【资安日报】2021年11月16日

与内存有关的漏洞，往往难以修补。而名为Rowhammer的内存攻击手法，自2012被揭露后，制造内存的厂商纷纷导入“目标列翻新”（Target Row Refresh，TRR）的技术，来防范有关攻击。但最近有资安研究团队指出，他们发现突破TRR的防护机制来进行Rowhammer攻击的方法。这项漏洞也得到证实，目前研究人员与有关业者正在企图找出缓解措施。

此外，今日的资安产业动态都与勒索软件有关－－一是美国与以色列宣布结盟对抗勒索软件，另一个则是资安业者Sophos的2022年网络威胁预测，他们认为未来新的一年，勒索软件攻击的流程变化将是值得观察的重点：从工具的提供、网络攻击的生态，以及赎金的金流处理等，而使得这类攻击的威胁态势更加险峻。

而对于云林县教育处国中小的共构平台遭到勒索软件攻击事故，云林县-昨天下午也进一步说明，指出遭到勒索软件攻击的数据库，只有存放每个学校的网站架构及样式，以及学校的公告，没有学生的学习记录。固然值得庆幸的是，没有学生的资料因共构系统事故而外泄，但突显了这套网站共构系统将资料集中存放问题：一旦这个数据库出现异常，类似本次事故师生无法存取网站的情况，将会再度发生。有关这些学校网站资料存放的规划，恐怕有待日后云林县教育处着手调整。

【攻击与威胁】

新的Rowhammer攻击绕过现有的内存防御机制

资安研究团队Comsec发现新的内存攻击手法，能绕过现有DDR4的Rowhammer防护机制，研究人员将其命名为Blacksmith，这项漏洞编号为CVE-2021-42114。这项漏洞得到DRAM大厂三星、海力士、美光，以及英特尔、AMD、微软、甲骨文、Google的证实，研究人员与英特尔合作，企图找出缓解的方法。

英特尔公布2个影响处理器的BIOS漏洞

英特尔于11月9日发布漏洞通报，当中提及2个高度风险处理器的BIOS固件漏洞：CVE-2021-0157与CVE-2021-0158，CVSS风险层级皆为8.2分，一旦遭到利用，攻击者就能藉些提升权限，不过，要触发这些漏洞，攻击者必须实际接触存在弱点的装置。上述漏洞存在于第7代、第10代、第11代Core i处理器，以及数款Xeon家族的处理器。

上万个网站及应用程序曝露于Magecart侧录攻击风险

针对Magecart侧录攻击的威胁，资安业者Cyberpion于Black Hat Europe 2021上揭露他们的研究成果，指出即使是财富500大、全球500大，或是-组织，都难以全面防范Magecart攻击。该公司分析在近2年中，超过3万个遭Magecart攻击利用的漏洞，至今仍有逾1万个常被利用。他们也提及，曾经被用于攻击英国航空的漏洞，也能轻易复制到其他航空公司上。

新兴骇客组织Moses Staff承认与数起以色列网络攻击有关

资安业者Check Point指出，骇客组织Moses Staff自2021年9月开始，锁定以色列的组织发动攻击，动机疑似与政治目的有关。该组织窃取并公布受害组织的机密资料，然后加密这些组织的网络来造成损害，但他们不会向对方索讨赎金。该组织声称，他们发动攻击的目的，是为了对抗犹太复国主义者占领土地的罪行。

木马程式GarvityRAT假冒端对端即时通讯App

资安业者Cyble发现，木马程式GarvityRAT有了新的攻击行动，它被攻击者包装成名为SoSafe的即时通讯App，锁定安卓用户发动攻击，一旦手机遭这款App植入，将会窃取联络人资料、简讯，以及机密文件等资料。攻击者疑似也建置网站，来散布该木马程式。

逾4成英国电玩玩家曾遭遇网络攻击

资安业者NortonLifeLock公布研究指出，42%英国游戏玩家曾面临游戏账号或是装置遭到攻击的情况。其中，最常见的网络攻击类型，包含了恶意软件攻击、游戏的数位货币及物品被盗取，以及游戏账号遭到未经授权的存取等。上述曾遭遇攻击的玩家，逾四分之三面临金钱损失，平均每人损失145英镑。此外，英国玩家普遍缺乏资安意识，约有半数会在不同的游戏里，使用相同的账号名称或密码，近4成分享与个人有关的资讯。

 

【漏洞与修补】

微软紧急修补Windows Server漏洞

微软于11月14日针对多个版本Windows Server，发布修补程式，被修补的漏洞与Kerberos验证有关，恐影响作为网域控制器（DC）的Windows Server。受影响范围为Windows Server 2019以下的版本，不过，值得留意的是，这项紧急修补无法直接透过Microsoft Update自动更新，IT人员必须从Microsoft Update Catalog下载对应的更新程式。

美国针对多款工控系统的资料分配服务设备漏洞提出警告

美国网络安全暨基础设施安全局（CISA）于11月11日，针对工业控制系统（ICS）发出警告，多个厂牌的物件管理群组（OMG）资料分配服务（DDS）设备存在漏洞，呼吁使用这类设备的用户应尽速修补，或是向厂商寻求协助。这些设备是CycloneDDS、FastDDS、GurumDDS、OpenDDS、Connext DDS Professional、Connext DDS Secure、Connext DDS Micro，以及CoreDX DDS。

 

【资安产业动态】

美国与以色列结盟对抗勒索软件

美国财政部与以色列财政部于11月14日宣布，为了对抗勒索软件对于经济造成的威胁，他们打算建立双边的伙伴关系，来保护关键的金融基础设施及新兴技术，并扩大国际合作，而这项合作的基础，就是10月份美国白宫邀及30余国召开的勒索软件对抗会议。两国将成立特别工作小组，来推动有关业务。

Sophos发表资安威胁趋势预测，勒索软件的勒索范围与强度将继续增加

资安业者Sophos发布2022年威胁报告，聚焦于勒索软件攻击的发展。该公司推测，接下来一年里的勒索软件攻击工具，将变得更加模组化，以便让不同的攻击者都能够发动勒索软件攻击，而现今的各式网络威胁，也会被用于发动勒索软件攻击。至于在胁迫受害者付赎金的方面，攻击者不只会结合多种方式，勒索的范围与强度也会有所增加，且加密货币在尚未有妥善的监管之前，仍会助长勒索软件与挖矿攻击。

 

【近期资安日报】

2021年11月15日

2021年11月12日

2021年11月11日