【資安週報】2022年12月19日到12月23日

在本周資安新聞中，就是微軟最近將9月修補的漏洞CVE-2022-37958，調整為RCE漏洞，由於該漏洞涉及SPENGO NEGOEX防護，SMB與RDP等都受影響，因此受到廣泛關注。其他重大的漏洞消息，包括Samba在15日修補多項高風險漏洞，以及思科在12月中旬更新多則資安通告，當中指出多年前修補的漏洞在今年3月被用於攻擊行動。

勒索軟體Play針對ProxyNotShell漏洞繞過的攻擊手法，持續成為焦點，資安業者發現有新手法OWASSRF攻擊Exchange伺服器。在攻擊新趨勢方面，以殭屍網路病毒而言，本周有MCCrash與Zerobot的攻擊動向受關注；在新興技術研究方面，有研究人員提出規避EDR監控的新硬體斷點技術，以及展示熱門自然語言對話語言模型ChatGPT與Codex可能被攻擊者應用的情境。

在這一週資安消息當中，有幾則都是受到比較多討論的，像是：烏克蘭軍事情報系統Delta遭到竊密軟體攻擊、FBI威脅情資交換平臺InfraGard遭駭；還有雲端身分安全業者Okta說明原始碼遭竊，以及密碼安全服務業者LastPass客戶資料庫備份遭複製的事件。

另外，國際間又有BEC詐騙案的警告，但這次並非變更匯款帳號騙取金錢，而是騙取貨品。這類案情雖不多見，但早年其實發生過，例如，五年前國內刑事警察局國際刑警科對於就看到這樣的狀況，並指出手法萬變不離其宗，最終目的都是騙取金錢或貨品。

至於安全防護的焦點上，GitHub將推出一項Secret scanning功能最受關注，可協助因應因開發人員不慎將帳密、金鑰或憑證嵌入程式碼的問題。

殭屍網路病毒用來散播的管道出現變化！研究人員揭露殭屍網路病毒MCCrash近期的攻擊行動，比較特別的是，駭客先是針對Windows電腦而來，一旦成功入侵之後便會掃描網路上的Linux物聯網裝置，進行橫向感染。

商業郵件詐騙（BEC）也出現新的攻擊手法！美國FBI、FDA聯手提出警告，駭客看上近期食品不斷漲價的現象，先假冒知名食品業者的高階主管向下游廠商訂貨，然後再把這些食品拿去轉賣。(編按：其實我國刑事警察局國際刑警科在，不論是在最後階段冒名發信要求買方變更匯款帳戶，或是冒名發信要求賣方改變送貨時間或地點，只是後者相對較少）

有研究人員發現Akamai的應用程式防火牆（WAF）能被繞過，其原理是針對其中含有漏洞的Spring Boot元件發動攻擊。對此Akamai表示已經修補，管理者應儘量使用最新版本。

在今日的資安新聞裡，有不少與資料外洩相關，其中最引起注目的應該就屬美國聯邦調查局（FBI）的威脅情資交換平臺InfraGard遭駭的事故，此平臺提供美國企業與該單位公私合作的管道，但這起事故也讓研究人員發現，該平臺仍在使用不甚安全的簡訊驗證碼執行進階身分驗證， 而使得駭客有機可乘，取得該平臺的會員帳號，以便進行後續的竊密行動。

許多駭客會利用零時差漏洞來發動攻擊，但已修補多年的漏洞仍有可能成為被利用的對象。思科近期更新了近30則資安通告，原因是他們獲報這些漏洞出現被利用的情況，這些公告大多是2017年、2018年發出。

Samba最近修補的漏洞也相當值得留意，若不安裝新版軟體，攻擊者就有可能利用相關漏洞來控制受害電腦。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸，為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店：臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業，自成立迄今，即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪？台中大展搬家線上試算搬家費用，從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗，提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪，彈性的出遊方案，行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

針對資安業者在9月底揭露ProxyNotShell漏洞，微軟雖然提供了修補程式與緩解措施，但現在傳出這些做法已被駭客繞過！資安業者CrowdStrike發現駭客運用了名為OWASSRF的手法來攻擊Exchange，並指出有別於原本駭客濫用自動探索（Autodiscover）來觸發ProxyNotShell，這次濫用的是該系統的網頁版郵件管理介面OWA來達成目的。

駭客利用竊密程式來偷取各式資料的情況可說是相當氾濫，而這樣的工具也可能被用於攻擊軍事系統──烏克蘭電腦緊急應變小組（CERT-UA）揭露針對軍事情報系統而來的竊密軟體攻擊，駭客佯稱更新電腦憑證的名義來下手，企圖盜取軍人電腦裡的相關帳密資料。

現今熱門的AI機器人ChatGPT能力強大，但很有可能成為駭客濫用的目標！有研究人員進行實際驗證，利用該機器人打造釣魚郵件及惡意附件，藉此警告這樣的工具有可能遭到濫用。

近期關於EDR產品安全性的研究不少，前陣子有資安研究人員揭露數款防毒軟體與EDR系統的零時差漏洞，今日有研究人員提出新的硬體斷點規避EDR監控的技術，希望外界與業者能夠更關注這類潛在攻擊方法。

近來自然語言對話語言模型ChatGPT成為各界熱門話題，不過，新技術可以幫助防禦者，但同時也會幫助攻擊者，資安研究人員以實際情境來舉例，技能差的攻擊者也能利用ChatGPT與Codex，這也導致攻擊技術門檻可能降低的情況。

身分安全業者Okta在20日說明原始程式碼儲存庫被入侵並被複製的情況，而在此之前，該公司在今年3月與9月，也都遭遇重大資安事件。另外，CISA發布6項ICS安全公告。

微軟在9月修補的漏洞CVE-2022-37958，最近受到很大的關注，因為他們後續將這個涉及SPENGO NEGOEX防護的弱點類型，調整為RCE漏洞，CVSS評分也提升至8.1分，由於SMB與RDP都使用NEGOEX安全機制，可能影響的層面相當廣，甚至有研究人員將此漏洞與EternalBlue漏洞相提並論。

今日密碼管理業者相關的資安新聞有兩起，首先是LastPass在22日發布資安事件公告，說明客戶資料庫的備份被入侵者複製，另一起是瑞士資安研究人員揭露密碼管理產品Passwordstate的漏洞通報細節。

網路犯罪者為了散布惡意網站，利用搜尋引擎透過購買關鍵字廣告，假冒品牌業者的情形，，特別的是，美國FBI現在也針對此一情況示警，突顯駭客不斷改變其策略，頻頻躲過搜尋服務業者對於網路詐騙廣告的偵測。

https://www.ithome.com.tw/news/154877