【資安日報】2022年12月23日,提升為RCE的CVE-2022-37958被研究人員視為另一EternalBlue;LastPass客戶資料庫備份遭存取
微軟在9月修補的漏洞CVE-2022-37958,最近受到很大的關注,因為他們後續將這個涉及SPENGO NEGOEX防護的弱點類型,調整為RCE漏洞,CVSS評分也提升至8.1分,由於SMB與RDP都使用NEGOEX安全機制,可能影響的層面相當廣,甚至有研究人員將此漏洞與EternalBlue漏洞相提並論。
今日密碼管理業者相關的資安新聞有兩起,首先是LastPass在22日發布資安事件公告,說明客戶資料庫的備份被入侵者複製,另一起是瑞士資安研究人員揭露密碼管理產品Passwordstate的漏洞通報細節。
網路犯罪者為了散布惡意網站,利用搜尋引擎透過購買關鍵字廣告,假冒品牌業者的情形,,特別的是,美國FBI現在也針對此一情況示警,突顯駭客不斷改變其策略,頻頻躲過搜尋服務業者對於網路詐騙廣告的偵測。
【攻擊與威脅】
微軟在12月中調整了CVE-2022-37958的漏洞分類,從資訊洩漏漏洞改為RCE漏洞,CVSSv3評分也從7.5提升為8.1,這是微軟在9月修補、存在於SPENGO NEGOEX的漏洞。
值得關注的是,最近有多位資安研究人員對此漏洞發表看法,強調應正視其嚴重性。由於SMB與RDP都使用NEGOEX安全機制進行身分驗證,因此將更廣泛影響Windows系統,尤其是暴露於網際網路的服務,身處內部網路環境的這類系統也不能輕忽,而根據資安新聞網站Security Affair的報導,指出IBM Security X-Force研究人員也已證明這是個RCE漏洞,會影響多種協定,並表示將在明年第二季才會公布完整技術細節。目前微軟9月釋出的修補仍是有效,還沒修補的企業需儘速因應。
微軟在12月21日揭露Zerobot新能力,該殭屍網路病毒今年11月中旬冒出,月初Fortinet曾揭露Zerobot鎖定21個漏洞入侵。微軟指出,該惡意程式使用常見8個使用者帳號與130個密碼的組合,並透過連接埠23與2323,來嘗試獲取設備存取權,並增加7個鎖定目標,例如:Zivif網路攝影機(CVE-2017-17105)、Grandstream視訊設備(CVE-2019-10655),Sophos SG UTM設備(CVE-2020-25223),以及Apache(CVE-2021-42013)與Apache Spark(CVE-2022-33891)等,同時,Zerobot 1.1版還具有額外的DDoS攻擊功能。
美國FBI在12月21日發出一則警告,指出網路犯罪分子利用搜尋引擎,投放冒充品牌名義的詐騙廣告,使用戶被引導至惡意網站的威脅狀況,需要特別注意。
FBI表示,這些惡意網站將讓用戶遭受勒索軟體、帳密與金融資訊被竊等危害,因此,他們對企業提出3項建議,分別是可利用網域名稱保護服務、向用戶介紹詐騙網站與識別正確URL的重要性,以及告訴用戶哪裡可以找到合法下載管道,同時,FBI也對個人提供預防建議,包括:點擊廣告需檢查URL以確保是真正的網站(注意拼寫錯誤與錯放等混淆手法),直接在瀏覽器網址列輸入網址,以及安裝廣告攔截程式等。
美國多家媒體報導紐約JFK機場計程車調度系統遭俄駭客操控,兩名涉嫌的美國公民被捕。根據美國司法部此案的起訴書顯示,這項行動發生至少在2019年9月到2021年9月間,入侵者嘗試了各種方式,包括:賄絡某人將惡意USB插入調度系統電腦,透過Wi-Fi存取調度系統,以及竊取連接調度系統的電腦設備,在成功入侵後,這些犯罪者藉由改變計程車司機排班順序,並以口耳相傳方式讓司機們得到消息,聲稱只需支付10美元給該集團即可優先排班,藉此牟利。
密碼管理服務業者LastPass在12月22日發布資安公告,提及8月底坦承遭遇資安事故,初步調查後發現未經授權的第三方存取其開發環境與雲端服務,導致部分程式碼被盜,原本他們認為不會影響用戶資料,如今又有了新的進展。
入侵者先是透過雲端環境複製了客戶資料庫的備份,當中包含未加密的資料(如URL網址),以及完全加密的資料(如使用者帳號與密碼)。不過,該公司再次強調他們採用的零知識(Zero Knowledge)安全架構,需從每個使用者主密碼產生的唯一金鑰來解密,也就是除了用戶自己,無人能存取密碼庫的資料。即便無資料外洩狀況,但該公司還是提醒用戶當心網路釣魚,不要將主密碼用於其他網路服務。
網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店:臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪?台中大展搬家線上試算搬家費用,從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗,提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪,彈性的出遊方案,行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益
【漏洞與修補】
Passwordstate是澳洲資安業者Click Studio的密碼管理產品,在12月19日,瑞士資安業者Modzero研究人員揭露裡面有多個漏洞。他們指出,當中的CVE-2022-3875最嚴重,是存在於API的身分驗證繞過漏洞。Click Studio收到通報後,已於,修補這批漏洞,並呼籲用戶盡速更新。
【資安防禦措施】
美國總統拜登於12月21日,根據這項法案規定,美國行政管理和預算局(OMB)需在NIST發布新指南後的1年內,進行PQC的轉換,另一方面,此法案頒布後的1年內,OMB需向國會提出報告,說明因應戰略、資金,以及與各機構組織的協調工作。
法國政府在12月21日宣布將加強該國醫療機構網路安全,該國醫療院所今年8月與12月初遭遇兩次重大事件,均造成病患手術取消或轉院情況,對此,該國內政、醫療與電信主管機關召開會議,宣布將啟動大型網路安全事件準備計畫,首先在2023年5月前,要讓所有重要醫療機構完成新的資安演練,在第一季之內,也將為各機構提供資安事件應變、影響評估的指引。同時,他們也持續強調國家公共機構遭勒索攻擊不付贖金的一貫立場。
【其他資安新聞】
近期資安日報
https://www.ithome.com.tw/news/154861
