本周二(8月13日)是许多软体业者发布8月例行更新的日子,其中最值得留意的是微软,虽然他们这次仅公布90个漏洞,较资安媒体Hackread近日发现,Breach Forums骇客论坛有一个名为Fenice的使用者,公布14亿笔的腾讯用户资料。而对于这批资料的来源,Hackread怀疑此资料库源自于今年1月曝光的Mother of All Breaches(MOAB),因为在这个总计12 TB,内含3,800个资料夹与260亿笔外泄资料的MOAB中,最多的就是腾讯的15亿笔。
资安专家认为MOAB是众多外泄资料的合辑,之后并确定该资料来自外泄资料搜寻引擎Leak-Lookup。当时Leak-Lookup宣称,是因为防火墙的配置错误才让MOAB曝光。
其他攻击与威胁
◆8月13日微软发布本月份例行更新,总共修补90个漏洞,其中包含36个权限提升、4个安全功能绕过、28个远端程式码执行(RCE)、8个资讯泄露、6个阻断服务(DoS),以及7个可用于欺骗攻击。
值得留意的是,微软本次公布多达10个零时差漏洞,是今年微软单月公告零时差漏洞数量最多的一次,其中有6个已被用于实际攻击行动。此外,这次还包含一个尚未推出修补程式的零时差漏洞。
在全球对于CrowdStrike更新出错造成大规模Windows蓝色当机(BSOD)心有余悸之时,资安公司Fortra公开另一个可导致蓝色当机的漏洞CVE-2024-6768,这个问题出现在通用事件记录档案系统(CLFS),一旦攻击者借此对CLFS.sys驱动程式发动攻击,就有机会导致阻断服务(DoS),进而引发蓝色当机。
此漏洞影响Widnows 10、Windows 11,以及Windows 2016至2022版伺服器作业系统,允许掌握低权限的攻击者利用CLFS元件缺陷,透过特定操作强制呼叫核心函式KeBugCheckEx来引发当机的现象。研究人员指出,这个漏洞虽然不会直接造成资料泄漏或是系统入侵,但是会明显影响系统的稳定性和可靠性,降低使用者对系统的信任度。
其他漏洞与修补
回顾PQC标准的制定,总共历经8年时间,最早从2016年美国NIST就开始举行PQC密码学竞赛,当时收到来自25个国家的82个提交演算法,之后进行了3轮淘汰赛,直到2022年先选出4个候选演算法,也就是CRYSTALS-Kyber、CRYSTALS-Dilithium、FALCON、SPHINCS+。目的就是选出可抵御量子破密威胁的数学问题,以保护现在与未来的安全。