这种后泄露(post-breach)的手段,对于2020年发生的SolarWinds供应链攻击,带来更严重的破坏,对此,后续美国网路安全暨基础设施安全局(CISA)及多名资安专家呼吁,采用混合云架构的组织,应考虑将SAML身分验证迁移至Entra ID等云端架构的系统来因应,如今有研究人员揭露新型态手法,并表明已采取防御Golden SAML缓解措施的企业组织也会曝险。
资安业者Semperis揭露名为Silver SAML的新型态攻击手法,主要是透过SAML的弱点,入侵透过身分验证服务(如Entra ID)把关的应用程式(如Salesforce)。该公司初步认为,这个手法会带来中等程度的威胁,目前也尚未出现被用于攻击行动的迹象,但若是攻击者将其用于存取业务上重要的应用系统,有可能带来非常严重的风险。
资安业者Check Point针对从2021年出现的蠕虫程式Raspberry Robin提出警告,指出从2023年10月此恶意程式的攻击行动升温,而且在2个已知的本机权限提升(LPE)漏洞CVE-2023-36802、CVE-2023-29360公布不久后,就将其用于攻击流程(1-day)。
研究人员指出,类型混淆漏洞CVE-2023-36802存在于Microsoft Streaming Service Proxy模组,微软于去年9月修补,但去年2月传出有人在暗网兜售利用漏洞的方法,而根据他们的调查,使用Raspberry Robin的骇客于10月开始利用这项漏洞,略早于GitHub上出现的概念性验证程式码(PoC);另一项被利用的漏洞CVE-2023-29360,则是存在于信赖平台模组(TPM)的Windows驱动程式,微软于去年6月修补,这些骇客在8月开始运用,也比GitHub上有人9月下旬公布概念性验证程式码要来得早。
根据上述两个漏洞的利用情况,研究人员指出,这些骇客企图缩短漏洞公布后的利用时间,代表对方很有可能具备开发漏洞的能力,或是短时间就能向漏洞掮客取得相关程式码,而能将这些甫公布的漏洞用于攻击。
资安业者Mandiant揭露伊朗骇客UNC1549自2022年6月发起的攻击行动,范围主要包含以色列及阿拉伯大公国等中东地区,并针对航太及国防工业下手,但其他地区也有企业组织受害。骇客假借与以色列及哈马斯相关的内容,或是职缺、登入网页的名义,散布后门程式Minibike、Minibus,一旦电脑被植入这些后门程式,骇客就有可能进行情报收集,或是将受害电脑当作入侵目标组织的据点,也有可能植入更多恶意程式。
研究人员看到骇客最初使用Minibike,此后门程式具备较为完整的功能,包含列出目标主机或特定资料夹的档案、收集系统资讯、上传档案、执行其他处理程序;而到了2023年8月,对方也开始使用Minibus,但相较于另一个后门程式,其功能较少,却具备更佳的侦察能力。值得留意的是,在大多数情况当中,骇客从Azure云端基础设施取得上述的后门程式,而使得攻击行动变得更为隐匿。
而对于骇客的身分,研究人员指出,对方与TA456(亦称Imperial Kitten、Tortoiseshell)有所交集,因此很可能也听从伊斯兰革命卫队(IRGC)的命令。
2.
研究人员Samip Aryal揭露脸书帐号的接管漏洞,这项漏洞存在于密码重设的流程,与特定的端点流量速率限制相关,使得攻击者有机会借由动态密码进行暴力破解,从而接管任何脸书帐号,过程中有可能无须使用者互动。
他发现在脸书的密码重设过程当中,其中一种验证方式是向使用者其他已经登入的装置发送6位数验证码,但这串数字有效期间长达2个小时,且并未受到防护暴力破解攻击机制的阻止,因此,攻击者一旦得知目标的脸书帐号,就有机会透过像是Burp Suite等渗透测试工具破解上述验证码,从而窜改密码或是挟持帐号。研究人员表示,当这个漏洞被利用的时候,受害者的装置会收到弹出式通知,讯息内容有可能会直接显示验证码,或者是要求使用者点选通知讯息检视。
该名研究人员在1月30日向Meta通报,并于2月2日得到修补。究竟这项漏洞有多严重?或许能根据Meta颁发奖金的情况得知。研究人员表示,这是他从Meta拿到奖金最高的一次,但并未透露金额。
【其他新闻】