【資安週報】2024年5月13日到5月17日
· 2024-05-20

這一星期的漏洞新聞,以微軟與Google的多個零時差漏洞修補最受重視,還有多家IT大廠每月例行安全更新修補需要盡速因應;在資安新聞焦點方面,本星期有一年一度資安產業盛事「2024 CYBERSEC臺灣資安大會」舉行;至於國際重大資安事件方面,以南韓法院與歐洲刑警組織遭駭事件最受國際關注

在這一星期的漏洞消息中,以微軟與Google的5個零時差漏洞修補最受關注,並有4個是修補釋出前已發現遭鎖定利用。

(一)微軟發布5月例行安全更新,修補60個漏洞中有3個零時差漏洞,其中MSHTML平臺安全功能繞過的CVE-2024-30040,以及涉及桌面視窗管理員(DWM)核心程式庫權限提升的CVE-2024-30051,這兩個漏洞已被用於攻擊行動。

(二)Google這一周又再修補兩個已遭利用、存在於JavaScript引擎V8的零時差漏洞,分別是:記憶體越界寫入漏洞CVE-2024-4761以及,類型混淆漏洞CVE-2024-4947。短短7天內,Google已修補3個零時差漏洞。

(三)D-Link旗下老舊路由器有兩個漏洞CVE-2021-40655、CVE-2014-100005,被美國CISA在5月16日列入已知漏洞利用清單,這也顯示產品壽命結束的產品仍持續遭攻擊者鎖定利用。

還有多家IT廠商的每月例行安全更新修補發布,包括微軟、SAP、Adobe,Intel,以及西門子、施耐德電機、三菱電機、江森自控、Rockwell等,其他重要漏洞修補動向,包括:開源網路效能及配置管理框架Cacti,以及VMware、HP Aruba Networking、Cinterion。

在資安新聞焦點方面,本周適逢2024 CYBERSEC臺灣資安大會舉行,今年是第十屆,舉辦規模更盛大,持續成為資安產業搭建一座技術交流、拓展商機的專業平臺,受到政府、資安產業與廣泛企業的重視。

例如,總統蔡英文第6度出席大會並在開幕典禮致詞,說明政府將持續建立防禦機制、加強研發能量、積極培育人才,以提升國家數位韌性,並感謝長期對資安領域用心付出的大家。

在520接任總統的賴清德,也在2024臺灣資安大會的第二天,率領新政府與資安發展相關的主管一同到場,共同關心臺灣資安產業的發展,他向大家承諾,新政府仍將繼續支持資安產業發展。

此外,為了加速因應量子破密威脅,數位發展部數位產業署也在2024臺灣資安大會第三天的活動,宣布「後量子資安產業聯盟」成立,希望建立強健的公私夥伴關係,加速我國後量子資安產業的發展,並確保臺灣具有後量子密碼準備能力。

在資安威脅態勢方面,國際上有不少政府遭受網路攻擊的揭露,並有多起涉及半導體、金融、醫藥產業的企業資安事件,受到資安界重視。我們整理如下:

●韓國警察廳國家搜查本部在13日發出聲明,指出發現北韓駭客曾入侵該國法院長達兩年,大量民眾個資與詳細金融資料竊取,因為這些文件包含自述書、破產報告、結婚證書、醫療證明文件等。
Google Cloud Mandiant Intelligence副總裁Sandra Joyce在臺灣資安大會主題演說中指出,中國駭客Dragonbridge對臺發起最新一波的Information Operations網路攻擊,是圍繞2024年1月臺灣總統大選而來。
●歐洲刑警組織證實入口網站遭駭,對方聲稱竊得員工資訊、原始碼、內部機密文件,由於該組織經常協調各國打擊網路犯罪,此事件也突顯駭客越來越囂張。
●芬蘭首都赫爾辛基市公布教育部門因存在已知漏洞未修補而遭入侵,導致上萬學生家長發生個資外洩事故。

●國內又有半導體產業遭網路攻擊,臺灣上櫃公司逸昌科技發布資安事件重大訊息,說明發現網路傳輸異常,部份伺服器遭受駭客攻擊。
金融領域在全球有兩大事件發生,一是桑坦德銀行傳出資料外洩,起因是第三方供應商遭駭,由於影響智利、西班牙、烏拉圭客戶而備受關注;另一是匯豐、巴克萊銀行傳出遭初始入侵管道掮客聲稱竊得其資料庫、原始碼等敏感資料。
澳洲電子處方箋業者MediSecure遭遇供應鏈攻擊,駭客加密檔案導致網站服務與電話中斷。

此外,還有一個值得關注的威脅態勢,是Black Basta勒索軟體攻擊者近期發起的社交工程攻擊活動,正鎖定採用MDR的客戶而來,攻擊者先是利用寄發大量垃圾信件讓郵件安全防護方案失靈,然後再假冒技術人員致電表明提供協助,要求使用者部署遠端管理工具,或啟動Windows內建遠端協助工具「快速助手(Quick Assist)」,進而對目標電腦進行控制。

在資安防禦動向上,還有我國行政院5月9日通過打詐專法「詐欺犯罪危害防制條例」的消息,這是針對網路廣告平臺應盡防詐義務的重要規範,涵蓋對象包括網路廣告平臺、電商業者、第三方支付業者、網路連線遊戲業者,當中並有5大重點,包括:境外業者提報法律代表,廣告中應揭露必要資訊,建立防詐管理措施,處理與通報詐欺廣告,以及配合檢警調或目的事業主管機關下架詐欺資訊。

 

【5月13日】韓國警方證實法院大量民眾個資遭北韓駭客竊取,近1 TB資料流出但僅有少部分能確認受害者身分

韓國政府發出聲明指出司法機關遭到北韓駭客攻擊!去年2月韓國法院察覺網路環境被植入惡意程式,去年底警方協助調查此事,結果發現,對方總共竊得1,014 GB機密資料,但他們僅能復原其中4.7 GB的內容,而得知少部分受害者身分。

值得留意的是,從韓國法院察覺受害到警方介入調查,間隔長達10個月,這段期間相關的跡證很有可能遭到清除或是破壞,而難以進一步找出事故發生的原因。

【5月14日】芬蘭首都證實資料外洩事故,起因是教育部門的遠端存取伺服器未修補已知漏洞

本週芬蘭首都赫爾辛基證實教育部門的資料外洩事故,駭客藉由存在已知漏洞的遠端存取伺服器,成功入侵教育部門的網路磁碟,存取大量內部檔案。

至於為何該伺服器尚末修補?有待進一步釐清。對此,針對這起事故發生的原因,他們認為與漏洞修補與裝置管理不力有關。

【5月15日】微軟發布5月份例行更新,公告3個零時差漏洞受到各界關注

昨日(5月14日)微軟發布本月的例行更新,總共修補60個漏洞,相較於上個月達到149個,這次的數量僅約上個月的4成。

僅管這次公布的漏洞數量大幅減少,但值得留意的是,這次有3個零時差漏洞,其中又以桌面視窗管理員(DWM)核心程式庫權限提升漏洞CVE-2024-30051最值得留意,因為有多組研究人員向微軟通報,並指出他們看到駭客將其用於攻擊行動。

【5月16日】Google在一週內發布3次Chrome更新,修補已被用於攻擊行動的零時差漏洞

Google發布了新的電腦版Chrome 125,增加不少新功能,其中,與資安防護有關的部分,包含了新的隱私控制選項,目的是避免攻擊者挾持,而對於Windows版用戶,他們將網路服務放在沙箱執行。

但在此同時,本次Google也修補9個弱點,當中包含了JavaScript引擎V8的高風險漏洞CVE-2024-4947,而這是該公司在最近一週修補的第3個零時差漏洞。

【5月17日】研究人員公布GE超音波醫療設備一系列漏洞,並用來植入勒索軟體進行驗證

近年來醫療設備的資訊安全逐漸受到重視,有不少研究人員公布他們的分析結果,攻擊者很有可能藉此得知病人的資料,甚至是竄改儀器量測的結果。

例如,最近資安業者Nozomi Networks揭露GE HealthCare超音波醫療設備的漏洞,他們表示,雖然攻擊者必須實際接觸設備,才能利用他們發現的漏洞,但這些設備通常會放置於公開的環境,一旦出現無人看管的空檔,就有機會對其下手。

 

熱門文章
JILI Partners with Cricket Legend AB de Villiers (ABD) to Launch Exclusive Branded Game Series 100% 11
Sports Game
Manila delivers: Highlights from SiGMA Asia 2026 
Southeast Asia
GAT Expo CDMX 2026 Kicks Off Today in Mexico with a Sold-Out Opening Reception at Big Bola Casino Santa Fe
Marketing
UK MPs reopen 2025 gambling inquiry as reform stalls
Regulation
PropellerAds Positions Itself as a Go-To Traffic Source for iGaming Advertisers Ahead of a High-Demand Season
Marketing
Global Game Connect (GGC) 2027 Officially Opens Sponsorship & Exhibition Opportunities in Sri Lanka!
HUIDU Focus
Zenith partners with HUIDU for 2026 World Cup Carnival Official Tour
Online Game
Are you ready to maximize your earnings? Try ProPush.me Constructor!
Marketing
That’s a Wrap: AffPapa Conference Madrid 2026 Highlights
Online Game
Vietnam's tightening online gaming policy creates new market opportunities
Southeast Asia
Super PAC Raises $48 Million: Sports Betting Forces Ramp Up Political Push
Regulation
Full House at GAT Expo Cartagena 2026 Academic Agenda
Online Game
SBC Summit Canada to Make Player Safety a Key Pillar of 2026 Agenda
Marketing
What’s on the SBC Summit Conference Agenda in 2026?
Marketing
New Jersey July Gambling Revenue Hits $606M, Sweeps Casinos Banned
Regulation
首頁
遊戲
合作
發現
我的