Common△Vulnerabilities△and△Exposures△Lists
一般来说,为了减少电脑系统的弱点,成为有心人士渗透的管道,我们会每隔一段时间,就安装软件厂商提供的修补程式。然而,使用者有乖乖的定期更新软件,难道就不会遭受攻击吗?最近,趋势科技的资安团队,他们与同公司里,推动找寻零时差漏洞计划的Zero△Day△Initiative(ZDI)合作,发现微软7月的例行发布软件更新的修补星期二(Patch△Tuesday)中,微软才在11日刚针对VBScript提供了修补软件,隔日(12日),便出现能破解的恶意软件,可对于已经完成更新的电脑下手攻击,微软则是在这个月的例行性修补中,加入防堵上述攻击手法的更新软件。
骇客以同样手法再次渗透,研究团队认为该弱点未来还会再被继续利用这个弱点被列为CVE-2018-8373,影响范围涵盖了所有版本的VBScript引擎。不过,该研究团队指出,由于微软在Windows△10秋季更新版(RS3)后,上述指令码处理引擎预设为关闭,因此较新版本的作业系统,应不致直接遭到波及。
但趋势的研究团队发现,利用前述弱点的攻击手法,与今年4月中出现的CVE-2018-8174,其中出现的恶意软件,程式码所采用的混淆手法一致,而且都是针对VBScript下手,因此认为这2起攻击,应该是相同的骇客组织所为。甚至,他们认为,未来攻击者还会再利用相同软件的弱点,做为渗透的管道。
同时,为了指出骇客都是利用同样的弱点,该团队也表示,这里面攻击手法,是利用VBSCRIPT.DLL的新型态弱点,称做滥用释出的记忆体区块(Use△After△Free,UAF)。
从趋势科技7月初取得的恶意档案样本来看,发现针对VBScript弱点的CVE-2018-8373(左图),手法与右图5月微软才刚完成修补的CVE-2018-8174,程式码所采用的混淆内容,可谓是极其相似。因此,该团队认为,有可能是同样的骇客所为。(图片来源:趋势科技资安博客)
根据通用弱点资料库(Common△Weakness△Enumeration,CWE)的定义,所谓上述滥用释出的记忆体区块,指的是借着让程式参照一块刚释放的记忆体区块,导致上述的程式当掉、能加入执行过程中非预期的参数,或是执行特定的程式码等。
但是,这种相似的变种攻击,却以多个CVE加以列管,而厂商只能不停的针对被发现的弱点,加以处理,并非提供用户端一劳永逸的防治同类型攻击措施。从CVE编号来看,上述提到的2个弱点,很难联想有所关连,而对于企业的弱点管理上,资讯人员可能需要对于各项漏洞逐项评估后,才能安装更新,非常耗时费力。
前述资安团队也提到,微软在较新版本的Windows中,直接采取了停用VBScript的做法,可见锁定被发现的弱点修补,很可能就是只能治标而无法治本,若是使用者想要免于受到这样的攻击,或许便需以前述停用Windows相关功能的方式,辅以其他的资安防护机制,才能弥补不断安装软件更新,却赶不上骇客攻击速度的现况。
零时差攻击与漏洞修补的不对等攻防趋势科技提到了前述的2起攻击事件,应为同样的骇客所为。也针对这起事件调查的奇虎资安团队,则是在他们的博客发表研究成果,指出骇客正在不断利用VBScript引擎弱点的情形,映证了趋势科技的推论。该团队指出,包含趋势科技在7月发现的CVE-2018-8373,今年一共至少出现了3起锁定VBScript引擎的弱点。
值得留意的是,从奇虎团队提供多次攻击出现的时间点来看,微软发布相关的修补软件日期,都是在次月的例行性安全性更新,换言之,零时差漏洞的修复,间隔长达20天到1个月之久,然而骇客组织却能在微软修补完成的隔日,对于已经刚完成修补的电脑发动攻击,因此这样的现象,也反映端点电脑的防护,不能只倚赖软件厂商的漏洞修补。
针对趋势发现的CVE-2018-8373弱点,奇虎资安研究团队汇整了有关的攻击事件,最早可追溯到今年的4月。不过,微软都是在通报之后的隔月例行更新,才提供相关的修补软件,时间间隔了20天到35天之久。(资料来源:360威胁情报中心)
而依据他们反组译前述攻击中出现的恶意档案,都是Office文件型态的样本,该研究团队也在其中,找到了趋势科技仅揭露了部分内容的恶意网址(http:// windows-updater△[.] net/realmuto/wood.php-who=1-----),然后奇虎的团队发现,上述网址所属的网域,正是他们在今年5月公布,DarkHotel发动的持续性进阶威胁攻击中,该骇客组织使用的网域名称之一。
I 相关 / Other
示意图,与新闻事件无关。 图片来源: CC△BY△2.0 BTC△Keychain 继美国佛罗里达州的赛米诺尔郡(Seminole△County)自今年夏天开放居民以比特币(Bitcoin)及Bitcoin△Cash缴纳地价税与其它税收之后,上周旧金山联
Apple:少年骇客入侵系统并没有取得顾客资料 | 香港 UNWIRE.HK 玩生活.乐科技
最近有消息指一个 16 岁少年骇客多次入侵了 Apple 的系统,盗取了 90GB 的档案,令人再次担心会否有顾客资料泄漏。Apple 最近发出声明指他的入侵并没有影响顾客资料。这名居住于澳洲墨尔本的少年骇客最近被捕提堂时,
一周大事:台湾HITCON战队夺下DEF CON骇客抢旗攻防赛季军。POS系统新创iCHEF推Wi
2018年骇客抢旗攻防赛(CTF),由韩国队DEFKOROOT夺冠,美国队PPP居次,台湾HITCON战队则获得第三名的好成绩。(摄影/黄彦棻) 台湾HITCON战队获DEF△CON△CTF第三名,韩国再度抱走冠军【美国拉斯维加斯现场直击】
周六早上ATM跨行交易出现异常,财金公司:已恢复正常,排除骇客攻击
示意图,与新闻事件无关。 周六早上国内ATM跨行交易出现异常,民众无法在ATM上进行跨行提款、汇款,影响不少人的交易需求,所幸财金公司与IBM紧急处理下,9点左右已恢复正常,财金公司说明系IMS连线交易系统发生状
图片来源: Record△Future 就在美中贸易谈判进行之际,研究人员发现,中国骇客近数月来多次以网络后门程式骇入美国阿拉斯加州政府及该州电信、能源公司网络进行弱点扫瞄,企图刺探情报。Record△Future研究单位Insik