资安一周第167期：脸书大当机7小时。资安人员揭露新的UEFI攻击手法

10/7-10/13必看资安新闻

 

＃社群网站  ＃网络服务中断

脸书大当机7小时，起因是日常维护出错

在台北时间10月5日清晨，脸书发生这几年最严重的当机事件，全球的脸书服务同时断线，涵盖Facebook、Instagram与WhatsApp，影响全球逾35亿用户，且持续近7小时。脸书公布详细的肇事原因，表示一切都是从例行性维护出错所引发的骨牌效应。

事情发生的经过，是在5日凌晨，脸书工程师执行例行性维护，不小心切断骨干网络的所有连结，导致该公司全球资料中心同时断网。因网络断线与内部工具失效等因素，工程师必须到资料中心手动排除异常，而这些软硬件系统的安全存取规则，也拖慢脸书修复的脚步。详全文

 

＃UEFI  ＃固件攻击  ＃Secure Boot

恶意程式设法关闭UEFI安全开机功能，并被用于间谍攻击

资安业者ESET于10月5日揭露新的恶意软件ESPecter，它借由EFI系统磁区（ESP），而能持续在受害电脑运作，让攻击者得以绕过Windows的驱动程式强制签章机制（DSE），进而载入未签章的驱动程式，以便进行其他攻击行动。

针对这样的攻击手法，研究人员呼吁，使用者要严加防范：电脑要使用最新版本的固件，并确定安全开机（Secure Boot）功能开启，再者，使用者也要留意特殊权限的管理，避免高权限账号遭到攻击者滥用。详全文

图片来源：ESET

 

＃UEFI  ＃固件攻击  ＃间谍软件

老牌间谍程式FinSpy透过恶意固件启动器，植入Windows电脑

资安业者卡巴斯基揭露，恶名昭彰的间谍软件FinSpy（又被称为FinFisher或Wingbird），骇客开始纳入UEFI恶意启动工具（Bootkit），使得攻击行动更加的隐密而不易被察觉。

攻击者一旦利用FinSpy，可窃取受害电脑的各种资料，像是操作系统资讯、浏览器与VPN的帐密、搜寻历史记录，以及Wi-Fi的密码等。详全文

 

＃国家级骇客

近一年6成国家级骇客攻击来自俄罗斯

微软于10月7日发布《数位防御报告》（Digital Defense Report），搜集了从2020年7月到2021年6月间，所观察到的骇客行动。根据该报告，最积极的国家级骇客来自俄罗斯，占所有国家级攻击的58%，居次的是北朝鲜的23%，伊朗占了11%，还有8%来自中国。

微软指出，俄罗斯骇客不仅活动频繁，且其成功入侵比例从前一年的21%，成长到32%。同时俄罗斯也对搜集情报愈来愈感兴趣，且绝大多数的攻击对象牵涉到外交政策、国家安全与国防领域，涵盖美国、乌克兰，以及英国组织。详全文

图片来源：微软

 

＃漏洞修补  ＃iOS

苹果修补已被滥用的安全漏洞

苹果于10月11日释出了iOS 15.0.2与iPadOS 15.0.2，此次的更新主要是解决了部分臭虫，并且修补已遭骇客滥用的CVE-2021-30883安全漏洞。

对于CVE-2021-30883漏洞，苹果表示，它可能允许应用程序以核心权限执行任意程式，而且已经遭到滥用，该公司借由改善内存处理修复此内存毁损问题。资安研究人员Saar Amar也揭露有关分析及概念性验证（PoC）程式，并认为该漏洞很可能会被用于越狱。详全文

 

＃资安防护措施  ＃VBA

微软将关闭Excel 4.0宏确保用户安全

微软宣布更新Microsoft 365 Excel Trust Center宏的设定，预设关闭Excel 4.0宏。这项配置，微软预计10月底会先开始部署到Insider-Slow通道；目前通道（Current Channel）11月初将开始部署；最后，每月企业通道（Monthly Enterprise Channel）版本，则预计于12月开始及完成部署。详全文

 

＃影音串流平台  ＃资料外泄  ＃组态配置不当

Twitch资料外泄原因出炉，配置错误闯祸

借由网络论坛，骇客日前释出了窃自游戏影片串流平台Twitch资料，而Twitch也证实该平台被骇，并在10月6日公布原因。他们指出，是因为服务器的配置变更错误所造成，而让第三方得以存取内部服务器。迄今Twitch仍在调查受影响的范围，为了谨慎起见，Twitch已经重置了所有的串流金钥。

根据新闻网站《Motherboard》的报导，骇客所揭露的安全工具是旧的，源代码也没有太多的机密，而影响最大的用户可能是直播主──因为，网络上开始有人公布直播主的收入，而这些资讯可能让他们成为骇客攻击的目标。详全文

 

＃APT攻击  ＃RAT

ShellClient木马锁定全球航太与电信产业发动攻击

资安业者Cybereason于10月6日，揭露名为GhostShell的攻击行动，骇客运用从未被发现的RAT木马程式ShellClient，攻击全球的航太产业与电信公司。

针对攻击者的意图，Cybereason指出，主要是窃取组织的关键资产、基础设施，以及所持有的技术等敏感资料。至于攻击者锁定的攻击范围，研究人员认为主要是中东地区，但在美国、俄罗斯，以及欧洲也有受害组织。详全文

图片来源：Cybereason

 

＃勒索软件攻击  ＃虚拟化平台

勒索软件锁定VMware ESXi下手，运用Python程式码快速加密虚拟磁盘

资安业者Sophos在10月5日，揭露一起使用Python指令码的勒索软件攻击事故，攻击者使用这些指令码，锁定组织内VMware ESXi环境，加密所有的虚拟磁盘，而使得虚拟机器（VM）被迫下线。

根据资安人员的调查，从入侵到部署勒索软件指令码，攻击者用了3个多小时就完成，随后就开始加密VMware ESXi服务器里的虚拟磁盘。Sophos表示，这是他们看过攻击速度最快的行动之一。详全文

 

＃漏洞修补

Apache修补已被滥用的资料外泄漏洞

Apache软件基金会于10月5日，释出了Apache HTTP Server 2.4.50，修补2.4.49版中的2个安全漏洞，其中的CVE-2021-41773为资料外泄漏洞，而且已被用于攻击行动，使得该基金会呼吁用户应尽速修补。

此漏洞为路径穿越（Path Traversal）与档案曝露漏洞，允许骇客将URL映射到文件根目录（Document Root）以外的档案上，也可能泄露诸如CGI脚本文件等直译档案的来源。详全文

 

 

更多资安动态

●被并购的McAfee、FireEye的资安业务将整合
●车辆网络安全ISO/SAE 21434标准出炉
●为推动电信业汰换华为、中兴设备，美国投入19亿美元