我國百名政要的LINE驚傳遭駭,進階加密的Letter Sealing功能被關,是間諜軟體飛馬Pegasus作惡?! 還是…?

LINE for iPad 正式亮相!電腦版、手機、平板三方一起 LINE!
Photo Credit: LINE

根據國內媒體報導,府院、軍方、縣市長及朝野政黨等100多位高層政要,驚傳通訊軟體LINE遭駭客入侵,且鎖定的對象非常精準,看起來是遭有心人士駭入,意圖竊取資料。對此,LINE台灣總公司上週發現有用戶的相關內容遭擷取外流後,立即著手清查所有用戶,據報導駭客入侵的管道有用戶端與主機兩種途徑,要鎖定特定的用戶端、植入惡意程式並不容易。但LINE主要是綁定手機號碼,若有心要取得政要高層的號碼,是否是以此破壞安全機制,登入主機系統入侵,須由資安人員再進一步調查查驗。因事涉國安,LINE已緊急強化本身系統安全機制、提醒可能的受害用戶,近日也赴總統府向國安會報告,國安會目前正著手進行調查。

本次之所以會有政要 LINE 遭到入侵,疑似是Letter Sealing被駭客設定為關閉,懷疑是駭客使用間諜軟體飛馬Pegasus所致,亦可能是有內鬼通外鬼,詳細原因尚在調查。可以確定的是,若能確保訊息保護 Letter Sealing功能處於開啟狀態,Letter Sealing為LINE開發的點對點加密(End-to-End Encryption)就能降低訊息外流可能,建議您在LINE的隱私設定中檢查Letter Sealing設定是否為開啟。另外,可用工具包檢測手機是否被飛馬Pegasus入侵國際特赦組織(Amnesty International)透過 Github 上發佈的 Mobile Verification Toolkit工具包,來檢查手機是否成為惡意軟體飛馬的入侵目標,為了調查間諜軟馬是否在手機留下痕跡,得先輸入有關飛馬Pegasus的入侵指標(IOCs),IOCs亦可在 GitHub 下載

據目前自由時報報導所知,國安高層證實說,確實有公部門人員接獲LINE示警資安風險的訊息,但包括蔡英文總統及副總統賴清德等政府高層,不用LINE傳遞重要訊息,更不會在這類通訊軟體傳輸政府重要文件。

有關情資: Forensic Methodology Report: How to catch NSO Group’s Pegasus

Source:

https://news.ltn.com.tw/news/politics/paper/1463246

https://news.ltn.com.tw/news/politics/breakingnews/3618756

https://www.ctwant.com/article/130982

了解更多有關Mobile Verification Toolkit:

https://github.com/mvt-project/mvt

MITRE公布2021年前 25 名最危險的軟體安全缺陷-Top 25 Most Dangerous Software Weaknesses

2021年通用缺陷列表(Common Weakness Enumeration-CWE) 項目中,前 25 名最危險的軟體安全缺陷已出爐! 該項目是由美國國土安全部(Homeland Security)旗下的國土安全系統工程與發展研究所 (HSSEDI) 贊助,並交由非營利的研發機構MITRE負責管理。

MITRE參考了由2021 年 3 月 18 日下載到的美國國家漏洞資料庫 (NVD)的2019 年和 2020 年常見漏洞披露(Common Vulnerabilities and Exposures,CVE) 數據,分析了大約 32,500個 CVEs特性與CVSS(常見漏洞評分系統)分數後,公布了前 25 名最危險軟體安全缺陷的排名。第一名是編號CWE-787的越界寫入(Out-of-bounds Write)缺陷。

MITRE公布2021年最危險軟體安全缺陷排行

2021年列出的前三名最危險漏洞類別中,第1名是CWE-787的越界寫入(Out-of-bounds Write)缺陷,這缺陷在2020年時位列第2名。越界寫入指的是軟體在預期緩衝區的末尾或開頭之前寫入數據,這會導致數據損壞、當掉或允許程式執行,使軟體可修改index或執行指標運算(Pointer arithmetic)來引用緩衝區邊界之外的存儲位置,令隨後的寫入操作產生未定義或意外的結果。

今年的第二名是CWE-79,是在網頁生成的過程中,出現不當的中和輸入(Improper Neutralization of Input During Web Page Generation)而可能衍生出各種跨站程式攻擊(Cross-site scripting,XSS),CWE-79是在去年的第一名。

第三名缺陷是CWE-125的越界讀取(Out-of-bounds Read)指的是軟體讀取超出預期緩衝區末尾或開頭之前的數據,可允許攻擊者從其他內存位置讀取敏感資訊或導致當掉。

總體而言,前 25 名最危險的軟體安全缺陷可導致軟體中的嚴重漏洞,攻擊者通常可利用這些漏洞來控制受影響的系統、獲取敏感資料或導致阻斷服務的情況等,企業應在軟體開發流程中排除和解決這些缺陷。

Source: https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html

您的手機是否被以色列飛馬間諜軟體入侵?! 快~下~載檢測工具包

上週末,國際17家媒體聯合調查,披露了色列網路公司 NSO Group開發的間諜軟體飛馬(Pegasus),能夠入侵iPhone或Android系統,提取訊息、照片和電子郵件,對通話進行錄音,並在使用者不知情的情況下遠端啟動手機的話筒和攝像頭,進行即時監控。由國際特赦組織(Amnesty International)和法國非牟利新聞機構Forbidden Stories獲取的潛在監控清單上有5萬多個電話號碼,這些可能被監控的5萬多組手機號碼來自全球50多個國家地區。

飛馬惡意軟體起初是以網路釣魚方式,向用戶發放一條惡意鏈接,用戶只要一點擊就會中招,後來發現可通過開採iPhone中Zero- click iMessage漏洞,從遠端安裝就能直接控制手機,讓 iPhone 使用者即使沒點選不明連結也會中招。國際特赦組織Citizen Lab 研究員 Bill Marczak在一條推文中表示,NSO Group開採的Zero Click漏洞適用於 iOS 14.6,直到目前iOS 14.6 仍是最新版本的系統。

但國際特赦組織表示,可透過 Github 上發佈的 Mobile Verification Toolkit,來檢查自己的手機是否成為惡意軟體飛馬的入侵目標,國際特赦組織表示, iPhone 更比Android 設備易於發現的鑑識痕跡, Mobile Verification Kit可掃描 iPhone 以及 Android 手機的備份,再從中檢查是否有惡意軟體飛馬。為了調查惡意軟體飛馬是否在手機留下痕跡,得先輸入有關飛馬Pegasus的入侵指標(IOCs) 例如:有沒有用 NSO 網域名所發出的簡訊或信件等,如果您有加密的 iPhone 備份,您還可以使用 MVT 來解密您的備份,而無需製作全新的副本。

有關情資: Forensic Methodology Report: How to catch NSO Group’s Pegasus

了解更多有關Mobile Verification Toolkit:

https://github.com/mvt-project/mvt

Source:

https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/

https://www.theguardian.com/world/2021/jul/18/revealed-leak-uncovers-global-abuse-of-cyber-surveillance-weapon-nso-group-pegasus

https://www.amnesty.org/en/latest/news/2021/07/the-pegasus-project/

Rewards for Justice! 美國反勒索軟體攻擊祭出1000萬美元懸賞

美國國務院(Department of State)今天宣布Rewards for Justice(正義獎勵) 計畫,為遏止重大基礎設施遭網攻和勒索軟體事件的激增,將懸賞最高1000萬美元(約新台幣2.79億元)給可以提供識別駭客身份、位置的資訊或線索的相關人士。

最近兩個月,美國最大肉類加工巨頭JBS Foods 和美運油公司Colonial Pipeline 遭駭攻,影響了美國的食品和燃料供應數天,甚至在某些地區引起美國民眾恐慌。許多資安公司和行業專家指責俄羅斯,指責克里姆林宮容忍並允許這些駭客在不攻擊俄羅斯組織的情況下從其他國家開展攻擊活動。

通過今天公告,可見國務院正在尋找證據,以證明這些駭客是在當地政權的某種幫助或指導下運作的。

懸賞的1000萬美元是通過國務院的正義獎勵 (Rewards for Justice) 計劃提供的,該計劃曾懸賞500萬美元以獲取有關北韓駭客及其正在進行的駭客活動的情報,並對有關任何國家資助的駭客干預美國大選提供資訊者予以最高1000 萬美元的獎勵。

為了保護潛在消息來源的安全,國務院表示願意以加密貨幣支付獎勵金,甚至建立了一個專門的暗網入口網站來接收匿名提示。

微軟稱中國駭客開採了SolarWinds Serv-U中的零時差漏洞,並將攻擊歸因於DEV-0322

微軟週二表示,中國駭客開採了SolarWinds Serv-U FTP 伺服器中的漏洞,並積極瞄準美國國防和軟體公司。今天,SolarWinds 再一次更新了針對其Serv-U FTP 伺服器中的零時差漏洞的安全更新, CVE-2021-35211存在於 SolarWinds 的 Serv-U 產品中。當Serv-U的 SSH 暴露在 Internet 上時,該漏洞將允許駭客以特權執行任意程式,駭客可安裝和運行惡意payloads,或查看和更改數據等操作。

攻擊的消息於 7 月 9 日星期五首次浮出水面,SolarWinds 發布了一個安全更新,以修補Serv-U中的一個已被開採的零時差漏洞。當時,SolarWinds 表示是在收到微軟的通知之後才知道漏洞 (CVE-2021-35211)受到持續的攻擊,但沒有發布 Serv-U 修補 (v15.2.3 HF2) 以外的任何其他細節。今微軟透露,很有把握對將這些攻擊歸因於一個名為“DEV-0322”的中國駭客組織。微軟威脅情報中心(Microsoft Threat Intelligence Center -MSTIC)在部落格文章中說,DEV-0322經常依賴由路由器或其他類型的物聯網設備組成的殭屍網路。

“MSTIC 觀察到 DEV-0322 以美國國防工業基地部門實體和軟體公司公開暴露的 Serv-U FTP 伺服器為目標,並已觀察到DEV-0322在基礎架構中使用商業 VPN和受損的消費者路由器。”

這些攻擊也標誌著中國駭客組織第二次濫用 SolarWinds 軟體來破壞企業和政府網路,早在 2020 年 12 月,就在俄羅斯策劃的 SolarWinds 供應鏈攻擊曝光的同時,中國駭客組織SPIRAL也在忙著利用 CVE-2020-10148 漏洞在 SolarWinds Orion IT 監控平台上安裝 web shell。

另外根據 Censys 的search query,自上週Solarwinds發布修補以來仍有超過 8,200 個 SolarWinds Serv-U 系統將其 SSH 端口暴露在網上,總而言之,使用 SolarWinds Serv-U FTP 伺服器的公司應通過安裝Solarwinds發布的修補或關閉對伺服器的 SSH 存取來保護自己免受 DEV-0322 攻擊。

有關情資:

Serv-U Remote Memory Escape Vulnerability being exploited in the wild CVE-2021-35211

研究人員:微軟發布的緊急例外修補未能完整修補PrintNightmare漏洞

即使 Microsoft在7月6日為 Windows 10 版本 1607、Windows Server 2012 和 Windows Server 2016 的 PrintNightmare 漏洞發布了緊急例外修補KB5004945,隨著越來越多的研究人員開始修補他們的漏洞並測試修補,今確定漏洞可完全繞過整個修補來實現遠端程式碼執行(RCE)和本地特權升級(LPE)。

PrintNightmare 源於 Windows Print Spooler服務中的錯誤,該服務管理本地網路內的列印過程。該威脅的主要問題是非管理員用戶能夠load他們自己的列印機驅動程式,但這已得到糾正。微軟最新更新要求一般使用者僅能安裝經合法簽發的印表機驅動程式,管理員則可安裝經簽發或未經簽發的驅動程式。

在更新發布後,美國CERT/CC 漏洞分析師 Will Dormann 警告說,該補丁“似乎只解決​​了 PrintNightmare 的遠端程式碼執行(通過 SMB 和 RPC 的 RCE),而不是本地特權升級(LPE)”,因此允許攻擊者濫用後者以獲取易受攻擊系統的 SYSTEM 權限。現在,更新的進一步測試顯示,攻擊目標的漏洞可以繞過修補完全獲得遠端程式碼執行(RCE)和本地特權升級(LPE)。但是,要實現這一點,必須啟用Windows群組政策(Group Policy) 中名為“Point and Print Restrictions” 的政策(Computer Configuration\Policies\Administrative Templates\Printers: Point and Print Restrictions),使用該政策安裝惡意印表機驅動程式。

值得注意,Microsoft 為 CVE-2021-34527 更新並不能有效防止Point and Print政策中 “NoWarningNoElevationOnInstal”設置為 1 (set to 1)的系統開採。Dormann表示,就微軟而言,它在其公告解釋說,”Point and Print” 與此漏洞沒有直接關係,但該技術削弱了本地環境,從而使漏洞可被開採。”

雖然 Microsoft 已建議停止和關閉 Print Spooler 服務的核心選項,但另一種解法是啟用Point and Print,並通過配置”RestrictDriverInstallationToAdministrators”記錄檔,來限制管理員單獨安裝印表機驅動程式的權限以防止普通用戶在印表機伺服器上安裝驅動程式。

Microsoft緊急發布例外更新-KB5004945,以修補PrintNightmare 漏洞

Microsoft 敦促客戶立即安裝這些例外的安全更新以解決 PrintNightmare 漏洞,但有研究人員指出這次修補只補好RCE漏洞,本地權限升級(LPE)漏洞仍未修補好。

Windows PrintNightmare Vulnerability

今天微軟發布了緊急的例外(Out-of-band)安全更新,以修補以一個關鍵的零日漏洞(稱為“PrintNightmare”), 該漏洞影響Windows Print Spooler 服務,可讓攻擊者執行任意程式碼並接管易受攻擊的系統。

在上周微軟警告稱已檢測到攻擊者針對編號為CVE-2021-34527(CVSS 8.8)的開採,且該遠端程式碼執行缺陷影響所有市場上的Windows版本。

根據美國CERT協調中心(CERT Coordination Center),Windows Print Spooler 服務未能限制對允許用戶添加印表機和相關驅動程式功能的存取,這可允許遠端身份驗證的攻擊者以系統權限在易受攻擊的系統上執行遠端程式碼。

值得注意的是,PrintNightmare漏洞包括遠端程式碼執行(RCE)和本地特權升級(LPE) 向量,可在攻擊中被濫用以在目標 Windows 機器上運行具有系統權限的命令。

CERT/CC 漏洞分析師 Will Dormann說: 微軟針對 CVE-2021-34527 的更新似乎只解決​​了 PrintNightmare 的遠端程式執行(RCE),而不是本地特權升級(LPE)。這實際上意味著修補不全,攻擊者仍可以在本地利用該漏洞獲得系統(SYSTEM)權限。在微軟發布例外更新後,安全研究員 Matthew Hickey也證實該修補僅修復了 RCE 而不是 LPE 組件。

另外另一個變通方法,Microsoft 建議停止和關閉Print Spooler 列印緩衝處理服務或通過群組政策(Group Policy Object)關閉接收遠端列印以阻止遠端攻擊。CISA 上週也發布了關於 PrintNightmare 零日漏洞的通知,鼓勵管理員在不用於打印的服務器上關閉 Windows Print Spooler 服務。

Windows針對以下版本已發布了修補:

Windows Server 2019

Windows Server 2012 R2

Windows Server 2008

Windows 8.1

Windows RT 8.1, and

Windows 10 (versions 21H1, 20H2, 2004, 1909, 1809, 1803, and 1507)

微軟甚至採取了不常見的做法,為去年正式停止支援的Windows 7 發布修補。Windows 10 版本 1607、Windows Server 2016 或 Windows Server 2012 的安全更新尚未發布,但據微軟稱,它們也將很快發布。

CISA 敦促組織在關鍵系統上停用 Windows 列印緩衝處理程式

美國國土安全部之網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA) 已發布關於關鍵 PrintNightmare 零日漏洞的說明,並建議資安人員在不用於列印的伺服器上停用(Disable) Windows Print Spooler 列印緩衝處理服務。

CISA表示,CERT 協調中心已針對 Windows Print spooler 服務中的一個關鍵遠端程式碼執行漏洞發布了VulNote,並指出:“雖然 Microsoft 已發布針對 CVE-2021-1675的更新,但更新並未解決CVE-2021-1675 的公共漏洞利用。” 攻擊者可以利用此漏洞(稱 PrintNightmare)來控制受影響的系統。

CISA 鼓勵資安人員應採用 Microsoft 在2021 年 1 月 11 日發布的操作指南作最佳實踐:“由於存在暴露的可能性,網域控制器和AD管理系統需要停用列印後台處理程式服務,推薦的方法是使用群組原則(Group policy object)。

根據 Microsoft 的建議,應通過群組原則在所有網域控制器和 AD管理系統上停用Print Spooler 服務,因為它會增加遭受攻擊的風險,微軟補充說,由於大多數 Windows 客戶端和伺服器平台上預設啟用這服務,建議在所有不需要的伺服器上停用它,以減輕未來受攻擊的風險。

目前,在Microsoft完全解決PrintNightmare零日漏洞之前,停用Print Spooler 服務是確保駭客,尤其是勒索軟體組織不會趁機攻擊企業網路的最簡單方法。

遭勒索軟體攻擊,多倫多Humber River醫院緊急關閉5000電腦,醫院實施灰色代碼(Code Grey)警示!

humber river hospital

加拿大多倫多Humber River醫院的一份聲明中,承認其系統在6月14日凌晨2點左右受到了勒索軟體攻擊,從那時起,醫院一直在 「灰色代碼 」(Code Grey)下運作, Code Grey是在意味著醫院基本服務喪失時所使用的警示。由於醫院工作人員無法存取電子病歷和診斷測試結果,醫院已經取消了各種門診,並在大門前派了工作人員來重新引導患者,聲明說,到目前為止,手術沒有受到影響,急診室仍然開放,但一些救護車將被轉移到其他醫院。

Humber River醫院表示,由於系統不斷更新(最近一次修補是在 6 月 13 日)並受到監控,因此立即發現了零時差攻擊,關閉了 5,000 台電腦和所有 IT 系統,包括患者健康記錄系統。醫院補充說雖然系統關閉阻止了大多數電腦被加密,但一些檔案有被損壞。

Humber River醫院表示,其 IT 部門正在與一家外部第三方資安公司合作,以使其係統恢復正常運行, 5,000 台電腦(其中 800 台是伺服器)將被手動重啟。醫院在6月15日下午的聲明中表示,系統將在接下來的 48 小時內以交錯的方式重新上線,並表示重要的是要知道沒有任何機密資料被洩露,另外醫院也沒有指出是哪個勒索軟體組織所為。

Humber River是一家大型急診醫院,擁有722張床位,每年住院30,000人次,每年接受急診就診135,000人次。每天有近 370 人尋求緊急護理。

美國電玩巨擘EA美商藝電遭駭,780GB的遊戲原始碼及除錯工具被竊取

EA稱這不是勒索軟體攻擊,未影響業務營運,沒有對玩家的隱私造成任何風險

Photo Credit: BBC

綜合外媒報導大型遊戲商美商藝電(EA)今坦承遭駭,內部資料被竊取,僅稱流失FIFA 國際足盟大賽和遊戲寒霜引擎Frostbite Engine原始碼和相關工具,EA 發言人在一份聲明中告訴外媒,玩家數據並未被存取,我們沒有理由相信玩家隱私存在任何風險。事件發生後,我們已加強安全措施,預計不會對我們的遊戲或業務產生影響,作為正在進行的刑事調查的一部份,我們正積極與執法部門官員和其他專家合作。

在駭客論壇上發現的消息,駭客現在正以 2800 萬美元的價格出售這批EA約780GB的數據和伺服器的存取權限,駭客還聲稱,可提供「充分利用EA所有服務的能力」。

駭客稱從該公司獲取了 780 GB 的數據:

*除錯工具、SDK 和 API 密鑰

*FIFA 21配對匹配伺服器代碼

*FIFA 22 API 密鑰和軟體開發工具包(SDK)和除錯工具

*寒霜引擎Frostbite Engine原始碼和除錯工具

*專有EA遊戲框架

*Microsoft XBOX 和 SONY 私有 SDK 和 API 密鑰

*XB PS 和 EA pfx 和 crt 密鑰

*FIFA 國際足盟大賽原始碼

*EA 玩家用作遊戲貨幣的積分

EA 在全球擁有超過 4.5 億註冊玩家,2020 年的淨收入為 55 億美元。EA其下作品包括《FIFA》、《戰鬥風雲》、《模擬市民》等長賣型作品,自家開發的「寒霜引擎」也用於許多暢銷遊戲製作。

Emsisoft資安公司的專家Brett Callow說,被竊的原始碼,可對EA的業務帶來問題,從理論上講,原始碼可以被其他開發人員複製,或在遊戲中製造外掛。Check Point發言人則說,無論如何原始碼只要外洩都不是好事,駭客可在原始碼中找到更深層的漏洞並加以利用,或將先前的原始碼在暗網上賣給其他惡意威脅行為者。

Source:

https://edition.cnn.com/2021/06/10/tech/electronic-arts-hack/index.html

https://www.theverge.com/2021/6/10/22528003/ea-data-breach-frostbite-fifa-internal-tools-hack

https://www.bbc.com/news/technology-57431987

https://www.bleepingcomputer.com/news/security/hackers-breach-gaming-giant-electronic-arts-steal-game-source-code/