资安一周第38期：邮件安全议题成近期焦点，包括邮件传输协定的强化、网钓邮件规避侦测的新趋势，以及帐密外泄事件

0411-0417一定要看的资安新闻

 

＃电子邮件标准安全

SMTP不够安全，Gmail开始采用MTA-STS标准以验证连线

Google宣布Gmail开始采用新的MTA-STS以及SMTP TLS Reporting标准，强化电子邮件安全性，并在4月10日开始进行Beta测试。

以采用MTA-STS技术而言，邮件服务器会要求外部邮件服务器发送讯息，验证SMTP连线是否使用有效的公共凭证，以及使用TLS 1.2或更高版本进行加密：而TLS Reporting将让邮件服务器可以向外部邮件服务器请求报告，以了解外部邮件服务器以MTA-STS政策发送信件，成功与否的资讯。不像只使用SMTP协定，则很容易遭受中间人攻击，使用者电子邮件可能在未被发现的情况下，于两个服务器间传输被拦截，并且遭到窜改。更多内容

 

＃资料外泄　＃饭店业

赛门铁克：近七成饭店网站泄露住客个资

图片来源／赛门铁克

赛门铁克首席威胁研究员Candid Wueest在浏览饭店网站时，发现到一些问题可能导致住客的个资外泄，随后他针对54个国家、超过1500间饭店网站进行测试，结果发现，当中有三分之二的饭店网站，不慎将住客订房代码，泄露给广告商或分析公司等第三方网站。

至于个资外泄的原因，主要问题出在系统设计上。研究人员发现测试的网站中，有57%会传送确认电子邮件给顾客，当中包含了可直接连回订房记录的网页URL，而此静态连结会将住客订房代号和Email信箱附在URL后方成为函式值，其中，还有29%的饭店未加密邮件中的URL。这可能让攻击者拦截到邮件，或透过HTTP呼叫中的参照栏，间接分享给第三方网站。更多内容

 

＃网站安全　＃WordPress插件漏洞　＃责任揭露问题

不满WordPress支援论坛版主的行为，安全研究人员连续公布3个WordPress插件漏洞

有安全研究人员最近借由Plugin Vulnerabilities平台，连续对外公布3个WordPress插件的零时差漏洞，陷逾10万个WordPress网站于安全风险中。值得注意的是，此次研究人员不遵循责任揭露的漏洞公布事件，是为了抗议WordPress支援论坛版的版主行为而起，其中Social Warfare的漏洞公布后，开发人员已经及时修补，但有两支Wordpress插件──Yuzo Related Posts与Yellow Pencil Visual Theme Customizer的漏洞在公布后，已造成攻击发生，因此在WordPress插件商店下架，且开发人员还建议用户应尽快将所安装的版本移除。更多内容

 

＃邮件安全　＃网钓邮件

25%的网钓邮件可以躲过Office 365内建的安全机制

图片来源／Avanan

云端安全业者Avanan在最近公布的全球网钓邮件报告中指出，他们扫描了5,550万封寄至Office 365及G Suite的电子邮件，平均每99封电子邮件中，就找到1封网钓邮件。而在他们侦测的65万多封网钓邮件中，有高达50.7%的网钓邮件含有恶意程式，有40.9%是为了窃取使用者凭证，另有8%目的是勒索，0.4%为鱼叉式网钓。

对于寄到Office 365的电子邮件，Avanan该公司也特别分析，他们发现有25%的网钓邮件，能够躲过Office 365内建的Exchange Online Protection（EOP）安全机制，而采用的手法上，包过将恶意网址拆分，或者是以畸型的邮件形式及附加档案，让EOP无法识别。更多内容

 

＃无线网络安全　＃WPA3

研究人员揭露Wi-Fi WPA3标准的多个重大漏洞

Wi-Fi联盟去年发表了WPA3的Wi-Fi无线网络加密通讯标准，最近，纽约大学阿布扎比分校的Mathy Vanhoef与以色列台拉维夫大学的Eyal Ronen联手，揭露WPA3的多个重大漏洞。根据他们的说明，WPA3的优点之一是以Dragonfly交握取代了WPA2的4向交握，让骇客更难破解网络密码，但他们发现锁定Dragonfly密码编码方式的许多漏洞或攻击型态，可以在一定距离内让骇客取得Wi-Fi网络的密码，因此，也被外界称为Dragonblood漏洞。幸好目前WPA3尚未普及，且Wi-Fi联盟也已释出了修补程式。更多内容

 

＃VPN程式漏洞

多款企业等级的VPN应用允许骇客绕过身份认证，思科、Palo Alto Networks及Pulse Secure被点名

图片来源／撷取自kb.cert.org

美国电脑网络危机处理暨协调中心（CERT/CC）上周指出，有多家业者所开发的虚拟私人网络（VPN）含有安全漏洞，将允许骇客绕过身份认证机制，存取使用者的应用服务，被点名的业者与产品包括Palo Alto Networks的GlobalProtect Agent、Pulse Secure的 Connect Secure、思科的AnyConnect，以及F5 Networks。截至4月15日，Palo Alto与Pulse Secure已完成修补。更多内容

 

＃网络治理　＃ICANN

全球网络治理倡议多重利害关系人共同参与的概念，台湾近年IPv6成长幅度第一亦成为焦点

图片来源／TWNIC

由ICANN与TWNIC共同举办的合作交流论坛（ICANN APAC-TWNIC Engagement Forum），4月16、17日在台举行，并邀请APNIC、NCC的代表参与，让台湾与国际网络治理的专家，能共同讨论全球网络议题。

在这次会议中，谈及网络上可搜寻内容的管理，以及杜绝假消息、网络罢凌等，同时也指出捍卫言论自由的重要性，并强调需建立一个多利害关系人共同参与的安全、开放、全球互连互联网环境。此外，欧盟GDPR的要求为WHOIS服务带来的冲击，但两者精神背道而驰，需制订新的政策因应，ICANN表示已启动第一阶段的讨论。另外，还有像是IPv6、DNSSEC、中文网域与网络内容的管控，并提及台湾在网络治理、DNS资安防护以及IPv6普及的推动，值得一提的是，TWNIC也指出台湾在IPv6的成长速度是近年全球最快，排名已升至全球第11。更多内容

 

＃工控资安　＃开放实测场域

促进台湾资安工控技术能量，公布第三次关键基础设施资安防护场域实测计划

为促进台湾的关键基础设施资安产业发展，协助国内资安厂商快速累积工控安全技术能量，由经济部工业局委托资策会办理的“关键基础设施资安防护场域实测”厂商甄选，在4月15日，资策会正式对外发出公告。这样的计划在前两年分别执行过一次，今年是第三次，将延续去年开放国营水、电、油厂的方式，在不影响服务正常运作、不直接接触工控设备，以及搜集之资料不外传的3项原则下，征选业者进行实测。较特别的是，今年这些场域的开放实测时间，要比去年更长，从一个星期变成一个月，便于业者搜集更多例行与突发事件的资料变化。更多内容

 

更多资安动态
AdBlock Plus广告过滤外挂漏洞可被执行恶意程式码
微软客服人员遭骇，致部分Outlook.com邮件用户账号资讯外泄
Google Chrome计划封锁HTTPS网页下的不安全HTTP下载
Windows安全修补造成跑部分防毒软件的Windows 7 PC、Server 2012当机或无法重开机
微软Patch Tuesday修补两个已被开采的Windows漏洞
Google新推出多种身份验证与存取控制功能，助企业部署零信任安全架构
你的GPS装置显示时间正确吗？如果一切正常，恭喜你安然渡过GPS的时间重置