資安業者Rapid7提出警告,使用勒索軟體HelloKitty的駭客組織,利用訊息導向中介軟體ActiveMQ漏洞CVE-2023-46604入侵受害組織,企圖加密檔案並進行勒索
10月底勒索軟體駭客LockBit聲稱,他們利用零時差漏洞入侵航太龍頭波音(Boeing),取得大量敏感資料,並揚言要求該公司在11月2日前進行聯繫,當時波音表示正在設法了解狀況,這幾天終於有新進展。
11月2日波音向Bleeping Computer、The Register等新聞網站提出新的說明,指出他們遭遇網路攻擊事故,影響他們的零件物料及配送業務,但飛航安全不受影響,已通報主管機關並展開調查,也通知客戶及供應商。目前該公司的零件及配送網站為離線狀態,並公告因技術問題而無法提供服務。不過,波音並未進一步說明攻擊事故的細節,也沒有透露受害範圍。
1. https://www.bleepingcomputer.com/news/security/boeing-confirms-cyberattack-amid-lockbit-ransomware-claims/
2. https://www.theregister.com/2023/11/02/boeing_cyber_incident/
美國國防部逾63萬封電子郵件外洩,又是因為服務廠商遭MOVEit Transfaer零時差攻擊所致
5月底發生的MFT檔案共享系統MOVEit Transfer零時差漏洞大規模攻擊行動,最近又有新的受害情形傳出。
根據彭博社的報導,美國司法部因這起攻擊事故導致員工資料外流,約有63.2萬名員工的電子郵件信箱曝光。該媒體取得美國人事管理局(OPM)的文件指出,這些資料是來自資料管理業者Westat設置的MOVEit Transfer系統。
【漏洞與修補】
34款Windows驅動程式存在弱點,有可能讓攻擊者挾持電腦、抹除韌體
VMware旗下的威脅情報團隊近期發現34個Windows驅動程式存在漏洞,攻擊者一旦加以利用,有可能完全控制裝置,並在作業系統底層執行任意程式碼,甚至能竄改或破壞韌體,或是用於提升權限。
值得一提的是,過往對於驅動程式研究,聚焦在透過「視窗驅動程式模型(Windows Driver Model,WDM)」打造的驅動程式,而這次研究人員也對於採用「視窗驅動程式框架(Windows Driver Framework,WDF)」開發的驅動程式進行調查。
而在這個團隊找出的有漏洞驅動程式,風險都很高,因為攻擊者都能透過不具管理員權限的使用者帳號,進行完全控制。其中,有6個可被用於存取核心記憶體、6個可抹除韌體。此外,有2個WDF驅動程式WDTKernel.sys、H2OFFT64.sys,雖然在存取控制方面不易被利用,但攻擊者可將其用於自帶驅動程式(BYOVD)攻擊。
Microsoft 365應用程式的SketchUp 3D程式庫存在117個漏洞
資安業者Zscaler指出,微軟2022年6月在Microsoft 365支援SketchUp檔案(SKP),但也因此引入許多漏洞。
研究人員指出,Microsoft 365處理SKP檔案的過程裡,此辦公室生產力軟體會呼叫多個SketchUp的API及功能,他們透過模糊測試找出了20個安全漏洞,涵蓋記憶體堆疊緩衝區溢位、整數溢位、越界寫入(OBW)、類型混淆、記憶體釋放後濫用(UAF)等類型。另一方面,若是SketchUp檔案嵌入了圖片,Microsoft 365還會呼叫名為FreeImage的第三方程式碼進行處理,為此研究人員也繼續利用模糊測試,結果從該程式庫元件中找出97個漏洞。
對此,微軟對於上述117個漏洞登記了3個CVE編號CVE-2023-28285、CVE-2023-29344、CVE-2023-33146(CVSS風險評分皆為7.8),並於今年4月至6月,發布Windows版、macOS版Microsoft 365更新,然而,研究人員仍能繞過修補程式利用這些漏洞,因此微軟最終決定停用SketchUp檔案的支援。
【資安防禦措施】
FIRST推出新版漏洞風險評分系統CVSS 4.0
6月的國際資安事件緊急應變小組論壇(FIRST)年度大會,公布新的4.0版通用漏洞評分系統(CVSS),經過兩個月的公開討論、兩個月做出回應、調整,11月1日FIRST宣布新版評分系統正式上路,這是2019年6月CVSS 3.1版推出後的重大改版。
FIRST指出,新的評分標準提供了更細致的基本指標,並簡化威脅指標、提高特定環境的安全要求評估。這版增加漏洞評估的補充指標,例如:能否自動化利用(蠕蟲化)、復原難易度(韌性)等。另一個重要的改進面向,則是對於操作科技(OT)、工業控制系統(ICS)、物聯網(IoT)新增與安全相關的指標與參數。
值得留意的是,CVSS 4.0不只列出基本分數,將有4種呈現問題嚴重性狀態的方式,包含了基本評分CVSS-B、加上威脅評分的CVSS-BT、加上環境評分的CVSS-BE,以及統合3種分數的CVSS-BTE。
MITRE發布第14版ATT&CK,強化社交工程、工業控制系統、行動裝置領域攻防敘述
11月1日MITRE Engenuity發布資安攻防框架MITRE ATT&CK第14版,總共涵蓋760種軟體、143個駭客組織,以及24種橫跨企業、行動裝置、工業控制系統(ICS)的攻擊行為。此新版框架對於偵測的註解及分析,提供更多的延伸,也在偵測、、緩解措施之間的關聯,進行強化。
其中,對於企業的攻擊手法,這次特別納入了社交工程,以及與資訊技術無直接相關的詐欺手段,例如:金融詐騙、語音網路釣魚等。針對工業控制系統的部分,新版攻防框架新增此種場域的主要元件,而讓相關部門更能透過該框架描述資安風險及威脅。
本次新版框架也擴大行動裝置類別的範圍,涵蓋多種新型態的網路釣魚手法,如:簡訊釣魚(smishing)、QR code釣魚(quishing)、電話釣魚(vishing)。
