本周二（8月13日）是许多软件业者发布8月例行更新的日子，其中最值得留意的是微软，虽然他们这次仅公布90个漏洞，较7月143个有明显减少的趋势，但值得留意的是，揭露的零时差漏洞多达10个，其中有6个已被用于实际攻击行动，美国网络安全暨基础设施安全局（CISA）也证实这些漏洞遭到利用的现象，要求联邦机构限期完成修补。

其余4个零时差漏洞也不能掉以轻心，当中有2个是研究人员稍早在2024黑帽大会公布，可被串连用于Windows Downdate降级攻击而受到瞩目。

【攻击与威胁】

14亿笔腾讯用户数据惊传流入黑客论坛

资安媒体Hackread近日发现，Breach Forums黑客论坛有一个名为Fenice的用户，公布14亿笔的腾讯用户数据。而对于这批数据的来源，Hackread怀疑此数据库源自于今年1月曝光的Mother of All Breaches（MOAB），因为在这个总计12 TB，内含3,800个文件夹与260亿笔外泄数据的MOAB中，最多的就是腾讯的15亿笔。

资安专家认为MOAB是众多外泄数据的合辑，之后并确定该数据来自外泄数据搜索引擎Leak-Lookup。当时Leak-Lookup宣称，是因为防火墙的配置错误才让MOAB曝光。

其他攻击与威胁

◆中国黑客组织Earth Baku转移目标，锁定欧洲、中东、非洲地区发动攻击

◆黑客在GitHub架设冒牌WinRAR网站，意图散布恶意程序

◆黑客假借提供密码产生器Google Authenticator，意图散布窃资软件Latrodectus、ACR Stealer

【漏洞与修补】

微软8月例行更新公布10个零时差漏洞，其中6个已出现实际攻击

8月13日微软发布本月份例行更新，总共修补90个漏洞，其中包含36个权限提升、4个安全功能绕过、28个远程代码运行（RCE）、8个信息泄露、6个阻断服务（DoS），以及7个可用于欺骗攻击。

值得留意的是，微软本次公布多达10个零时差漏洞，是今年微软单月公告零时差漏洞数量最多的一次，其中有6个已被用于实际攻击行动。此外，这次还包含一个尚未推出修补程序的零时差漏洞。

SAP揭露重大层级漏洞，攻击者可趁机绕过身分验证

本月SAP例行更新于8月13日发布，总共修补17个漏洞，其中有2个为重大层级，4个为高风险层级，其余漏洞的危险程度则列为中度风险。

根据CVSS风险评分，最严重的漏洞是CVE-2024-41730，此漏洞出现于商业智能平台BusinessObjects，起因是缺乏身分验证的检核，这项问题出现在激活单一签入（SSO）的企业环境，攻击者可在未经身分验证的情况下，利用REST端点窃得登录系统的凭证（Token），CVSS风险评为9.8分，影响430、440版系统。

另一个重大层级漏洞是CVE-2024-29415，此漏洞发生在SAP Build Apps打造的应用程序，为服务器请求伪造（SSRF）漏洞，CVSS风险评为9.1。

窗口操作系统通用事件记录文件系统CLFS组件存在漏洞，恐被用于阻断服务攻击

在全球对于CrowdStrike更新出错造成大规模Windows蓝色当机（BSOD）心有余悸之时，资安公司Fortra公开另一个可导致蓝色当机的漏洞CVE-2024-6768，这个问题出现在通用事件记录文件系统（CLFS），一旦攻击者借此对CLFS.sys驱动程序发动攻击，就有机会导致阻断服务（DoS），进而引发蓝色当机。

此漏洞影响Widnows 10、Windows 11，以及Windows 2016至2022版服务器操作系统，允许掌握低权限的攻击者利用CLFS组件缺陷，通过特定操作强制调用内核函数KeBugCheckEx来引发当机的现象。研究人员指出，这个漏洞虽然不会直接造成数据泄漏或是系统入侵，但是会明显影响系统的稳定性和可靠性，降低用户对系统的信任度。

其他漏洞与修补

◆Adobe发布8月例行更新，修补72个漏洞

【资安产业动态】

NIST正式发布3款PQC标准，鼓励各界尽快转换以因应量子破密威胁

后量子密码学（PQC）标准在8月13日正式发布，成为全球瞩目的焦点，因为这次推出的3项新标准是为未来而准备，也就是为日后量子破密威胁所设计，如今美国国家标准暨技术研究院（NIST）首度宣布推出的是FIPS 203、FIPS 204、FIPS 205，接下来还有第4个标准将在年底出炉。

回顾PQC标准的制定，总共历经8年时间，最早从2016年美国NIST就开始举行PQC密码学竞赛，当时收到来自25个国家的82个提交算法，之后进行了3轮淘汰赛，直到2022年先选出4个候选算法，也就是CRYSTALS-Kyber、CRYSTALS-Dilithium、FALCON、SPHINCS+。目的就是选出可抵御量子破密威胁的数学问题，以保护现在与未来的安全。

安全更新引发大当机，CrowdStrike传有意买下修补程序管理新创Action1改善软件开发流程

上个月CrowdStrike因EDR更新引发全球大停机灾难，今年Pwnie Awards颁给该公司史诗级失败（Most Epic Fail）奖项，该公司总裁Michael Sentonas到场领奖并表明他们会记取这次的教训，如今传出该公司有进一步的行动。根据资安新闻媒体Cybersecurity Dive的报导，CrowdStrike计划买下提供修补程序管理方案的新创业者Action1，以改善其软件更新流程。

该媒体引述Action1首席执行官暨共同创办人Alex Vovk寄给员工的备忘录，显示双方正在进行协议。根据备忘录，CrowdStrike和Action1正在洽谈相关事宜，计划以近10亿美元进行并购。Alex Vovk对员工指出，这收购提案也证明Action1市场正在高速成长，很快将会实现年营收1亿美元的目标。

Action1向媒体证实备忘录真实性，CrowdStrike拒绝评论此事。

其他资安产业动态

◆数位发展部率团参与资安会议DEF CON 32，分享台湾网络安全与通信韧性经验

近期资安日报

【8月13日】韩国国防工业承包商传出遭北韩黑客攻击，军事侦察机数据外流

【8月12日】研究人员揭露存在18年的浏览器漏洞，而且已有滥用漏洞行为，Linux及macOS电脑都可能中招

【8月9日】资安业者公布6起滥用云端服务的后门程序攻击行动，并指出有台湾组织受害