資安業者Semperis揭露微軟Entra ID的弱點UnOAuthorized，這些問題是因為對OAuth 2.0權限進行分析之後而得到，攻擊者可趁機在Entra ID執行超出權限的行為其中，研究人員最為關注的部分是在特權管理者群組新增或刪除使用者的能力，一旦攻擊者得逞，就有機會新增全域管理員，對此，他們向微軟進行通報並進行合作，確保相關弱點得到處理，並在上週於美國拉斯維加斯舉行的黑帽大會（Black Hat USA 2024）揭露相關細節。

雖然在利用UnOAuthorized的過程中，攻擊者必須先取得Entra ID的應用程式管理員或雲端應用程式管理員的角色，而這些角色通常都具備特殊權限。但研究人員指出，許多企業並未意識到這類角色握有的高權限，而沒有妥善管理，使得攻擊者有機可乘。

究竟是否有企業組織遭遇相關攻擊，目前尚不清楚，但研究人員認為，很有可能已有駭客藉此將權限提升為全域管理員，並在租戶環境持續存取。此外，他們也指出攻擊者有機會進行橫向移動，存取Microsoft 365或其他Azure系統，還有使用Entra ID串連的SaaS應用程式。

Google無線檔案傳輸工具Quick Share存在漏洞，影響Windows、安卓裝置

如果想要透過藍牙、Wi-Fi、WebRTC、NFC等通訊協定進行無線檔案傳輸，最多人知道的做法應該是運用蘋果的AirDrop，但近年來Google也與三星合作推出Quick Share，並打算與電腦製造商結盟、預載相關應用程式，以便安卓裝置與Windows電腦用戶互相傳送檔案，但有研究人員發現，Quick Share存在一系列漏洞，駭客有機會串連發動攻擊。

上週資安業者SafeBreach針對這套工具揭露10個漏洞，通稱為QuickShell，其中有9個影響Windows裝置，1個影響安卓裝置，研究人員指出，這批漏洞可形成非典型的遠端執行程式碼（RCE）攻擊鏈，從而讓攻擊者在Windows電腦執行程式碼。

對此，Google在今年1月接獲研究人員通報後，發布1.0.1724.0版Quick Share予以修補，並將這批漏洞登記為CVE-2024-38271、CVE-2024-38272列管，CVSS風險評分為5.9、7.1。研究人員也在資安會議DEF CON 32展示相關研究成果。

Ivanti應用程式交付系統存在身分驗證繞過漏洞，已有概念性驗證程式碼公開，用戶應儘速處理

8月12日Ivanti發布資安公告，指出旗下的應用程式交付系統Virtual Traffic Manager（vTM）存在重大層級的零時差漏洞CVE-2024-7593，一旦攻擊者成功利用漏洞，就有機會繞過身分驗證並建立新的管理員帳號，CVSS風險評分為9.8。

值得留意的是，雖然該公司表示尚未察覺用戶遭到漏洞攻擊的跡象，但已有公開的概念性驗證（PoC）程式碼，他們呼籲用戶儘速採取緩解措施因應。

其他漏洞與修補

◆CI/CD工作流程服務GitHub Actions恐曝露知名專案的GitHub憑證

◆密碼管理器1Password存在缺陷，攻擊者有機會竊取用戶的密碼

◆西門子、施耐德電機、Aveva、Rockwell Automation、CISA針對工業系統資安漏洞發布公告

【資安產業動態】

臺灣數位信任協會成立，專注詐騙防治與數位安全議題

8月14日臺灣數位信任協會（Digital Trust Association in Taiwan）正式成立，由前國家通訊傳播委員會（NCC）主委、數位經濟暨產業發展協會副理事長詹婷怡擔任首屆理事長。數發部長黃彥男、走著瞧（Gogolook）、奧義智慧（CyCraft）、安永顧問、資策會資安所、鏈科（Xrex）等產業代表皆到場參與。

詹婷怡表示，臺灣數位信任協會未來有4大工作任務，包含政策倡議、產業交流、教育宣導，以及國際交流。該協會將設立7個工作小組，專門從事資料完整性、數位信任評鑑、詐騙研究、教育宣導、AI科技防詐、資安科技、區塊鏈安全相關工作。

上述工作小組將同步推進協會理念及落實任務，與國內在資安防護及詐騙防治領域的夥伴攜手合作，共同研究與推動工作項目，並透過國內外交流活動，促進不同地區間的合作與交流。

臺灣資安戰隊11回參與DEF CON CTF資安搶旗賽，獲得第7名佳績

上週末舉行的資安大型會議DEF CON 32當中，臺灣派出資安戰隊「If this works we'll get fewer for next year」參加搶旗競賽DEF CON CTF，在全球1,742隊當中以第10名進入總決賽，最後從12支隊伍獲得第7名的成績，打敗中國、韓國、俄羅斯、瑞士等國家的隊伍。回顧過去，這是臺灣第11年參與DEF CON CTF搶旗賽。

對於這次比賽臺灣資安戰隊的成績，在攻防賽（Attack & Defense）的部分，攻擊面項目獲得1,204分、防禦面獲得465分；在回合制搶灘賽（King of the Hill，KotH）得到274分；在一對一的擂臺搶旗賽（Live CTF）的項目得到第3名，拿下1,000分；最終，以總分2,943分，名列第7。

近期資安日報

【8月14日】微軟發布8月例行更新，公布多達10個零時差漏洞

【8月13日】韓國國防工業承包商傳出遭北韓駭客攻擊，軍事偵察機資料外流

【8月12日】研究人員揭露存在18年的瀏覽器漏洞，而且已有濫用漏洞行為，Linux及macOS電腦都可能中招