这一星期最重大的资安消息,当属7月19日(周五)资安业者CrowdStrike旗下的EDR系统更新后,引起全球大量微软Windows电脑出现蓝色当机画面(BSoD)的事故。由于本该帮助电脑能侦测与应变威胁的资安工具,却因为一次更新问题导致大规模公司电脑当机、服务瘫痪的状况,引发全球高度重视。
事实上,当日发生了两起事件,首先是微软,在19日台湾清晨6点,美国中部区域一座Azure资料中心出现故障问题,导致包含M365在内等云端服务大中断,影响线上版SharePoint、商用版OneDrive、Teams等众多服务。
到了下午1点,我们注意到国内社群网站的资安群组开始讨论Windows电脑出现蓝色当机画面,并点出问题可能出在资安业者CrowdStrike,当下我们查询更多资讯,发现在其他重要资安事件与威胁态势方面,国内有建设公司与人力银行的消息,国际间也有不少资料外泄、攻击行动的揭露,我们整理如下:
●国内上市公司宏盛建发布资安重讯,设说明该公司发生网路资安事件,另也代子公司助群营造公告发生网路资安事件。
●国内检调单位接获104人力银行通报,有人企图透过公司名义收集求职者个资,新北地检署已在17日搜索涉案公司并查扣物证。
●专案管理工具Trello有逾1,500万用户个资遭人公开于Breach Forums地下论坛,对方并声称是透过公开的API取得。
●美国电信公司AT&T通报美SEC,说明发生资料泄事故,有骇客在今年4月存取AT&T在第三方云端平台的工作区,导致所有客户的通话与简讯历程记录被窃。
●义大利资安业者TG Soft揭露一起攻击行动,他们在6月24日、7月2日侦测到中国骇客组织APT17针对当地企业及政府机关下手,意图散布9002 RAT恶意程式。
●日本JPCERT/CC警告,当地企业组织遭到攻击行动MirrorFace锁定,攻击者入侵企业后的目的是散布后门程式NoopDoor。
在漏洞消息方面,我们注意到有4个已知漏洞首次被发现遭骇客利用的情形,近期已被美国CISA列入限时修补名单,包括:3月底VMware vCenter Server已修补的漏洞CVE-2022-22948,6月初SolarWinds Serv-U已修补的漏洞CVE-2022-22948,6月中Adobe Commerce及Magento Open Source已修补的CosmicSting漏洞(CVE-2024-34102),以及7月1日GeoServer已修补的RCE漏洞CVE-2024-36401。其中CosmicSting漏洞值得留意,有资安业者指出这是该电商平台历年来最严重的漏洞之一。
在资安防御与产业动向上,各有一则重要消息,首先,是关于OTP码容易遭拦截与网钓的问题,谈了很多年,最近国际间有政府积极行动,近日新加坡金融管理局宣布,要求当地金融业者在限期3个月内,汰除以简讯提供OTP码供客户网银登入,并要求改成安全性更高的应用程式验证;另一项消息,是Google母公司Alphabet传出将以230亿美元收购云端资安新创Wiz,借此强化该公司的云端安全业务,并将成为Google最大并购案。
继大型售票业者TicketMaster、电信业者AT&T惊传大规模资料外泄,近日有骇客组织声称握有大量迪士尼内部资料并在骇客论坛公布,号称资料来自约1万个Slack频道。
值得一提的是,有新闻媒体对其公布的内容进行分析,指出资料涵盖的层面相当广,像是网站维护、软体开发、应征员工,甚至还包含了员工讨论自家小狗的对话内容、照片。不过,他们也无法确认这些资料的真实性。
日本企业组织自2022年遭遇MirrorFace攻击行动锁定,当地电脑紧急应变团队暨协调中心JPCERT/CC持续追踪相关动态,最近他们提出警告,这些骇客更换攻击目标,同时也调整入侵的手段,并使用新的恶意程式NoopDoor。
值得留意的是,在部分攻击行动里,对方使用了相当罕见的手法执行恶意程式,他们滥用MSBuild公用程式载入含有程式码的XML档案,从而产生相关作案工具。