【资安日报】2021年11月25日

微软修补Windows Installer漏洞不完全一事，在研究人员公布概念性验证程式之后，随即就被发现攻击者正在跃跃欲试，疑似着手打造攻击工具并进行测试，但这个漏洞微软尚未提供进一步的修补。而另一起资安新闻就是实际的APT攻击行动：疑似是受伊斯兰政权指使的骇客，锁定使用波斯语的用户发动间谍攻击，而入侵受害电脑的管道，就是不久前才被修补的MSHTML重大漏洞CVE-2021-40444。

在上述的个人电脑威胁之余，针对安卓行动装置的间谍程式攻击，也显著变得频繁，且攻击行动出现不少过往较为少见的手法。例如，APT骇客组织C-23的攻击行动中，先是以系统更新的名义引诱使用者下载间谍App，再透过要求开启通知等理由，诱骗他们提供权限。在成功得到多种权限之后，这款间谍App还会将自己更换图示和名称，来伪装成一般常见的应用程序。而这一连串的手法，使用者恐怕很难察觉异状。

【攻击与威胁】

恶意软件试图利用Windows Installer零时差漏洞

资安研究员Abdelhamid Naceri于11月22日指控，微软针对Windows Installer漏洞CVE-2021-41379修补不完全，并提供概念性验证程式佐证。思科于11月23日提出警告，他们已经发现有数个恶意软件开始利用这项漏洞发动攻击，该公司指出，他们看到利用此漏洞的恶意软件数量不多，研判目前可能是测试阶段，但这个现象也代表了一件事，就是攻击者能够快速将公开的漏洞资讯应用于攻击。

伊朗骇客锁定MSHTML漏洞发动攻击

资安业者SafeBreach指出，伊朗骇客利用近期甫被修补的MSHTML重大漏洞CVE-2021-40444，锁定使用波斯语的用户发动攻击，并使用名为“PowerShortShell”的程式码来进行窃密－－这是PowerShell指令码，内容仅约153行，但具有多种窃密能力，包含了收集屏幕截图、Telegram档案、文件，以及受害电脑环境等资讯。

研究人员指出，近半数受害者位于美国，研判攻击者很有可能是伊斯兰政权有关，认为这些居住境外的伊朗人可能对政权带来威胁，所发动的攻击行动。

锁定中东用户的安卓间谍App假借功能受限的名义，引诱受害者提供各式权限

资安业者Sophos于11月23日，揭露APT骇客组织C-23（亦称GnatSpy、FrozenCell、VAMP）的攻击行动，该组织以系统更新的名义，散布木马程式。一旦使用者不慎安装，就会被要求开启多种权限，但比较特别的是，为了让使用者不疑有他开启这些权限，过程中攻击者亦借由启用通知、保护网络连线、执行效能模式等名义，再将受害者带至权限开启画面。

而在受害者同意所有权限后，这些“系统更新”App还会更换图示及名称，佯称自己是Play市集、Chrome、Google搜寻，或是VOIP电话Botim等，且启动时也同时会开启真正的App来掩人耳目，但实际上，这个木马程式也在背景暗地里执行。

攻击者利用华为应用程序市集散布木马程式

防毒业者Doctor Web于11月23日指出，他们发现名为Android.Cynos.7.origin的木马程式，透过华为的应用程序市集AppGallery散布，这个木马程式存在于190款游戏当中，会收集装置资讯与电话号码，估计超过930万名安卓用户安装了含有木马程式的游戏。华为获报后已将这些游戏下架，已经安装游戏的用户需自行删除游戏。

苹果向以色列网络攻击公司NSO Group提告

日前有80名记者揭露，以色列NSO Group制作的间谍程式Pegasus，有数十名-官员或新闻记者手机感染这个间谍程式，并非该公司声称只用于监控犯罪或恐怖份子。对此，继Meta之后，苹果11月23日也向NSO Group提告，并打算要求法院禁止这家网络攻击公司使用苹果的产品。

无线网络管理软件WSpot曝露数百万客户讯息

提供防毒软件评比的SafetyDetectives网站于11月22日指出，他们的资安研究团队于9月2日发现，巴西无线网络管理解决方案业者WSpot，因配置不当的AWS S3储存体，疑似曝露约250万巴西公民的资料，包含姓名、电子邮件地址、性别、出生日期、地址等。经通报后WSpot于9月8日采取保护措施，但这些资料是否已遭到骇客下载？目前仍不得而知。

 

【漏洞与修补】

联发科SoC存在漏洞，恐影响近4成手机

资安业者Check Point指出，他们在联发科SoC中，发现数字信号处理器（DSP）的固件，以及处理声音讯号的硬件抽象层（HAL）中，存在数个漏洞。一旦攻击者利用，将能透过错误的处理器讯息，在DSP固件藏匿恶意程式码并执行，进而窃听用户。由于目前联发科的SoC市占约37%，上述漏洞将会波及采用该厂牌SoC的手机与物联网设备。联发科获报后，已于10月完成修补。

VMware vCenter存在SSRF与任意档案读取漏洞

VMware于11月23日，发布vCenter的更新程式，修补2个漏洞，皆与vSphere的网页用户端有关。其中，CVE-2021-21980可被用于任意档案读取攻击，CVSS风险层级为7.5分；CVE-2021-22049可被用于伪造服务器端请求（SSRF）攻击，CVSS风险层级为6.5分。美国网络安全暨基础架构安全局（CISA）也发出资安通告，呼吁用户尽速修补。

 

【资安防御措施】

微软正式提供Edge用户进阶安全模式

原本用来改善浏览器效能的即时编译（Just-In-Time Compilation，JIT）机制，近年来不断被发现臭虫，对此微软决定，在Edge浏览器提供关闭JIT的功能，这项功能被称为超强安全模式（Super Duper Secure Mode）。微软在8月开始测试这项功能，并于11月19日发布的正式版本（96.0.1054.29），提供给一般Edge使用者。

2021-网络攻防演练结果公开，对外系统弱点以无效的身份认证比例最高，仍有帐密相同情况

这几年-每年都会举行网络攻防演练，在今日（11月25日）开始举行的第2次资通安全防护巡回研讨会期间，行政院资安处同时公布2021年网络攻防演练报告，说明今年演练发现的对外系统弱点，以实际案例说明问题，并提供改善建议，希望公务机关与相关业者能够清查，不应让这些问题一再发生。今年的结果显示，发现“无效的身份认证”与“无效的存取管控”的比例最高，值得注意的议题中，演练发现许多未落实密码强度检查机制的状况，甚至只要在网络上搜寻进驻厂商公司统一编号，就能以此输入到机关网站的账号与密码字段并登入，以及对于系统功能页面与参数，没有检查对应权限的情形等。此外，资安技术检测部分，举例来说，在网络恶意活动检视方面，发现机关对于恶意中继站名单管理的不足，需落实事件调查，建立中继站名单部署与更新机制；而数据库安全检测方面，也有机敏资料明文储存与未设置安全加密传输管道的情形，机关需完备资料保护机制。㊣㊣

 

【资安产业动态】

台湾企业视供应链与网络安全为首要风险

安候建业（KPMG）针对台湾具影响力的50名企业CEO进行调查，了解这些人士对于未来3年企业与经济成长前景的看法，并于近日公布结果。该公司发现，台湾企业最关注的5种风险中，依序为供应链风险（28%）、数位网络安全（24%）、新兴/颠覆性科技风险（14%）、环境气候变迁（10%）、企业营运风险（10%）。安候建业指出，经历疫情爆发的影响，台湾CEO对于资安关注更胜过往，尤其是在许多日常工作与活动改以线上进行，使得资安成为许多企业的隐忧。

 

【近期资安日报】

2021年11月24日

2021年11月23日

2021年11月22日