Pack 1
● Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
● Windows Server 2012
● Windows Server 2012 (Server Core installation)
● Windows Server 2012 R2
● Windows Server 2012 R2 (Server Core installation)
● Windows Server 2016
● Windows Server 2016 (Server Core installation)
● Windows Server 2019
● Windows Server 2019 (Server Core installation)
● Windows Server 2022
● Windows Server 2022 (Server Core installation)
● Windows Server, version 2004 (Server Core installation)
● Windows Server, version 20H2 (Server Core Installation)
[建議措施:]
目前微軟官方已針對此漏洞釋出更新程式,請各機關聯絡維護廠商或參考以下網址進行更新:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
[參考資料:]
1. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
2. https://www.ithome.com.tw/news/146584
3. https://docs.microsoft.com/zh-tw/microsoft-365/security/office-365-security/install-app-guard?view=o365-worldwide
2021/06/28
微軟表示該公司發現其客戶支援工具遭到駭侵團體入侵存取,部分客服人員電腦内的客戶訂購資訊遭到竊取。
微軟公司日前在官方部落格中發文,表示該公司發現其客戶支援工具,遭到一個名為 Nobelium 的駭侵團體入侵存取;部分客服人員電腦内的客戶訂購資訊也遭到竊取。
在微軟的部落格貼文中指出,該公司的資安威脅情報中心,正在調查整起事件的來龍去脈,以及駭侵團體使用的攻擊策略與手法。
貼文中說,該公司發現駭侵者使用「密碼噴灑」與暴力登入試誤等方法,試圖入侵目標電腦設備,但大多數攻擊都未見成功,目前確認有三台電腦設備遭 Nobelium 駭侵團體成功入侵,並遭駭侵者植入木馬惡意程式,以便存取電腦中的客戶資訊。
微軟指出,Nobelium 將可能利用竊得的客戶資訊,對這些客戶發動進一步的釣魚攻擊。微軟已經通知可能因此受到波及的客戶。
另外,由於 Nobelium (又名 Cozy Bear)疑似涉及今年年初爆發的 SolarWinds 大規模長期供應鏈攻擊的要角,因此微軟也循管道向主管單位通報這起可能為國際駭侵攻擊行動的事件。
據微軟表示,疑似遭駭侵者存取的資料,主要都和美國的國家利益有關,約佔 45%;其餘受影響客戶的所屬國家分別為英國(10%)、德國與加拿大(小批);總共受影的國家有 36 個。
在微軟公開這次攻擊行動前,路透社曾發表一則新聞,指出該社收到一封由微軟寄給受影響客戶的郵件;郵件内容指出「有一個被微軟辨識為 NOBELLIUM,且有國家力量支持的強大駭侵團體,最近存取了微軟的客戶支援工具,並且獲悉和貴客戶的微軟服務訂購相關資訊。」
相關連結
2. Microsoft says new breach discovered in probe of suspected SolarWinds hackers
3. Nobelium hackers accessed Microsoft customer support tools
2021/06/25
Western Digital My Book NAS 目前正遭到全球性的駭侵攻擊行動,不但裝置會被重置為出廠設定,所有儲存在内的資料,也都被遠端移除。
銷售量相當大的 Western Digital 品牌 My Book NAS 網路儲存裝置,目前正遭到全球性的駭侵攻擊行動,不但裝置會被重置為出廠設定,所有儲存在内的資料,也都被遠端移除。
該裝置是一款體積輕巧的家用、個人用網路儲存設備,立起來時就像一本書一樣;原廠提供的 WD My Book Live app 可以讓用戶在任何地方存取儲存在 NAS 内的檔案,無論 NAS 本身是不是設於防火牆以内。
近來世界各地許多 WD My Book NAS 用戶反應,突然無法透過 app 或瀏覽器存取 NAS 内的資料;用戶透過瀏覽器登入其管理界面後,會因出現「密碼錯誤」而擋於門外;而所有存在 NAS 内的資料也全部遭到刪除。
有用戶找出 WD My Book NAS 的裝置記錄檔,發現在 2021 年 6 月 23 日下午三時許,裝置開始執行一個稱為「My BookLive factoryRestore.sh」的指令檔案,這個指令與後續自動執行的程式碼,即是將 WD My Book NAS 回復原廠設定並刪除所有資料的元兇。
值得注意的是,這波攻擊行動至今沒有受害用戶表示收到勒贖威脅;這表示攻擊者的目的純為造成破壞,而非藉以要求贖款。
製造廠 Western Digital 隨即發表聲明表示,該公司正在調查整個事件;該公司認為是用戶的 WD My Book NAS 裝置遭到惡意軟體攻擊,但否認是該公司的雲端伺服器遭到攻擊。
該公司建議所有尚未遭到攻擊的 WD My Book NAS 用戶,應立即將其裝置離線,避免遭到進一步攻擊;但由於本款機種已經相當老舊,最後一次韌體更新時間早在 2015 年,因此後續是否能繼續更新,目前不得而知。
相關連結
1. Help! All data in mybook live gone and owner password unknown
2. WD My Book NAS devices are being remotely wiped clean worldwide
2021/06/24
VMware 近日修復存於其 Carbon Black App Control 中的一個嚴重資安漏洞,該漏洞可導致駭侵者跳過身分驗證程序,直接存取伺服器。
虛擬解決方案大廠 VMware 近日修復存於其 Carbon Black App Control 中的一個嚴重資安漏洞;該漏洞可導致駭侵者跳過身分驗證程序,直接存取伺服器。
Carbon Black App Control 是 VMware 推出的企業用資安強化軟體,可以保護系統免於未經授權的修改,特別是由惡意軟體或 0-day 漏洞造成的系統設定篡改。
得到 VMware 修補的資安漏洞,其 CVE 編號為 CVE-2021-21198,發生在 Black Carbon App Control 的 8.1、8.1、8.5.8 之前的 8.5 版、8.6.2 之前的 8.6 版。駭侵者只要先取得 Black Carbon App Control 伺服器的存取權限,即可利用這個漏洞,進一步取得系統管理權限,而不需要通過身分驗證程序。
由於 Black Carbon App Control 是企業資安防護系統的一環,因此一旦駭侵者利用此漏洞取得 Black Carbon App Control 伺服器的控制權,就更容易針對企業内部的關鍵設施發動進一步的駭侵攻擊,包括 POS 系統、工業製造控制系統等等,都可是潛在的攻擊對象。
這個漏洞的 CVSS 危險程度評分高達 9.4 分,危險程度分級為最高等級的「嚴重」(Critial)等級;採用VMware Black Carbon App Control 的系統管理員應立即採取行動。
據 VMware 針對此漏洞發表的資安通報指出,目前並未針對此漏洞推出暫時處理方式建議,而是依使用的版本應升級到對應最新版本:8.0 或 8.1 版本應升級到 hotfix 版本,8.5 應升級至 8.5.8,8.6 應升級至 8.6.2。
CVE編號:CVE-2021-21198
影響產品/版本:VMware Black Carbon App Control 的 8.1、8.1、8.5.8 之前的 8.5 版、8.6.2 之前的 8.6 版。
解決方案:8.0 或 8.1 版本應升級到 hotfix 版本,8.5 應升級至 8.5.8,8.6 應升級至 8.6.2。
相關連結
3. VVMware fixes authentication bypass in Carbon Black App Control