昨天我们报导微软发布11月例行更新(Patch Tuesday),当中修补了已遭到利用的零时差漏洞CVE-2024-43451,此为NTLM杂凑值泄露欺骗漏洞,一旦遭到利用,攻击者就能取得使用者的NTLM杂凑资料而能冒用其身分。隔天通报此事的资安业者ClearSky表示,俄罗斯骇客UAC-0194于5个月前将其用于网钓攻击。
值得留意的是,他们也特别强调使用者相当容易中招,无论是对骇客提供的档案右键点选,或是删除、拖曳到其他资料夹,都有可能触发漏洞。
【攻击与威胁】
一周前研究人员Netsecfish揭露D-Link网路储存设备(NAS)重大层级的命令注入漏洞CVE-2024-10914,影响DNS-320、DNS-320LW、DNS-325,以及DNS-340L等4款机种,D-Link证实确有此事,并表明这些设备生命周期已经结束(EOL),他们不会提供修补程式。当时研究人员估计全球约有6.1万台装置曝险,很快就会被骇客盯上,如今出现尝试利用漏洞的情况,但有其他资安机构对于曝险的数量,提出不同的观察。
11月13日Shadowserver基金会提出警告,他们从12日开始发现有人试图利用这项漏洞的迹象,呼吁用户应尽速将这些设备从网路上移除。攻击者尝试对/cgi-bin/account_mgr.cgi进行命令注入,想要触发CVE-2024-10914。
其他漏洞与修补
◆◆为避免民众收到恶意简讯,不慎点入简讯内容中的短网址连结或电话号码,导致个资或财产遭到诈骗,NCC针对商业简讯祭出新措施,11月18日起将要求商业简讯如果含有URL、短网址或电话号码,电信业者在协助发送之前需先检验发送者是否与企业登录资料相符,如果发现不符,将不能发送商业简讯。附带一提,电信业者可对审核通过受信任的企业建立白名单机制,不需侦测简讯内连结、电话号码。
NCC主任秘书黄文哲表示,新措施是针对大量发送的商业简讯,一般个人发送的简讯,兼顾政府打诈,以及尊重个人秘密通讯自由,个人简讯可允许一天发送50则以内,如果个人简讯内容也涉及诈骗行为,例如个人简讯内容因为涉诈被165专线检举,将会封锁该简讯的电话号码,并通报给其他电信业者,依打诈专法后续处理,终止或暂停其服务。