资安一周第153期：Kaseya供应链攻击事故引起白宫重视。PrintNightmare漏洞风险被低估

7/1-7/7必看资安新闻

 

＃供应链攻击  ＃勒索软件攻击

IT管理软件Kaseya成为REvil勒索软件的攻击跳板，惊动白宫

美国软件公司再传出供应链攻击。专门开发网络、系统与资讯科技基础设施托管软件的美国业者Kaseya，近日发出公告指出，他们约于7月2日美东夏令时间（EDT）下午4时发现，骇客借由危害远端监控与管理软件Kaseya VSA，针对客户展开REvil勒索软件攻击。

而对于此起攻击事故的受害规模，资安业者Huntress估计至少有数千家小型企业受到冲击，而REvil则对外宣称已加密逾百万个系统。此事更惊动了白宫，美国总统拜登也下令，表示-将全力协助Kaseya。

为何会遭到攻击？荷兰漏洞揭露协会（DIVD）于7月4日表示，与他们向Kaseya通报、且尚在修补的漏洞遭滥用有关。详全文

图片来源：Kaseya

 

＃漏洞攻击  ＃Patch Tuesday

Windows打印多工缓冲处理器漏洞遭低估，已出现攻击行动

微软6月修补Windows打印多工缓冲处理器的漏洞CVE-2021-1675，在6月底被多名资安研究人员证实，此漏洞可被用于远端执行程式码，网络上亦出现概念验证（PoC）攻击程式，可于已安装修补程式的电脑滥用此漏洞，研究人员也将其命名为PrintNightmare，并认为原因疑似是微软修补不完全，而导致漏洞可被滥用。

对此，微软认为PrintNightmare是另一个与CVE-2021-1675很相似的漏洞，并将其编号为CVE-2021-34527列管。该公司亦指出，PrintNightmare是CVSS风险层级为8.8分的重大漏洞，且所有Windows版本都受到影响。由于PringtNightmare的修补程式尚未正式推出（仅有非官方的微修补程式），微软亦呼吁企业应关闭Print Spooler服务，或是关闭接收远端打印指令的功能来自保。详全文

图片来源：微软

 

＃木马程式  ＃行动装置安全  ＃Android 

Google移除9款会窃取脸书凭证的程式

防毒业者Doctor Web于7月1日警告，他们在Google Play市集上侦测到9款专门用来窃取脸书账号密码的行动程式，总下载量超过580万次。Google在收到通报之后，已将它们移除。

研究人员指出，这些程式的功能完整，且能够正常操作，但它们会跳出提示讯息，告知使用者若是要存取全部的功能，或者是关闭广告，需要登入脸书账号，一旦使用者信以为真，输入相关资讯，他们的脸书帐密就会被侧录，并传回C2服务器。详全文

图片来源：Doctor Web

 

＃资料外泄  ＃社群网站

7亿LinkedIn用户资料被放在网络黑市兜售

根据资安新闻网站Privacy Sharks及Restoreprivacy的报导，6月22日有人于网络论坛上，兜售高达7亿笔的LinkedIn用户资料，要价为5千美元。对此，LinkedIn表示是不肖人士的网页抓取行为，公司系统并未被骇。

RestorePrivacy检验骇客提供的样本，并表示皆为真实资料，而且内容相当新，都是在2020到2021年间更新。LinkedIn现有用户约为7.56亿人，这也意谓著92%的用户资料外泄。详全文

 

＃漏洞揭露  ＃物联网装置

Netgear路由器漏洞可引发资讯泄露、系统劫持

微软于6月30日揭露Netgear路由器DGN-2200v1固件的3个漏洞，可能导致账号密码外泄，或使骇客得以劫持整台设备，CVSS风险层级评为7.1至9.4分。Netgear已于2020年12月15日发布相关修补程式。详全文

 

＃漏洞攻击  ＃暴力破解攻击

俄罗斯正利用K8s丛集进行暴力破解以渗透全球组织

美国国安局（NSA）、网络安全及基础设施安全局（CISA）、联邦调查局（FBI），以及英国国家网络安全中心（NCSC）联手，在7月1日发布研究报告，详述了俄罗斯情报局（GRU）透过旗下的骇客组织Fancy Bear，利用Kubernetes容器丛集来执行大规模且分散式的暴力破解攻击，企图渗透全球数百个-机关及私人组织。

根据这些情报机构的分析，Fancy Bear入侵的方式，还包含滥用Exchange漏洞（如CVE 2020-0688与CVE 2020-17144），或是透过购买外泄的帐密来进入受害组织。详全文

 

＃勒索软件攻击

制作Trickbot僵尸网络的骇客疑开发新勒索软件

经营僵尸网络Trickbot的骇客组织Wizard Spider，很可能与近期出没的勒索软件有所关连！资安业者Fortinet在7月1日，指出他们在用户环境里发现新的勒索软件Diavol，而且，很有可能就是Wizard Spider发起的攻击行动。

由于这起攻击行动中，受害组织同时出现了Diavol与Conti两种勒索软件，Fortinet认为它们很可能有所关连。因此，Fortinet认为，Diavol应为使用Conti的骇客所制作，也就是Wizard Spider所为。详全文

 

＃勒索软件攻击

荷兰资安业者释出Lorenz勒索软件解密工具

荷兰资安业者Tesorion于6月25日宣布，他们透过NoMoreRansom网站，提供勒索软件Lorenz的解密工具，可支援特定档案格式解密，例如Office文件、PDF档案，以及部分图片与影片档案。

不过，该公司指出，Lorenz加密机制存在臭虫，使得就算受害者取得了骇客的解密工具，部分档案还是可能无法复原。详全文

 

＃勒索软件攻击  ＃资安评估工具

CISA释出勒索软件攻击自我评估安全工具

为了因应日益猖獗的勒索软件攻击，美国网络安全及基础设施安全局（CISA）近期于网络安全评估工具（CSET）中，嵌入了新的Ransomware Readiness Assessment（RRA）模组，以协助各组织对抗勒索软件与自攻击中恢复的能力。详全文

 

＃个资保护规范  ＃CBPR

资策会成台湾第1家亚太个资治理规范认证单位

美国在亚太地区（APEC）推动跨境隐私保护规则体系（CBPR），台湾在2018年底加入，今年6月获准设立CBPR当责机构，是第5个拥有当责机构的APEC会员经济体。国发会宣布资策会正式成为APEC第9个CBPR认证单位，日后将能提供台湾企业在地的认证服务。详全文

 

 

更多资安动态

●美国国土安全部60天招募300名资安人才
●开源专案软件资安扫描工具Scorecards扩大检验范围
●研究人员发现攻击者滥用Cobalt Strike日益频繁