【资安周报】2024年7月15日到7月19日
支付動態 · 2024-07-22

这一星期IT界最重大的新闻事件,莫过于资安业者CrowdStrike旗下的EDR系统更新引发Windows电脑大当机的事故,全球估计850万台电脑出现蓝色当机画面的情况,包括企业、机场、医院、零售服务都受影响

这一星期最重大的资安消息,当属7月19日(周五)资安业者CrowdStrike旗下的EDR系统更新后,引起全球大量微软Windows电脑出现蓝色当机画面(BSoD)的事故。由于本该帮助电脑能侦测与应变威胁的资安工具,却因为一次更新问题导致大规模公司电脑当机、服务瘫痪的状况,引发全球高度重视。

事实上,当日发生了两起事件,首先是微软,在19日台湾清晨6点,美国中部区域一座Azure数据中心出现故障问题,导致包含M365在内等云端服务大中断,影响在线版SharePoint、商用版OneDrive、Teams等众多服务。

到了下午1点,我们注意到国内社群网站的资安群组开始讨论Windows电脑出现蓝色当机画面,并点出问题可能出在资安业者CrowdStrike,当下我们查找更多信息,发现美国社群网站Reddit已经指出CrowdStrike更新造成当机的情形,在此同时,笔者身边友人也通报其公司电脑1点多发生当机,同样确认原因出在CrowdStrike。

两点后,大规模电脑当机消息开始在全球新闻媒体传开,国内传出桃园机场、台大医院、台北荣总营运受影响,全球各国也有大量蓝色当机画面情形的报导。后续,CrowdStrike发布相关公告,说明发生EDR更新文件与Windows系统冲突造成电脑当机,并指出C-00000291.sys是有问题的版本,同时指出这次事件并非遭遇网络攻击,微软在Azure Status服务状态页面也指出,他们在台湾时间12点09分同样受到CrowdStrike的影响(事件编号为1VT1-LX0),并表示这次事件与已解决的美国中部Azure数据中心中断事件无关(该事件编号为1K80-N_8)。

至于何起事件是影响航班管理系统服务供应商Navitaire的主因,有待后续厘清。

周末期间又有新的消息曝光,首先,微软表示这次CrowdStrike引发的事件估计影响全球850万台的Windows电脑,另也发布因应这次事件的手动安装更新KB5042421,此外,有研究人员在社群平台X上指出,分析CrowdStrike当机数据后找出是有段C++程序存在内存安全错误,详情有待后续CrowdStrike说明。

在其他重要资安事件与威胁态势方面,国内有建设公司与人力银行的消息,国际间也有不少数据外泄、攻击行动的揭露,我们整理如下:
●国内上市公司宏盛建发布资安重讯,设说明该公司发生网络资安事件,另也代子公司助群营造公告发生网络资安事件。
●国内检调单位接获104人力银行通报,有人企图通过公司名义收集求职者个资,新北地检署已在17日搜索涉案公司并查扣物证。
●项目管理工具Trello有逾1,500万用户个资遭人公开于Breach Forums地下论坛,对方并声称是通过公开的API取得。
美国电信公司AT&T通报美SEC,说明发生数据泄事故,有黑客在今年4月存取AT&T在第三方云端平台的工作区,导致所有客户的通话与短信历程记录被窃。
●意大利资安业者TG Soft揭露一起攻击行动,他们在6月24日、7月2日侦测到中国黑客组织APT17针对当地企业及政府机关下手,意图散布9002 RAT恶意程序。
日本JPCERT/CC警告,当地企业组织遭到攻击行动MirrorFace锁定,攻击者入侵企业后的目的是散布后门程序NoopDoor。

在漏洞消息方面,我们注意到有4个已知漏洞首次被发现遭黑客利用的情形,近期已被美国CISA列入限时修补名单,包括:3月底VMware vCenter Server已修补的漏洞CVE-2022-22948,6月初SolarWinds Serv-U已修补的漏洞CVE-2022-22948,6月中Adobe Commerce及Magento Open Source已修补的CosmicSting漏洞(CVE-2024-34102),以及7月1日GeoServer已修补的RCE漏洞CVE-2024-36401。其中CosmicSting漏洞值得留意,有资安业者指出这是该电商平台历年来最严重的漏洞之一。

在资安防御与产业动向上,各有一则重要消息,首先,是关于OTP码容易遭拦截与网钓的问题,谈了很多年,最近国际间有政府积极行动,近日新加坡金融管理局宣布,要求当地金融业者在限期3个月内,汰除以短信提供OTP码供客户网银登录,并要求改成安全性更高的应用程序验证;另一项消息,是Google母公司Alphabet传出将以230亿美元收购云端资安新创Wiz,借此强化该公司的云端安全业务,并将成为Google最大并购案。

 

【7月15日】美国电信业者AT&T针对今年4月的资安事故通报调查结果,客户通话及短信记录遭到外流

美国电信业者AT&T再传数据外泄事故而受到外界关注,原因是他们在交给美国证券交易委员会(SEC)的8-K文档当中,提及对方通过第三方云端平台拷贝行动通话及短信交互记录,而且,几乎所有用户都受到影响。

值得留意的是,文档当中提及的第三方云端平台,外界直指就是Snowflake,5月发生的Ticketmaster数据外泄事故也与该业者有所关连。

【7月16日】黑客组织NullBulge声称入侵迪士尼,从近万个Slack频道窃得超过1 TB内部文件,但真实性有待进一步确认

继大型售票业者TicketMaster、电信业者AT&T惊传大规模数据外泄,近日有黑客组织声称握有大量迪士尼内部数据并在黑客论坛公布,号称数据来自约1万个Slack频道。

值得一提的是,有新闻媒体对其公布的内容进行分析,指出数据涵盖的层面相当广,像是网站维护、软件开发、应征员工,甚至还包含了员工讨论自家小狗的对话内容、照片。不过,他们也无法确认这些数据的真实性。

【7月17日】项目管理工具Trello逾1,500万名用户个资流入地下论坛,对方声称是通过公开的API取得

继大型售票业者TicketMaster、电信业者AT&T、娱乐业者迪士尼惊传大规模数据外泄,本周又有黑客宣称握有超过1,500万笔项目管理工具Trello用户数据。

值得留意的是,外泄这批巨量数据的人表示,取得管道居然是Trello公开的API端点,他能在未通过身分验证的情况下将电子邮件信箱对应到Trello帐号。

【7月18日】日本揭露新一波MirrorFace攻击行动,对方锁定防火墙、SSL VPN设备已知漏洞而来,散布后门程序

日本企业组织自2022年遭遇MirrorFace攻击行动锁定,当地电脑紧急应变团队暨协调中心JPCERT/CC持续追踪相关动态,最近他们提出警告,这些黑客更换攻击目标,同时也调整入侵的手段,并使用新的恶意程序NoopDoor。

值得留意的是,在部分攻击行动里,对方使用了相当罕见的手法运行恶意程序,他们滥用MSBuild公用程序加载含有代码的XML文件,从而产生相关作案工具。

【7月19日】CrowdStrike旗下EDR系统更新出错酿祸,全球出现Windows电脑大量当机,影响机场、医院等设施运作

本日最重大的资安事故,应该就属资安业者CrowdStrike旗下的EDR系统更新出错的情形,这样的情况不仅有许多用户上网抱怨电脑当机,也在全球造成灾情,值得留意的是,国内也传出桃园机场、台大医院、台北荣总营运受到影响的情况,究竟有多少企业组织受害?有待进一步追踪。

另一方面,国内外不少新闻媒体也指出,今天凌晨微软的云端服务出现异常,也与该资安业者有关。

热门文章
BETFAIR 网络攻击80万用户资料泄露
游戏风向
哈萨克斯坦计划对在线赌场促销活动进行处罚
游戏风向
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
超级PAC筹资4800万美元:体育博彩势力加码
游戏风向
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
巴西颁布新法赋权央行封锁非法博彩账户及 Pix 交易
支付动态
张侨伟参议员排除全面禁止,敦促菲律宾规范网络赌博
东南亚资讯
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
英国确认各垂直行业的赌博税税率
游戏风向
准备好了将你的收益最大化吗?尝试ProPush.me Constructor!
广告营销
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
Zenith携手HUIDU,冠名赞助2026年世界杯嘉年华官方巡回活动
线上游戏
首页
游戏
合作
发现
我的