资安一周第136期：甫修补的Exchange漏洞疑修补太慢导致灾情不断。FireEye、微软针对SolarWinds供应链攻击揭露最新发现最新消息

图片来源:

戴夫寇尔

3/4-3/10 一定要看的资安新闻

＃漏洞攻击＃Exchange

微软修补已被滥用的Exchange漏洞，但灾情不断扩大，且被质疑修补的速度太慢

微软在3月2日紧急修补Exchange的漏洞，原因是已有中国骇客组织用来发动攻击。但这起事件造成的危害究竟有多大？除后续有资安公司Huntress揭露存在相关漏洞的Exchange服务器数量，资安部落格Krebs on Security近日指出，美国至少有3万个组织受害，其中不乏州-等公部门。而在美国以外，也有组织传出遭到攻击的情况，例如，欧洲银行业管理局（EBA）于3月7日及8日接连发出公告，表示他们的Exchange服务器遭相关漏洞攻击，他们也采取了额外的防护措施。

然而，微软也坦承，他们早在1月初发现情况有异，而引起外界质疑修补动作太慢。对于相关漏洞的通报，最早应该是台湾资安业者戴夫寇尔（Devcore），于2020年12月发现CVE-2021-26855及CVE-2021-27065，并于1月5日向微软提出警告，隔日亦得到对方证实。详全文

图片来源：戴夫寇尔

＃供应链攻击＃SolarWinds ＃Go语言

针对SolarWinds发动供应链攻击的恶意软件其实不只4个！FireEye、微软揭露最新发现

自2020年12月爆发的SolarWinds供应链攻击，调查至今已被发现4种恶意程式。而在3月4日，FireEye、微软不约而同揭露他们找到的新恶意程式，其主要特点是它们多半是采用Go语言开发而成，并疑似被骇客组织运用于第2阶段攻击行动，且能将恶意流量藏匿于正常流量之中，使得这些恶意程式到了近期才被察觉其行踪。详全文

＃供应链攻击

资安业者Qualys也受到Accellion被骇事故牵连

Accellion遭骇事件的出现越来越多的受害者，如今也传出有资安业者因此受到影响。资安业者Qualys近日证实，他们使用的Accellion FTA设备遭到入侵，骇客存取该档案共用系统的资料，所幸这个设备部署于受到隔离的DMZ区域，使得灾情不致波及该公司运作。详全文

＃供应链攻击＃航空产业

航空IT服务业者SITA遭骇，多家航空公司用户资料外泄

航空业这几年遭受攻击的事件频传，例如，马来西亚航空于3月1日寄送电子邮件通知旅客，指出因第三方IT服务商系统导致飞行常客的用户资料外泄，而且时间自2010年3月到2019年6月，长达9年，然而，该公司并未透露这个IT服务业者的身份。

到了3月5日，资安新闻网站Bleeping Computer指出，国际航空电讯集团公司（SITA）就是导致马来西亚航空资料外泄的IT服务业者。随后也有数家航空公司发布有关讯息，其共通点是受影响的顾客为飞行常客用户，但没有金融资讯外流。详全文

图片来源：国际航空电讯集团公司（SITA）

＃漏洞修补＃Trickboot

针对服务器UEFI固件攻击的Trickbot，Supermicro推出修补固件，Pulse Secure亦对于采用该厂牌服务器的资安设备修补

僵尸网络Trickbot自去年10月基础设施遭到切断后，很快又再度复活，其恶意软件更出现了能锁定UEFI下手的模组Trickboot。而近日服务器业者Supermicro、资安业者Pulse Secure，针对旗下受影响的设备，推出新版固件来防范服务器遭到Trickbot攻击。

为何Pulse Secure也要推出修补程式？原因是他们旗下的SSL VPN系统Pulse Connect Secure，以及NAC系统Pulse Policy Secure，所搭配的硬件设备部分型号，采用了受影响的Supermicro主板。详全文

＃漏洞修补＃Grub2

开机程式Grub2释出修补程式，一口气修补117个漏洞

因日前被揭露重大漏洞BootHole的开机程式Grub2，促使研究人员重新检视这款软件的安全性。近期开发者Daniel Kiper指出，他们半年多来收到许多漏洞通报，于是在汇整后予以修补，此次公布的修补包共修补了117个漏洞，其中较严重的8个漏洞取得了CVE编号。Ubuntu、Debian、红帽，以及SUSE都对此发布资安通告，呼吁用户尽速安装修补程式。详全文

＃社交工程攻击＃网络钓鱼＃线上交易＃3DS

研究人员揭露骇客在暗网论坛交流伪造线上交易手法，企图破解3DS验证流程

骇客锁定线上刷卡交易的情况有多严重？有资安业者发现，近期骇客在暗网频繁分享他们的攻击手法，借此通过或绕过时下已算是普遍的3D Secure验证机制（3DS），来成功盗刷被害人的信用卡或是支付卡。其中，他们看到骇客讨论度最高的手法型态是社交工程，而滥用冒牌电商网站的网络钓鱼攻击，也相当普遍。详全文

＃法规遵循＃金融业

针对主机共置服务资安缺失，金管会对10家证券商祭出处分

证券商落实资讯安全的情况如何？金融监督管理委员会于3月4日宣布，他们在2020年对于使用主机共置服务的证券商进行检查，发现康和、永丰金、国泰、元富、富邦、日盛、华南永昌、群益金鼎、凯基，以及元大共10家券商，出现违反证交法规定的情况，如共置主机与证交所连线未设置防火墙、将主机最高权限账号提供给委外厂商使用等，金管会对这些券商祭出共552万元罚锾。详全文

＃网站安全＃网络诈骗

西堤牛排用户接到诈骗电话，起因是王品集团网站资料外泄

近年来台湾网络诈骗事件频传，但骇客钜细靡遗掌握用户的资料，还是让人毛骨悚然。根据TVBS新闻网、东森新闻等媒体报导，有民众向媒体投诉，近日接到冒名西堤牛排客服的诈骗电话，以储值提供折扣或是信用卡扣款不成功等理由，要求汇款，而且，这些歹徒不只掌握民众的个资，连他们到西堤牛排消费的餐点都一清二楚。

对此，西堤牛排在脸书对用户提出警告，并于网站公告，表示该起事件是因为王品牛排网站后台遭骇客攻击，盗窃顾客资料。该公司强调会再升级资安系统，并研拟补偿方案。详全文

＃内部威胁＃电脑挖矿

欣亚电脑门市惊传员工滥用展示机挖矿

近期加密货币再度掀起挖矿热，然而，有人竟然将脑筋动到电脑门市的展示机。根据三立新闻报导，一名消费者于3月3日爆料，他到高雄一家欣亚门市看笔电，发现现场至少5至10台电竞笔电发出高热、风扇高速运作，店员宣称是在烧机测试，但他留意到这些笔电其实都被用来挖矿。此事曝光后，欣亚电脑发出声明坦承确有其事，并清查全台门市的展示机，强调这些被用来挖矿的展示机不会做为福利品贩售，该名店员亦予以免职并进入司法调查。详全文