资安一周第120期：台湾包办Pwn2Own Tokyo亚军、季军。骇客盗用脸书账号发送广告，迫使勒索软件受害者付赎金

1112-1118 一定要看的资安新闻

 

＃漏洞挖掘竞赛

Pwn2Own Tokyo 2020成绩出炉，台湾抱走亚军、季军

聚焦于连网装置漏洞的Pwn2Own Tokyo赛事，今年于11月6日到8日，以线上的形式举行，总共有12个队伍参与，比赛进行的方式，是由参赛者提供漏洞攻击程式码，主办方Zero Day Initiative（ZDI）于趋势科技多伦多办公室验证，并进行线上实况转播。到了8日赛程结束的成果揭晓，由Team Flashback以总分4分夺冠，台湾队伍Devcore与Trapa Security，以3.5分与3分，得到第2名与第3名。详全文

图片来源：Zero Day Initiative

 

＃勒索软件攻击  ＃社群网站  ＃广告滥用

骇客盗用他人脸书账号发送广告公开勒索软件攻击事件，迫使受害者支付赎金

为了让遭到勒索软件攻击的企业付赎金，最近有骇客把脑筋动到社群网站的广告身上。根据Krebs on Security的报导，他们在11月9日傍晚，看到疑似是Ragnar Locker勒索软件骇客组织在脸书投放的广告，宣称于11月初攻击意大利酒庄Campari成功，得手2TB机密资料，要这家酒庄在北美东部时区（EST）的10日下午6时之前付赎金，以换取骇客承诺不将这些资料公开。

这则广告的投放，骇客挟持名为Hodson Event Entertainment的账号所为。此账号所有者Chris Hodson表示，骇客的广告已触及7,150名脸书用户。详全文

 

＃资料外泄

全球最大眼镜集团Luxottica外泄用户资料，面临集体诉讼

位于意大利的大型眼镜集团Luxottica，在今年8月遭到骇客入侵，曝露旗下视力保健医疗中心近83万名患者资料，传出有美国用户打算对该公司提出集体诉讼。而此事近期会引起关注的原因，是Luxottica于10月27日向美国卫生及公共服务部提交资料外泄事件的报告。

一名患者Michael Doyle在11月13日提出集体诉讼，指控Luxottica把病患资料存放在含有漏洞的服务器上才会引来网络攻击，并未尽到保护资料的责任，要求Luxottica补偿并提供信用监控服务。详全文

 

＃资料外泄

云端服务不当设定又出事！保险软件业者Vertafore外泄2,770万德州驾驶人资料

专门开发保险软件与相关解决方案的Vertafore在11月10日坦承，因人为疏失外泄大约2,770万名德州驾驶人的资料，该公司已通知主管机关与受害者，另提供受害者1年信用监控，以及身份窃盗复原服务（Identity Restoration Service）。该公司指出事件发生的原因，是相关档案于今年的3月11日到8月1日，不慎存放在未受保护的外部储存服务，且似乎遭未经授权的存取。详全文

 

＃资料外泄

儿童线上游戏Animal Jam惊传用户资料外泄，4,600万笔记录被公开在骇客论坛

在最近1到2年，骇客针对游戏产业发动攻击的情况，可说是时有所闻。根据资安新闻网站Bleeping Computer的报导，他们在11月10日在骇客论坛里发现，有人公开分享2个隶属于儿童线上游戏Animal Jam的数据库，Bleeping Computer向该游戏的开发商WildWorks通报，并得到证实，WildWorks也在游戏网站上公告此事，并要求所有用户更换密码。详全文

 

＃漏洞攻击  ＃DNS

DNS快取污染攻击死灰复燃，影响逾三分之一域名解析器

加州大学河滨分校（UC Riverside）安全研究人员指出，近年来消声匿迹的DNS快取污染（DNS Cache Poisoning）攻击，可能在多个漏洞的搭配下死灰复燃，网络上超过三分之一的公开解析器受到影响，包括市占高达85%的Google 8.8.8.8与CloudFlare 1.1.1.1，这些研究人员将新的快取污染攻击命名为SAD DNS。详全文

图片来源：SAD DNS

 

＃漏洞修补

SANS提出警告：台湾未修补SMBGhost漏洞PC全球最多，有2.2万台，未修补去年BlueKeep漏洞的PC也是高风险族群

重大的漏洞遭到揭露，软件业者也提供修补软件，然而迄今仍有不少使用者尚未安装，而使得电脑曝露于相关风险。根据美国网络安全非营利组织SANS Institute于10月底发布的观察指出，今年3月影响Windows 10电脑的SMBGhost漏洞，现在全球尚有10万台PC没有修补，而其中台湾未修补比例最高，占22%，若以全球未修补该漏洞的PC总数计算，预估有2.2万台。
于此相关的另一项消息是SANS于11月16日发布的观察，去年引起关注的重大漏洞BlueKeep，目前全球仍有约24.7万台电脑没有安装修补程式，但他们并未披露各国具有该漏洞的PC数量，因此，台湾的状况仍有待厘清。详全文

 

＃漏洞攻击  ＃VoIP

骇客锁定FreePBX漏洞下手，取得网络电话系统控制权并盗打国际电话获利

网络防火墙厂商Check Point，于11月5日揭露在今年上半锁定全球网络电话（VoIP）系统的INJ3CTOR3攻击行动，骇客借由系统软件FreePBX所出现的重大漏洞CVE-2019-19006，取得对话启动协定（Session initiation Protocol，SIP）服务器的控制权，进而使用盗打高额国际费率电话来获利，由于拨打电话是此种系统的合理用途，企业难以及早发现自己的系统被滥用。详全文

图片来源：Check Point

 

＃漏洞揭露

英特尔公布可透过耗电测量界面骇进中央处理器的漏洞

英特尔在11月10日发布40个安全公告，揭露数十个安全漏洞，其中的CVE-2020-8694与CVE-2020-8695备受关注，虽然它们被归为中度风险等级，但由于允许骇客利用英特尔的功耗测量（RAPL）界面，汲取存放于装置的机密资讯，而引起研究人员重视，并将相关攻击手法称做鸭嘴兽（Platypus），英特尔已借由微码进行修补。

由于其他处理器也有类似的RAPL界面，发现上述2个漏洞的研究人员，也将研究成果通报给Arm、AMD，以及Nvidia等业者。详全文

 

＃国家资安政策

行政院拟修正资通安全法，预计2021年第1季送立法院三读

我国《资通安全管理法》自从2019年正式施行后，经历将近2年的运作，行政院资通安全处处长简宏伟表示，为了让此法可以更为彻底执行，他们打算在年底前，举办9场“资安法修法说明会”，邀请-机关、学界，以及业界人士，共同参与并交换意见，预计在2021年第1季，将修正草案送交立法院审查，完成三读程序。详全文

 

 

更多资安动态

●微软修补能和Chrome漏洞串联的视窗操作系统漏洞
●勒索软件即服务RaaS泛滥，近2年就出现25个
●苹果macOS 11防火墙排除自家程式，恐成攻击目标
●SaltStack修补被揭露5个月的重大漏洞