这一星期的漏洞消息,以Google接获匿名研究人员通报,紧急修补Chrome已遭利用零时差漏洞CVE-2024-4671最受关注,该漏洞可让远端攻击者透过特制的HTML页面来规避沙箱侦测。
其他重要漏洞修补动向,包括特权管理系统Delinea Secret Server的漏洞修补,F5针对BIG-IP Next集中控管系统的漏洞修补,以及Google发布5月Android例行更新。
此外,还有两项涉及VPN与CPU的漏洞与攻击手法揭露,包括:可迫使用户流量离开VPN通道保护的漏洞攻击手法TunnelVision,以及CPU推测执行漏洞攻击新手法Pathfinder。
在资安事件焦点方面,国际间有多起攻击事件揭露,当中不少是涉及政府与医疗单位,格外引发关注。我们整理如下:
●最近波兰政府机关遭恶意软体攻击,荷兰国家研究院近日指出,比对过往的资安事故,是受到俄罗斯骇客APT28攻击。
●德国政府、捷克外交部5月初相继发布公告,指出去年有骇客利用Outlook漏洞对他们两国企业组织下手,其攻击者是俄罗斯骇客APT28所为。
●美国非营利医疗保健系统之一Ascension遭网路攻击,将部分系统关闭因应。
●多明尼加传出资料外泄,82万人COVID-19疫苗接种资讯被兜售于骇客论坛。
此外,这几年来台湾民众经常遭受诈骗简讯,国际间同样也持续传出遭遇这类问题。例如,近日荷兰政府示警,有当地民众接获诈骗简讯,假冒金融业者名义向银行用户声称帐号异常或债务缴款,再向回应的民众骗称这是诈骗,需下载防毒App,以在安卓手机植入恶意程式,进而洗劫用户网路银行帐户。
在威胁态势上,我们认为,针对API的滥用行为最需要重视,这星期有两起事件与API滥用相关。
(一)Dell资安事件疑外泄近5千万用户资讯,后续传出攻击者是借由Dell提供的合作伙伴入口网站,滥用Dell网站API,加上Dell 系统未设定流量限制,进而得以搜集网站回传的用户资料。
(二)有资安业者指出越来越多骇客在攻击行动中,不只滥用微软合法服务如OneDrive来架设C2伺服器,也利用微软图学资料分析服务Graph的API来进行恶意通讯。
还有上述提及Delinea的漏洞修补,涉及的是PAM产品Secret Server的SOAP API漏洞。
至于防御态势上,5月有不少国际级资安会展,除了美国RSA大会在5月6日到9日举行,在国内,也有台湾资安大会将于5月14日到16日于南港展览馆二馆登场。
还有一个DNS层面的资安技术趋势,是微软最近宣布推出零信任DNS(ZTDNS)技术私人预览版,目标是让Windows电脑只能连结受信任的网域。