【资安日报】2021年11月24日

在本日的资安新闻中，微软甫于11月例行修补（Patch Tuesday）修补的一项漏洞CVE-2021-41379，竟出现修补不完全的情况，而引起关注。而且，这个现象还是通报这项漏洞的研究人员察觉，他公布了概念性验证程式来映证修补不完全的问题，同时控诉微软抓漏奖金大幅缩水，并得到其他资安研究人员的附和。但微软漏洞修补不完全的现象，已有前例，例如，11月初研究人员发现，微软对于本机权限提升（LPE）漏洞CVE-2021-34484的修补不全，而能让攻击者利用这项漏洞，在已安装修补程式的Windows操作系统上提升自己的权限。

而除了上述漏洞修补不全的问题，新兴的攻击手法也相当值得留意，例如，攻击者透过JavaScript载入器散布恶意软件，由于这个载入器采用JavaScript开发，而使得许多防毒引擎难以解析是否有害。此外，锁定加密货币投资人的恶意软件Babadeda，也是被用于植入窃密软件或是RAT木马，这起攻击行动另一个特别之处，就是骇客使用即时通讯软件Discord对受害者进行网络钓鱼，引诱他们下载Babadeda进行安装。

【攻击与威胁】

研究人员针对自己通报的漏洞发布概念性验证程式，指控微软修补不全

又有研究人员指控微软抓漏奖金大幅缩水，且修补不完整的情况！揭露Windows Installer漏洞CVE-2021-41379的研究人员Abdelhamid Naceri指出，微软声称于11月例行修补处理了该漏洞，但实际上，经他对于修补程式进行分析后发现，微软并未妥善处理，而能够利用类似手法触发漏洞，且所有版本的Windows都无法幸免于难。

为何该研究员会通报漏洞又发布概念性验证攻击程式？该员指出，微软不只修补不完整，还大幅降低抓漏的奖励，促使他决定公布验证工具，来突显微软对于漏洞不够重视的现象。

攻击者利用JavaScript载入器散布木马程式

HP资安研究团队揭露名为RATDispenser的恶意程式载入器，这是以JavaScript制作而成，攻击者用来散布RAT木马程式与窃密软件，该团队看到攻击者借此工具散布至少8种RAT，且在VirusTotal上仅有11%防毒引擎能够识别有害。研究人员指出，这项工具几乎都被用于投放恶意软件，他们推测背后提供RATDispenser的人士，身份是专门销售恶意软件服务（Malware-as-a-Service）的骇客。

恶意软件BazarLoader以合法应用程序进行掩护

趋势科技提出警告，他们长期追踪窃密软件BazarLoader，发现近期该软件出现2种过往较少用来散布的手法，其一是使用知名软件如：VLC、TeamViewer的安装程式来挟带，在受害者执行安装程式时，一并启动BazarLoader，该窃密软件随后将自我复制，并注入到Edge浏览器的处理程序持续运作。另一种则是利用ISO档案打包，这么做的目的可能是要规避资安系统侦测。

攻击者滥用不同IP地址，使用SSH连线入侵应用系统

曝露在互联网的云端工作负载，没有合适的安全配置的状况时有所闻，也成为骇客常见的攻击目标。但这样的情况究竟有多严重？Palo Alto Networks的研究人员部署了320个密罐（Honeypot）来进行实验，这些密罐分别是RDP服务器、SSH服务器、SMB档案服务器，以及Postgres数据库，结果发现，SSH服务器受到的攻击次数最多，远过于其他3种服务器，此外，其中1个攻击者在短短的30秒内，破坏近80个Postgres数据库密罐。

值得注意的是，85%的来源IP地址只出现1天，突显攻击者很少使用重复的IP地址发动攻击，若是组织倚赖防火墙阻挡IP地址黑名单，很难防堵攻击行动。

恶意加密器经由Discord发动攻击，锁定加密货币投资者下手

资安业者Morphisec揭露名为Babadeda恶意软件，攻击者透过即时通讯软件Discord，来锁定加密货币、非同质化代币（NFT）、去中心化金融（DeFi）的投资者下手，这个恶意软件被用于在受害电脑上植入窃密程式、RAT木马，甚至是LockBit勒索软件。

APT骇客锁定疫苗制造商的基础设施发动攻击

非营利组织生物经济资讯共享暨分析中心（BIO-ISAC）于11月22日提出警告，他们发现使用恶意软件Tardigrade的APT攻击行动，自今年春季开始，已有2家生物科技公司受害，发动攻击的骇客主要可能是想要窃取智慧财产，并非想要索讨赎金。BIO-ISAC也呼吁这些疫苗制造厂商要严加防范。

165公布本周解除分期诈骗民众通报高风险卖场名单，王品集团与饭店业受关注

国内企业资料外泄情形受关注，本周警方受理案件数最多仍为东森购物，这三个月来已有许多民众表示，诈骗集团清楚客户个资与订单，业者至今未对外发布资安公告；王品集团在今年初曾入榜，该公司在3月曾发布公告，说明王品牛排“电子精英会员”系统的顾客资料被盗窃，最近几周，又有民众通报西提牛排、王品牛排、陶板屋，在11月22日，桃园市前议员王浩宇也在脸书发文指控王品集团另一家品田牧场个资外泄，诈骗集团清楚知道他的用餐时间、餐点与金额；本周君悦饭店新入榜，有疑似情形，由于日前墨攻票券表示遭骇，因此本周包括老爷、典华、天成、凯萨、大仓久和等相当多个饭店集团，都已发布防诈骗的公告提醒民众。

 

【漏洞与修补】

英国Sky Broadband宽频业者用户端路由器漏洞影响600万台设备，业者修补近18个月才完成

近日资安业者Pen Test Partners揭露，英国Sky Broadband提供宽频用户的600万台路由器，存在DNS重新绑定（DNS Rebinding）漏洞，若用户未曾变更该路由器设备的密码，攻击者可引诱用户连至一个含有恶意程式的网站，并利用该漏洞入侵用户内网的装置。值得关注的是，这个漏洞是在2020年5月由Pen Test Partners发现并通报，但Sky Broadband修补速度慢，2021年5月才只有半数设备修补完成，到了2021年10月底才达到9成9完成修补。

 

【资安防御措施】

思科防火墙严重漏洞恐导致服务中断

资安业者Positive Technologies指出，思科的Adaptive Security Appliance（ASA）与Firepower Threat Defense（FTD）系列防火墙存在严重漏洞CVE-2021-34704，一旦遭到利用恐导致设备服务中断，防火墙及VPN等功能无法使用，这项漏洞的CVSS风险层级为8.6分，他们呼吁用户应尽速修补。

开源VPN系统OpenVPN存在任意程式码执行漏洞，影响工控VPN解决方案

资安业者Claroty指出，多个透过开源VPN系统OpenVPN所打造的工控VPN解决方案遭锁定，攻击者使用这些系统的弱点提升权限，并能执行任意程式码发动攻击，受影响的VPN厂牌是HMS Industrial Networks、Siemens、PerFact、MB connect line，CVSS风险层级为7.8分到9.6分。这些业者获报后已着手修补，并提供更新程式。

行政院资安处说明今年资安法修正重点，资安专责人力不足缺口仍有3到4成

今年8月23日资通安全管理法修正已公布，为宣导国家资安政策，行政院资通安全处自11月25日举办今年第2次巡回研讨会，当中也特别说明了近期修法的重要变化，例如，资安法第六条修正后，原本有自行或委外设置AD或电子邮件系统的D级机关，将升级为C级机关，而在技术面中，A、B、C级公务机关与关键基础设施提供者，要在一或两年内完成资通安全弱点通报机制（VANS）的介接，而A、B级公务机关要再两年来，完成端点侦测及应变机制（EDR）的导入。同时，资安处公布2020年资通安全维护计划实施情形，其中资安专职人力达成率方面，比前一年度要高，例如，A级机关需4人，达成率从62.79%提升到72.73%，仍然有近3成不足的缺口，C级机关需1人，达成率从53.85%提升到60.79%，缺口仍有4成。

【近期资安日报】

2021年11月23日

2021年11月22日

2021年11月19日