资安一周第163期：推动组织重视资安由高层带动，设置资安长成金融业法规命令，预估65家银行、保险与证期商适用

9/9-9/15必看资安新闻

 

＃国家资安政策　＃资安长设置　＃金融业

金管会要求具规模金融业需设资安长，旗下银行局、保险局、证券局9月底将陆续完成法令修订

对于强制金融机关设立资安长一事，金管会去年8月公布金融资安行动方案之时，已经列入计划要推动，后续也研议修法一事。今年9月1日，金管会保险局已完成修法并公布施行，要求需指派副总经理以上或职责相当之人兼任资讯安全长，适用1兆元资产保险公司，并需在6个月内完成调整，而银行局与证期局也表示，本次修法已经完成预告程序，将于9月底前发布施行。据外界估计，新法令约有65家金融业者适用。更多内容

 

#MSHTML　#Windows漏洞

Windows最新MSHTML漏洞，微软紧急提供缓解指示

图片来源撷取自微软

微软在9月8日发出紧急公告，指出已有发现MSHTML RCE漏洞，且Office用户可能因开启恶意文件而遇害，由于目前微软尚无推出修补程式，因此该公司紧急提供缓解方法。同时，使用者面对来源不明的文件，也应提高警觉。

简单来说，这个编号CVE-2021-40444的漏洞，位于Windows内建的微软浏览器引擎MSHTML，它用于IE、旧版Edge与微软Office。攻击者可撰写内含恶意ActiveX控制的Office文件，一旦有人透过Office程式开启这个文件时，即能触发攻击，将在用户电脑上执行任意程式码，甚至接管整台系统。

值得注意的是，近期一些国外研究人员指出，已发现针对本漏洞的攻击活动；也有专家表示，微软的缓解措施并无法抵挡骇客攻击；台湾也有研究人员分析，认为这次微软Oce漏洞本质是在攻击IE的问题，与ActiveX不太有关系。更多内容 更多内容 更多内容

 

＃VPN漏洞　＃帐密外泄

骇客公布50万组Fortinet VPN用户账号与密码，74个国家受影响，台湾第二严重

资安媒体BleepingComputer在9月8日发现，骇客于暗网中免费公布了近50万组的Fortinet VPN使用者账号与密码，涉及逾1.2万台VPN装置，同一天Fortinet也指出，有骇客公布了8.7万台FortiGate SSL-VPN装置的存取账号与密码。虽不确定是否同批资料，但皆相信是CVE-2018-13379漏洞所造成。

值得注意的是，资安业者AdvIntel也根据这批揭露的Fortinet VPN SSL列表，进行分析，他们表示，74个国家受影响。其中，受影响最严重的前五大国家，分别是印度（11%）、台湾（8.45%）、意大利（7.96%）、法国（6.15%）与墨西哥（5.01%）。台湾名列第二严重，企业与组织应多加注意，至今仍未妥善因应的用户应尽速采取行动。更多内容

 

＃DDoS攻击　＃Mēris僵尸网络

俄罗斯Yandex遭遇全球史上规模最大DDoS攻击，新西兰邮政总局、银行也遭DDoS攻击

图片来源Yandex

俄罗斯最大网络公司Yandex在9月9日证实，该公司遭遇DDoS攻击，攻击流量达到每秒2,180万次的请求，堪称史上规模最大。根据Yandex与当地资安业者Qrator Labs的调查，这波攻击是由全新僵尸网络Mēris发起，并非只针对Yandex，也涵盖其他企业，相关攻击已经持续了好几周，包括新西兰、美国与俄罗斯，都遭遇攻击事件，而细究其攻击装置，其实都是来自同一个品牌Mikrotik的产品，这家公司本身则是一间拉脱维亚网络设备制造商。

另外，近期新西兰网络安全回应中心（CERT NZ）也发布公告，他们指出，澳盛银行、邮政总局、气象局及-单位等多个单位，遭到不明人士发动DDoS攻击。更多内容 更多内容

 

＃身份冒用　＃账号安全　＃不实资讯操弄

一篇Walmart将接受莱特币的假新闻稿，让莱特币大涨20%

近日传出媒体平台恐遭账号盗用而引发波澜的事件。在9月13日，有人假冒美国零售集团Walmart的名义，透过全球新闻稿发布平台GlobeNewswire发表消息，指称Walmart将与莱特币（Litecoin，LTC）合作，能让消费者以莱特币支付商品采购费用，而且，路透社与CNBC等媒体，都不疑有他地引用，连莱特币的行销人员都信以为真。

此事一发生，导致莱特币身价旋即大涨20%，币值从175美元涨至216美元，不过，随后Walmart于官网澄清并无此事，莱特币的价格又跌回177美元。目前并不确定这个账号是否被盗，GlobeNewswire表示，已加强身份验证机制，确保不再重蹈覆辙。更多内容

 

＃OpenSSL

经过三年开发，OpenSSL 3.0正式推出！加入新的FIPS模组，并弃用大量API

图片来源OpenSSL专案

在OpenSSL部落格上，9月7日正式公布推出OpenSSL 3.0，在此版新功能中，最重要的就是加入新的FIPS模组，并将纳入算法实作集合的Providers架构，同时也将弃用不少老旧过时的API。值得注意的是，OpenSSL 3.0改用Apache License 2.0开源授权，但旧版本仍适用OpenSSL和SSLeay双授权。更多内容

 

＃Consent Phishing Attack　＃Illicit Consent Grants　＃ID Federation

同意网络钓鱼攻击威胁增加，透过应用程序骗取用户大型网站账号的存取权限

现在许多网络服务会串接其他大型服务账号，透过ID Federation的方式，简化用户在注册账号时的过程，但近年一直传出攻击者利用应用程序，以OAuth身份验证诱骗使用者的方式，欺骗使用者授予权限，如此一来，攻击者若取得Token，就能在不知道密码的情况下，窃取该账号的机密资料。最近微软提出警告，他们发现，自2020年10月到今年上半，滥用这种攻击手段的情况显著增加，因此，呼吁使用者要加以留意。更多内容

 

＃REvil

勒索软件REvil于暗网中再现踪迹

偃旗息鼓两个月的REvil勒索软件集团，BleepingComputer于9月7日在暗网中，发现该集团公布盗取资料的Happy Blog网站又重新上线了，他们也观察到：REvil用来与受害者协商及让受害者付款的网站，目前还没有任何攻击行动迹象。

资安业者CrowdStrike情报副总裁Adam Meyers也向彭博社证实，Happy Blog及REvil的确已经回归暗网了，而且应该是由原本的REvil团队所主导。对于REvil在7月不明所以的消失，Meyers认为，这可能只是一个冷静期，因为当时REvil聚集了太多的目光，猜测REvil团队可能重建某些基础设施，并打造更安全的操作环境。更多内容
 

更多资安动态
●苹果紧急修补遭NSO成功利用并植入Pegasus间谍程式的安全漏洞
●富士通传客户资料外泄，已否认遭骇，资料可能来自日本东丽（Toray）
●微软修补可在Azure上接管他人容器的Azurescape漏洞
●中国骇客APT41附属组织利用Sidewalk后门发动攻击，台湾也有灾情