中心公告
2021/09/15
[內容說明:]
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202109-0767
研究人員發現微軟Windows內之瀏覽器排版引擎MSHTML存在安全漏洞(CVE-2021-40444),MSHTML用於微軟瀏覽器與Office應用程式中,攻擊者可誘騙使用者開啟含有惡意ActiveX之Office文件,進而載入瀏覽器引擎並瀏覽惡意網頁,利用此漏洞遠端執行任意程式碼。
情資分享等級: WHITE(情資內容為可公開揭露之資訊)
[影響平台:]
● Windows 7 for 32-bit Systems Service Pack 1
● Windows 7 for x64-based Systems Service Pack 1
● Windows 8.1 for 32-bit systems Windows 8.1 for x64-based systems
● Windows RT 8.1 Windows 10 for 32-bit Systems
● Windows 10 for x64-based Systems
● Windows 10 Version 1607 for 32-bit Systems
● Windows 10 Version 1607 for x64-based Systems
● Windows 10 Version 1809 for 32-bit Systems
● Windows 10 Version 1809 for ARM64-based Systems
● Windows 10 Version 1809 for x64-based Systems
● Windows 10 Version 1909 for 32-bit Systems
● Windows 10 Version 1909 for ARM64-based Systems
● Windows 10 Version 1909 for x64-based Systems
● Windows 10 Version 2004 for 32-bit Systems
● Windows 10 Version 2004 for ARM64-based Systems
● Windows 10 Version 2004 for x64-based Systems
● Windows 10 Version 20H2 for 32-bit Systems
● Windows 10 Version 20H2 for ARM64-based Systems
● Windows 10 Version 20H2 for x64-based Systems
● Windows 10 Version 21H1 for 32-bit Systems
● Windows 10 Version 21H1 for ARM64-based Systems
● Windows 10 Version 21H1 for x64-based Systems
● Windows Server 2008 for 32-bit Systems Service Pack 2
● Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
● Windows Server 2008 for x64-based Systems Service Pack 2
● Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
● Windows Server 2008 R2 for x64-based Systems Service Pack 1
● Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
● Windows Server 2012
● Windows Server 2012 (Server Core installation)
● Windows Server 2012 R2
● Windows Server 2012 R2 (Server Core installation)
● Windows Server 2016
● Windows Server 2016 (Server Core installation)
● Windows Server 2019
● Windows Server 2019 (Server Core installation)
● Windows Server 2022
● Windows Server 2022 (Server Core installation)
● Windows Server, version 2004 (Server Core installation)
● Windows Server, version 20H2 (Server Core Installation)
[建議措施:]
目前微軟官方已針對此漏洞釋出更新程式,請各機關聯絡維護廠商或參考以下網址進行更新:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
[參考資料:]
1. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
2. https://www.ithome.com.tw/news/146584
3. https://docs.microsoft.com/zh-tw/microsoft-365/security/office-365-security/install-app-guard?view=o365-worldwide
2021/06/28
微軟表示該公司發現其客戶支援工具遭到駭侵團體入侵存取,部分客服人員電腦内的客戶訂購資訊遭到竊取。
微軟公司日前在官方部落格中發文,表示該公司發現其客戶支援工具,遭到一個名為 Nobelium 的駭侵團體入侵存取;部分客服人員電腦内的客戶訂購資訊也遭到竊取。
在微軟的部落格貼文中指出,該公司的資安威脅情報中心,正在調查整起事件的來龍去脈,以及駭侵團體使用的攻擊策略與手法。
貼文中說,該公司發現駭侵者使用「密碼噴灑」與暴力登入試誤等方法,試圖入侵目標電腦設備,但大多數攻擊都未見成功,目前確認有三台電腦設備遭 Nobelium 駭侵團體成功入侵,並遭駭侵者植入木馬惡意程式,以便存取電腦中的客戶資訊。
微軟指出,Nobelium 將可能利用竊得的客戶資訊,對這些客戶發動進一步的釣魚攻擊。微軟已經通知可能因此受到波及的客戶。
另外,由於 Nobelium (又名 Cozy Bear)疑似涉及今年年初爆發的 SolarWinds 大規模長期供應鏈攻擊的要角,因此微軟也循管道向主管單位通報這起可能為國際駭侵攻擊行動的事件。
據微軟表示,疑似遭駭侵者存取的資料,主要都和美國的國家利益有關,約佔 45%;其餘受影響客戶的所屬國家分別為英國(10%)、德國與加拿大(小批);總共受影的國家有 36 個。
在微軟公開這次攻擊行動前,路透社曾發表一則新聞,指出該社收到一封由微軟寄給受影響客戶的郵件;郵件内容指出「有一個被微軟辨識為 NOBELLIUM,且有國家力量支持的強大駭侵團體,最近存取了微軟的客戶支援工具,並且獲悉和貴客戶的微軟服務訂購相關資訊。」
相關連結
2. Microsoft says new breach discovered in probe of suspected SolarWinds hackers
3. Nobelium hackers accessed Microsoft customer support tools
2021/06/25
Western Digital My Book NAS 目前正遭到全球性的駭侵攻擊行動,不但裝置會被重置為出廠設定,所有儲存在内的資料,也都被遠端移除。
銷售量相當大的 Western Digital 品牌 My Book NAS 網路儲存裝置,目前正遭到全球性的駭侵攻擊行動,不但裝置會被重置為出廠設定,所有儲存在内的資料,也都被遠端移除。
該裝置是一款體積輕巧的家用、個人用網路儲存設備,立起來時就像一本書一樣;原廠提供的 WD My Book Live app 可以讓用戶在任何地方存取儲存在 NAS 内的檔案,無論 NAS 本身是不是設於防火牆以内。
近來世界各地許多 WD My Book NAS 用戶反應,突然無法透過 app 或瀏覽器存取 NAS 内的資料;用戶透過瀏覽器登入其管理界面後,會因出現「密碼錯誤」而擋於門外;而所有存在 NAS 内的資料也全部遭到刪除。
有用戶找出 WD My Book NAS 的裝置記錄檔,發現在 2021 年 6 月 23 日下午三時許,裝置開始執行一個稱為「My BookLive factoryRestore.sh」的指令檔案,這個指令與後續自動執行的程式碼,即是將 WD My Book NAS 回復原廠設定並刪除所有資料的元兇。
值得注意的是,這波攻擊行動至今沒有受害用戶表示收到勒贖威脅;這表示攻擊者的目的純為造成破壞,而非藉以要求贖款。
製造廠 Western Digital 隨即發表聲明表示,該公司正在調查整個事件;該公司認為是用戶的 WD My Book NAS 裝置遭到惡意軟體攻擊,但否認是該公司的雲端伺服器遭到攻擊。
該公司建議所有尚未遭到攻擊的 WD My Book NAS 用戶,應立即將其裝置離線,避免遭到進一步攻擊;但由於本款機種已經相當老舊,最後一次韌體更新時間早在 2015 年,因此後續是否能繼續更新,目前不得而知。
相關連結
1. Help! All data in mybook live gone and owner password unknown
2. WD My Book NAS devices are being remotely wiped clean worldwide
2021/06/24
VMware 近日修復存於其 Carbon Black App Control 中的一個嚴重資安漏洞,該漏洞可導致駭侵者跳過身分驗證程序,直接存取伺服器。
虛擬解決方案大廠 VMware 近日修復存於其 Carbon Black App Control 中的一個嚴重資安漏洞;該漏洞可導致駭侵者跳過身分驗證程序,直接存取伺服器。
Carbon Black App Control 是 VMware 推出的企業用資安強化軟體,可以保護系統免於未經授權的修改,特別是由惡意軟體或 0-day 漏洞造成的系統設定篡改。
得到 VMware 修補的資安漏洞,其 CVE 編號為 CVE-2021-21198,發生在 Black Carbon App Control 的 8.1、8.1、8.5.8 之前的 8.5 版、8.6.2 之前的 8.6 版。駭侵者只要先取得 Black Carbon App Control 伺服器的存取權限,即可利用這個漏洞,進一步取得系統管理權限,而不需要通過身分驗證程序。
由於 Black Carbon App Control 是企業資安防護系統的一環,因此一旦駭侵者利用此漏洞取得 Black Carbon App Control 伺服器的控制權,就更容易針對企業内部的關鍵設施發動進一步的駭侵攻擊,包括 POS 系統、工業製造控制系統等等,都可是潛在的攻擊對象。
這個漏洞的 CVSS 危險程度評分高達 9.4 分,危險程度分級為最高等級的「嚴重」(Critial)等級;採用VMware Black Carbon App Control 的系統管理員應立即採取行動。
據 VMware 針對此漏洞發表的資安通報指出,目前並未針對此漏洞推出暫時處理方式建議,而是依使用的版本應升級到對應最新版本:8.0 或 8.1 版本應升級到 hotfix 版本,8.5 應升級至 8.5.8,8.6 應升級至 8.6.2。
CVE編號:CVE-2021-21198
影響產品/版本:VMware Black Carbon App Control 的 8.1、8.1、8.5.8 之前的 8.5 版、8.6.2 之前的 8.6 版。
解決方案:8.0 或 8.1 版本應升級到 hotfix 版本,8.5 應升級至 8.5.8,8.6 應升級至 8.6.2。
相關連結
3. VVMware fixes authentication bypass in Carbon Black App Control
2021/06/22
主旨:
美國國土安全部網路安全暨基礎安全局(CISA)分享遠距工作指南,供各會員參考運用
說明:
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202106-1136
技服中心綜整摘要美國國土安全部網路安全暨基礎安全局(CISA)分享之遠距工作指南供各會員參考運用,摘要如建議措施,詳細內容請參考CISA連結。
情資分享等級: WHITE(情資內容為可公開揭露之資訊)
建議措施:
1. 組織高層指南
(1) 資安政策與程序
a. 檢視與更新資安政策與程序,以因應遠距辦公之資安風險。
b. 明確訂定遠距辦公應有之資安意識與資安要求。
(2) 資安訓練
a. 運用資安訓練以增進員工資安知識與了解現行資安威脅,讓員工遠距辦公也能依資安要求存取系統與資料。
(3) 非公務設備
a. 制定資安政策以因應遠距辦公之資安風險,如在家列印、使用非公務電子郵件及使用非公務儲存設備等規範。
b. 政策應涵蓋遠距辦公使用之公務設備、非公務設備、行動裝置及家用網路之安全性設定與安全性更新。
(4) 新辦公型態之網路安全
a. 因應遠距、分流及異地辦公,應制定基本「網路衛生(Cyber Hygiene)」政策。
b. 網路衛生政策應涵蓋網路釣魚防護、安全性更新及可攜式儲存媒體使用等,並定期向員工宣導最新政策。
2. 資訊人員指南
(1) 安全性更新與漏洞管理
a. 確認軟硬體資訊資產之正確性。
b. 確保即時更新安全性修補與執行弱點掃描。
c. 啟用自動化更新安全性修補機制。
(2) 資安管控機制
a. 運用資安管控機制,確保連線安全性。
b. 運用零信任原則進行遠端VPN存取。
c. 檢視現有資安防護架構,確保服務存取安全性。
(3) 多因子身分鑑別
a. 運用多因子進行遠端存取身分鑑別。
b. 制定應急計畫或替代方案以因應多因子身分鑑別失效。
(4) 軟硬體白名單
a. 建立組織核可之軟硬體設備白名單,包括協同合作工具與視訊會議軟體。
b. 提供員工相關軟硬體之安全操作手冊。
(5) 定期備份
a. 定期備份組織重要系統與檔案。
b. 定期確認備份可以回復。
c. 確保離線與異地存放備份。
(6) 強化電子郵件安全性
a. 運用Domain-Based Message Authentication, Reporting & Conformance (DMARC)機制,強化電子郵件安全性,防護釣魚郵件與商業電子郵件詐騙。
3. 遠距辦公人員指南
(1) 強化資安設定
a. 變更家用網路設備預設通行碼,並使用高複雜度強化設定通行碼。
b. 無線網路應使用WPA2或WPA3加密協定,停用不安全之WEP與WPA協定。
c. 避免使用實際地址與設備資訊設定無線網路SSID。
(2) 遵守資安政策與規範
a. 應依組織資安政策,處理業務所需接觸之個人資料、機敏文件、客戶資料等。
b. 避免在非公務設備上儲存與傳送業務所需接觸之個人資料、機敏文件、客戶資料等。
c. 應依組織資安規範,確保遠距辦公使用之設備已符合資安要求,如通行碼身分鑑別與防毒軟體安裝。
(3) 電子郵件安全
a. 小心開啟電子郵件附件與點擊郵件中之連結。
b. 注意釣魚郵件與社交工程郵件。
(4) 通報可疑活動
a. 確認自己知道可疑活動之通報連絡方式與窗口。
b. 即時通報可疑活動。
[參考資料:]
1. CISA-TELEWORK GUIDANCE AND RESOURCES https://www.cisa.gov/telework
2. CISA-TELEWORK ESSENTIALS TOOLKIT https://www.cisa.gov/publication/telework-essentials-toolkit