11月第2周的资安新闻中，在资安事件方面，以上市公司国巨公代子公司发布资安事件重讯最特别，该公司不仅是揭露资安事故，也公布该事故对财务的影响，对资安透明度起到示范作用。

这是因为，过去我们看到近年国外公司遭遇资安事件，有时都会揭露该事件带来的损失金额，但很少国内公司这么做，如今国巨在针对子公司基美电子（KEMET）资安事件的损失揭露上，提出具体金额与占比的说明。根据其公告的损失包括：取消订单金额约60万美元（约1,800万元），占2022年度销货收入约0.04%，以及闲置产能损失约310万美元（约1亿元），占2022年度营业利益约0.75%。

在漏洞消息方面，这一星期适逢多家IT厂商发布每月例行安全更新，其中微软修补修补的CVE-2024-43451最要注意，因为该漏洞至少从今年4月起就被利用，后续是在ClearSky研究人员在乌克兰CERT-UA的帮助下，拼凑出今年6月疑似俄罗斯入侵乌克兰学术服务器的攻击事件，进而发现这个漏洞并通报微软。
●微软修补4个零时差漏洞，其中2个已遭利用，分别是涉及Windows NTLMv2的CVE-2024-43451，以及有关Windows工作调度器的CVE-2024-49039。
●Palo Alto Networks在10月初修补的两个漏洞，CVE-2024-9463、CVE-2024-9465，一个月后，发现有攻击者开始锁定这些已知漏洞利用于攻击行动的情形。
●3个老旧漏洞持续遭攻击者锁定利用，包括Atlassian在2021年修补Jira Server与Data Center的漏洞CVE-2021-26086，Metabase在2021年修补GeoJSON API的漏洞CVE-2021-41277，思科在2014年修补ASA的漏洞CVE-2014-2120。

其他重要漏洞消息方面，包括D-Link已停止支持的老旧NAS设备被发现重大漏洞，研究人员呼吁用户尽速汰换设备；有资安业者揭露物联网设备云端控管平台Ovrc的10个漏洞，指出物联网设备越来越广泛，这类平台的安全更显重要。

在威胁态势上，有3个态势值得留意，包括网攻数据窃取速度加快、攻击者滥用SEO的现况，以及新兴的ZIP文件串接手法（ZIP Concatenation），这不仅是利用多个ZIP文件串接成单一文件，使恶意软件得以隐藏在文件结构中，而且一起攻击活动中，以7-Zip打开会是无害PDF档，用WinRAR或是Windows文件总管打开则会让恶意文件现身，容易对用户产生更大的威胁。
●Palo Alto Networks在台湾年度用户大会指出网络攻击者出手速度越来越快，从3年前平均9天缩短至去年的2天，最近的调查更是缩短至4小时内。
●近年冒牌电子商务网站数量暴增，资安业者趋势科技与日本警界等联手调查，发现攻击者先对合法网站植入SEO恶意软件，仅而让搜索结果出现黑客广告。
●恶意软件GootLoader不仅利用搜寻引擎优化中毒的手法来入侵，近期还特别锁定澳洲，针对爱猫人士而来。
●中国黑客APT41利用恶意软件框架DeepData Framework跟踪政治人物与记者，东南亚多国被锁定。
●资安业者对近期兴起的ZIP文件串接手法（ZIP Concatenation）示警，此手法正被攻击者积极利用，有些解压缩工具才会让恶意文件就会现身，相当具隐蔽性

另外值得警惕的是，黑客通过假冒方式散布恶意软件的情形有两起，显示这类假冒与社交工程的手法依然活跃，包括有攻击者利用伪装成Windows版GitHub应用程序，散布恶意软件Fickle Stealer，以及以取名相近的方式假冒热门Python套件SSH自动化函数库fabric。

在资安防护方面，本星期有两大重要新闻，一是为了因应诈骗、网钓链接等问题，多家短信商开始因应NCC祭出的新规范，开始实施创建商业短信的白名单机制；另一是思科近期宣布扩大云端保护方案布局，添加Cillium与Hypershield，当中显现出该公司对于eBPF技术的重视，由于上个月CNCF技术委员会成员来台揭露K8s未来3大发展焦点时，其中一项也就是eBPF，突显这项发展近十年的eBPF技术，如今正被资安界看到更多可能性。

【11月11日】6.1万台D-Link网络存储设备存在重大层级命令注入漏洞

今年4月研究人员揭露D-Link网络存储设备（NAS）高风险漏洞，而且，这些机型生命周期都已结束，D-Link不提供修补程序，当时有超过9万台设备曝险，不久之后就出现相关资安事故。存在于该厂牌生命周期终结设备的弱点，如今再度出现。

值得留意的是，上周研究人员公布的弱点CVE-2024-10914为重大层级，接下来很有可能会被攻击者盯上，并将其实际尝试利用。

【11月12日】多组黑客通过SEO下毒手法，将用户导向冒牌电子商务网站击

黑客先对合法网站下手，再对浏览网站的用户发动攻击的情况，过往陆续传出这类事故，但类似的攻击出现新的手法：攻击者先在合法网站植入恶意程序，从而影响搜索引擎的结果，将上网搜索的用户导向黑客的恶意网站。资安业者趋势科技指出，这样的威胁有越来越严重的趋势，截至目前为止，他们已看到6组人马从事相关攻击，甚至有共用部分基础设施的情况。

【11月13日】微软本月例行更新揭露4项零时差漏洞

今天许多厂商发布11月份例行更新，微软、Adobe、SAP、Citrix、西门子、施耐德电机等厂商，纷纷发布相关公告及更新软件，IT人员应留意相关公告，规画修补行程。

其中，微软发布的公告相当值得留意，因为这次有4个零时差漏洞，其中一个与MSHTML平台有关的CVE-2024-43451，由于在公告前已遭公开，且有实际攻击行动，后续影响有待观察。

【11月14日】NTLM散列泄露欺骗漏洞5个月前被用于攻击乌克兰企业组织

昨天我们报导微软发布11月例行更新（Patch Tuesday），当中修补了已遭到利用的零时差漏洞CVE-2024-43451，此为NTLM散列值泄露欺骗漏洞，一旦遭到利用，攻击者就能取得用户的NTLM散列数据而能冒用其身分。隔天通报此事的资安业者ClearSky表示，俄罗斯黑客UAC-0194于5个月前将其用于网钓攻击。

值得留意的是，他们也特别强调用户相当容易中招，无论是对黑客提供的文件右键点击，或是删除、拖曳到其他文件夹，都有可能触发漏洞。

【11月15日】中国黑客APT41打造恶意软件框架，锁定政治人物与记者的电脑而来

苹果今年4月罕见对全球92个国家用户提出佣兵间谍软件（Mercenary Spyware）攻击警告，资安业者BlackBerry指出这个间谍软件就是曾在2020年出没的LightSpy，事隔半年，研究人员公布新的调查结果，指出这些黑客从原本针对苹果手机、电脑，如今也对Windows电脑打造间谍软件。

值得留意的是，研究人员也确认了攻击者的身分，就是恶名昭彰的中国黑客APT41。

●微软修补4个零时差漏洞，其中有2个已遭攻击者利用，分别是涉及Windows NTLMv2的CVE-2024-43451，以及涉及Windows工作调度器的CVE-2024-49039。
●Palo Alto Networks在10月初修补的两个漏洞，CVE-2024-9463、CVE-2024-9465，一个月后发现遭攻击者锁定这些已知漏洞利用的迹象。
●3个老旧漏洞持续遭攻击者锁定利用，包括Atlassian在2021年修补Jira Server与Data Center的漏洞CVE-2021-26086，Metabase在2021年修补GeoJSON API的漏洞CVE-2021-41277，思科在2014年修补ASA的漏洞CVE-2014-2120。

其他重要漏洞消息方面，包括D-Link已停止支持的老旧NAS设备被发现重大漏洞，研究人员呼吁用户尽速汰换设备；有资安业者揭露物联网设备云端控管平台Ovrc的10个漏洞，指出物联网设备越来越广泛下，这类平台的安全防护更显重要。