资安一周第129期：SolarWinds公布供应链攻击事故过程。微软预告Zerologon第2阶段修补

1.14-1.20 一定要看的资安新闻

 

＃供应链攻击

SolarWinds公布供应链攻击事故流程

针对12月爆发的供应链攻击，SolarWinds找上资安业者CrowdStrike，联手调查事件发生的来龙去脉，并在1月11日公布骇客攻击的路径。SolarWinds指出该攻击的源头，骇客利用了名为Sunspot的恶意程式。

对于此次攻击事件的过程，SolarWinds整理出相当详细的时间表，他们表明骇客于2019年下旬进行测试，到了2020年2月才真正埋入Sunburst后门程式，并于6月初移除程式码里的恶意软件。详全文

 

＃漏洞修补

微软预告2月将进行Zerologon第二阶段修补

针对2020年8月微软首度修补的Zerologon漏洞，该公司近期预告将于2月份的修补星期二（Patch Tuesday），推出第2波更新程式，安装后，将预设启动网域控制器的强制执行模式（Enforcement Mode），并使用Netlogon安全通道与安全RPC连线，以因应Netlogon漏洞的隐忧。不过，对于防堵Zerologon漏洞，微软表示还是同时要安装8月提供的第1个修补程式。详全文

图片来源：微软

 

＃网络流量管制  ＃操作系统  ＃macOS

macOS放行苹果应用程序流量可绕过防火墙惹议，更新版修改相关配置

macOS Big Sur自2020年10月正式推出，不久后，便被多名研究人员发现一些资安作法争议，因为他们在该操作系统内建的网络功能扩充框架里，将自家的50余款应用程序列入排除清单，使得这些应用程序能直接绕过防火墙或是VPN而引发资安风险。而在1月13日发布的macOS 11.2 Beta 2，已移除上述清单。

至于为何当初要排除自家应用程序的网络流量检测？苹果表示此为暂时性的配置，而非外界认为的苹果自肥。详全文

 

＃资料外泄  ＃武汉肺炎

骇客盗走的武汉肺炎药物与疫苗文件已流落网络

欧洲药品管理局（EMA）针对2020年12月遭到骇客攻击一事，透露更多资讯。他们指出，此次资料外泄事件的影响范围为单一IT应用系统，仅部分第三方文件遭到非法存取，而骇客目标就是武汉肺炎相关文件，而这些文件已外流至互联网上。但该单位强调，对于相关的药物与疫苗的审核时程，没有受到本次事件波及。详全文

 

＃资料外泄  ＃电玩产业

卡普空攻击事件恐波及39万人，包含用户、员工、合作伙伴

日本电玩制作商卡普空（Capcom）于2020年11月遭勒索软件入侵，传出骇客窃取近1TB资料。该公司于1月12日公布调查的结果，指出可能有39万人个资可能会受到影响。其中，确定已经遭到泄露的资料涉及16,415人，其中，有合作伙伴3,248人，前任员工和相关单位9,164人、以及现任员工和相关单位3,994人。

其他可能受到影响人士，其中包含5.8万名应试者，他们的姓名、住址、电话，以及电子邮件等也遭到外泄。详全文

图片来源：卡普空

 

＃即时通讯机器人  ＃网络诈骗

俄国骇客滥用即时通讯对话机器人发动诈骗攻击

近年来歹徒滥用即时通讯软件进行诈骗的现象，可说是时有所闻，过往歹徒必须自制作案工具，但如今有骇客直接推出相关服务，让歹徒直接购买使用。俄罗斯威胁情报公司Group IB在部落格发布一项研究报告，揭露一起网络犯罪行动Classiscam，这起行动由使用俄文的骇客发起，透过Telegram对话机器人协助广告诈骗的歹徒骗到超过650万美元。受害者遍及美国、欧洲，以及前苏联。

这些诈骗集团也冒用欧洲知名电商和物流业者的名义行骗，包含Leboncoin、Allegro、Sbazar，以及FAN Courier等购物网站，还有FedEx与DHL等。详全文

 

＃资料外泄  ＃数据库配置不当

中国行销业者笨鸟外泄2亿社交网络用户资料

资安产品测试网站Safety Detectives于1月11日指出，他们在腾讯代管的香港服务器上，发现完全没加密也不需要认证的Elasticsearch数据库，内含2.14亿名的社交网站用户个资，包括Facebook、Instagram与LinkedIn，而该数据库属于中国行销业者笨鸟（Socialarks）所有。

在该数据库所曝光的个人档案中，超过1.3亿人为脸书用户，逾6,600万为LinkedIn用户，以及超过1,000万名的Instagram用户。笨鸟获报后已将数据库上锁。详全文

图片来源：Safety Detectives

 

＃漏洞揭露

Windows屏幕锁定存在特权提升漏洞，可绕过BitLocker机制

逆向工程团队Secret Club成员Jonas Lykkegård揭露，恶意人士能够利用屏幕锁定的旁路漏洞，绕过Windows全磁盘加密功能BitLocker限制，创建具有管理员权限的账户。这项漏洞发生的原因，在于屏幕锁定功能未能正确处理该操作系统的轻松存取（Ease of Access）工具，使得攻击者能透过自动播放功能载入工具来破解系统。

这个漏洞的列管编号为CVE-2020-1398，微软已释出修补程式。详全文

 

＃漏洞揭露

浏览器有旁路资讯泄漏弱点，恐被窃取跨来源图片资讯

Duolingo资安工程师Aleksejs Popovs公布她在2020年5月通报的浏览器漏洞，攻击者可借由特制的HTML网页，窃取不应被存取的跨来源图片内容。该攻击的原理是利用浏览器绘制不同透明度画素的时间差，来推断每个画素的透明度，进而读取透明背景中的文字图片，这项漏洞同时波及Chrome与Firefox。

该漏洞存在于上述浏览器所采用的Skia绘图程式库。Aleksejs Popovs表示，两家公司在2020年11月17日都已修补完成。详全文

 

＃漏洞修补

GitLab发布更新以修复API存取权杖漏洞

GitLab发布13.7.2、13.6.4和13.5.6更新，这次修补高严重性的API存取令牌漏洞，以及多个中度严重等级的阻断服务漏洞，强烈建议使用者更新。

事实上，从GitLab 11.5开始的所有版本，都存在高严重性漏洞，可让恶意攻击者透过专案静态网页模组GitLab Pages，窃取使用者API存取权杖，这个问题是因为GitLab Pages中，对身份验证参数验证不足所产生。详全文

 

 

更多资安动态

●欧洲多国警方拿下全球最大网络黑市DarkMarket
●美国-发布企业建置加密流量DNS解析服务的指南
●研究人员指出iOS与Android装置未充分运用相关防护机制
●Google再度揭露串连Chrome与Windows的漏洞