本週二（8月13日）是許多軟體業者發布8月例行更新的日子，其中最值得留意的是微軟，雖然他們這次僅公布90個漏洞，較7月143個有明顯減少的趨勢，但值得留意的是，揭露的零時差漏洞多達10個，其中有6個已被用於實際攻擊行動，美國網路安全暨基礎設施安全局（CISA）也證實這些漏洞遭到利用的現象，要求聯邦機構限期完成修補。

其餘4個零時差漏洞也不能掉以輕心，當中有2個是研究人員稍早在2024黑帽大會公布，可被串連用於Windows Downdate降級攻擊而受到矚目。

【攻擊與威脅】

14億筆騰訊用戶資料驚傳流入駭客論壇

資安媒體Hackread近日發現，Breach Forums駭客論壇有一個名為Fenice的使用者，公布14億筆的騰訊用戶資料。而對於這批資料的來源，Hackread懷疑此資料庫源自於今年1月曝光的Mother of All Breaches（MOAB），因為在這個總計12 TB，內含3,800個資料夾與260億筆外洩資料的MOAB中，最多的就是騰訊的15億筆。

資安專家認為MOAB是眾多外洩資料的合輯，之後並確定該資料來自外洩資料搜尋引擎Leak-Lookup。當時Leak-Lookup宣稱，是因為防火牆的配置錯誤才讓MOAB曝光。

其他攻擊與威脅

◆中國駭客組織Earth Baku轉移目標，鎖定歐洲、中東、非洲地區發動攻擊

◆駭客在GitHub架設冒牌WinRAR網站，意圖散布惡意程式

◆駭客假借提供密碼產生器Google Authenticator，意圖散布竊資軟體Latrodectus、ACR Stealer

【漏洞與修補】

微軟8月例行更新公布10個零時差漏洞，其中6個已出現實際攻擊

8月13日微軟發布本月份例行更新，總共修補90個漏洞，其中包含36個權限提升、4個安全功能繞過、28個遠端程式碼執行（RCE）、8個資訊洩露、6個阻斷服務（DoS），以及7個可用於欺騙攻擊。

值得留意的是，微軟本次公布多達10個零時差漏洞，是今年微軟單月公告零時差漏洞數量最多的一次，其中有6個已被用於實際攻擊行動。此外，這次還包含一個尚未推出修補程式的零時差漏洞。

SAP揭露重大層級漏洞，攻擊者可趁機繞過身分驗證

本月SAP例行更新於8月13日發布，總共修補17個漏洞，其中有2個為重大層級，4個為高風險層級，其餘漏洞的危險程度則列為中度風險。

根據CVSS風險評分，最嚴重的漏洞是CVE-2024-41730，此漏洞出現於商業智慧平臺BusinessObjects，起因是缺乏身分驗證的檢核，這項問題出現在啟用單一簽入（SSO）的企業環境，攻擊者可在未經身分驗證的情況下，利用REST端點竊得登入系統的憑證（Token），CVSS風險評為9.8分，影響430、440版系統。

另一個重大層級漏洞是CVE-2024-29415，此漏洞發生在SAP Build Apps打造的應用程式，為伺服器請求偽造（SSRF）漏洞，CVSS風險評為9.1。

視窗作業系統通用事件記錄檔案系統CLFS元件存在漏洞，恐被用於阻斷服務攻擊

在全球對於CrowdStrike更新出錯造成大規模Windows藍色當機（BSOD）心有餘悸之時，資安公司Fortra公開另一個可導致藍色當機的漏洞CVE-2024-6768，這個問題出現在通用事件記錄檔案系統（CLFS），一旦攻擊者藉此對CLFS.sys驅動程式發動攻擊，就有機會導致阻斷服務（DoS），進而引發藍色當機。

此漏洞影響Widnows 10、Windows 11，以及Windows 2016至2022版伺服器作業系統，允許掌握低權限的攻擊者利用CLFS元件缺陷，透過特定操作強制呼叫核心函式KeBugCheckEx來引發當機的現象。研究人員指出，這個漏洞雖然不會直接造成資料洩漏或是系統入侵，但是會明顯影響系統的穩定性和可靠性，降低使用者對系統的信任度。

其他漏洞與修補

◆Adobe發布8月例行更新，修補72個漏洞

【資安產業動態】

NIST正式發布3款PQC標準，鼓勵各界盡快轉換以因應量子破密威脅

後量子密碼學（PQC）標準在8月13日正式發布，成為全球矚目的焦點，因為這次推出的3項新標準是為未來而準備，也就是為日後量子破密威脅所設計，如今美國國家標準暨技術研究院（NIST）首度宣布推出的是FIPS 203、FIPS 204、FIPS 205，接下來還有第4個標準將在年底出爐。

回顧PQC標準的制定，總共歷經8年時間，最早從2016年美國NIST就開始舉行PQC密碼學競賽，當時收到來自25個國家的82個提交演算法，之後進行了3輪淘汰賽，直到2022年先選出4個候選演算法，也就是CRYSTALS-Kyber、CRYSTALS-Dilithium、FALCON、SPHINCS+。目的就是選出可抵禦量子破密威脅的數學問題，以保護現在與未來的安全。

安全更新引發大當機，CrowdStrike傳有意買下修補程式管理新創Action1改善軟體開發流程

上個月CrowdStrike因EDR更新引發全球大停機災難，今年Pwnie Awards頒給該公司史詩級失敗（Most Epic Fail）獎項，該公司總裁Michael Sentonas到場領獎並表明他們會記取這次的教訓，如今傳出該公司有進一步的行動。根據資安新聞媒體Cybersecurity Dive的報導，CrowdStrike計畫買下提供修補程式管理方案的新創業者Action1，以改善其軟體更新流程。

該媒體引述Action1執行長暨共同創辦人Alex Vovk寄給員工的備忘錄，顯示雙方正在進行協議。根據備忘錄，CrowdStrike和Action1正在洽談相關事宜，計畫以近10億美元進行併購。Alex Vovk對員工指出，這收購提案也證明Action1市場正在高速成長，很快將會實現年營收1億美元的目標。

Action1向媒體證實備忘錄真實性，CrowdStrike拒絕評論此事。

其他資安產業動態

◆數位發展部率團參與資安會議DEF CON 32，分享臺灣網路安全與通訊韌性經驗

近期資安日報

【8月13日】韓國國防工業承包商傳出遭北韓駭客攻擊，軍事偵察機資料外流

【8月12日】研究人員揭露存在18年的瀏覽器漏洞，而且已有濫用漏洞行為，Linux及macOS電腦都可能中招

【8月9日】資安業者公布6起濫用雲端服務的後門程式攻擊行動，並指出有臺灣組織受害