资安一周43期：英特尔处理器又有旁路攻击漏洞、防毒软件程式码惊传外泄最新消息

0516-0522 一定要看的资安新闻

＃硬件漏洞＃推测执行 #旁路攻击

英特尔处理器又有旁路攻击漏洞，多家厂商提供修补程式

自2018年开始，处理器的推测执行（Speculative Execution）漏洞被发现后，研究人员持续不断找到可被滥用的变种攻击手法。今年的5月14日，英特尔揭露了4个可外泄机密资讯的处理器安全漏洞，这些漏洞衍生出ZombieLoad、RIDL，以及Fallout等多种攻击手法，皆由奥地利的格拉茨科技大学所发现。为此，Google、苹果、微软、红帽，以及AWS等IT业者，也一同加入修补的行列。

此次英特尔公告的漏洞分别是CVE-2018-12126、CVE-2018-12127、CVE-2018-12130，以及CVE-2019-11091。上述漏洞的共通点在于，它们都与推测执行技术有关，会在处理器展开推测执行时，让攻击者能够进行旁路攻击，外泄系统上的资讯。不过，微软与苹果都指出，若要更全面缓解漏洞，最好也关闭超执行绪（Hyper-Threading）。详全文

图片来源：格拉茨科技大学

＃特权账号漏洞＃漏洞攻击

Windows XP存在远端桌面服务重大漏洞，微软再度推出修补程式

微软发布安全公告，指出Windows 7和Server 2008以下的版本，存在重大远端程式码执行漏洞，可能会引发类似WannaCry大规模感染的灾难，于是，他们再次针对Windows XP、Server 2003提供修补程式。

这个漏洞的编号为CVE-2019-0708，存在于旧版Windows远端桌面服务（RDS）中，可使未经授权的攻击者，利用远端桌面协定（RDP）存取目标系统，传送经改造过的呼叫程序。

微软也提到，使用者若启用网络层验证（NLA）机制，或许可缓解蠕虫程式与进阶威胁，但是如果攻击者取得有效帐密，仍可成功验证并于远端执行恶意程式码。因此，微软强烈建议用户应尽速安装修补程式。详全文

＃资料外泄＃程式码安全

防毒软件程式码惊传外泄，3大业者遭点名

威胁情资公司Advanced Intelligence（AdvIntel）表示，他们发现名为Fxmsp的俄国骇客组织，自2019年3月起，开始在暗网里兜售从3间知名防毒软件公司窃取的资料，并声称里面含有这些公司的开发程式码，开价30万美元，后来，该公司的安全研究部门首长Yelisey Boguslavskiy向媒体揭露Fxmsp与卖家的对话，指出3家防毒软件公司，就是Symantec、趋势科技，以及McAfee。

对此，上述3家防毒业者接获AdvIntel的通报后，也都做出了回应。Symantec表示与AdvIntel确认后，旗下产品并未受到影响；趋势科技则指出内部测试环境曾遭到不当存取；至于McAfee仅表示，他们正在调查当中。详全文

图片来源：Advanced Intelligence

＃凭证盗用＃中间人攻击＃国家级攻击

华硕网络硬盘服务遭中间人攻击散布后门程式

根据资安厂商ESET的发现，攻击者透过路由器做为跳板，并搭配中间人攻击（Man-in-the middle，MITM）手法，在电脑植入后门程式Plead，假冒为华硕网络硬盘WebStorage的应用程序，而且带有华硕合法的凭证。

Plead主要锁定台湾-单位和企业高层，最早由趋势科技发现，在2018年时，ESET发现骇客组织滥用D-Link与全景软件的凭证，签署并散布Plead。

先前于3月时，华硕电脑的更新服务Live Update传出ShadowHammer供应链攻击，被植入木马的应用程序便是使用合法凭证。事件爆发后，虽然该公司提供了检测工具，却因为继续使用遭窃的凭证，使得微软防毒软件视为含有恶意内容。华硕今年接连2次凭证被骇客滥用，显然该公司的资安意识与相关防护措施都有待提升。详全文

＃硬件漏洞＃固件攻击

思科硬件安全模组TAm漏洞，将影响130款产品

为了保护固件不受窜改而影响设备运作，思科（Cisco）在网络设备上采用的安全开机机制“信任锚”（Trust Anchor Module，TAm），被资安公司Red Balloon Security发现漏洞，使得骇客可窜改固件，殃及所有部署TAm的思科设备，包含路由器、交换器，以及防火墙等。由于属于硬件设计漏洞，研究人员认为，很难借由软件修补来解决。

Red Balloon Security已于去年11月知会，思科也发表安全通报证实此事，并表示多达130款设备受到波及，已经逐步进行修补中。不过，截至目前为止，尚未出现滥用该漏洞的情况。详全文

图片来源：Red Balloon Security

＃通讯软件漏洞＃漏洞滥用

WhatsApp已遭滥用的漏洞，脸书紧急修补

根据英国金融时报报导，骇客利用脸书旗下通讯软件WhatsApp的漏洞，在特定人士的手机上植入间谍程式Pegasus。这个编号为CVE-2019-3568的安全漏洞，脸书也紧急推出修补程式。

上述的漏洞攻击手法，目前仅知一名英国人权律师的行动装置受害，尚且无法估计真实的受灾规模，因此，全球15亿WhatsApp用户都是潜在的受害者，脸书呼吁应该赶紧更新软件。详全文

＃国家级攻击

荷兰传出在电信网络上发现华为暗藏后门

美国针对华为下达一连串的封杀令后，欧洲各国开始观望，该品牌提供的设施是否潜藏资安风险，或是存在后门。根据荷兰人民报（De Volkskrant）报导，该国的情报与安全总局（AIVD）发现，在当地其中一家主要电信业者的网络中，华为埋藏了后门，可随意存取该公司的客户资料，很可能与中国-从事间谍活动有关。不过，人民报并未表明他们的消息来源为何。

荷兰当地的3大电信业者也对此事表达立场──今年初刚并购完成的荷兰T-Mobile与Tele2指出，并不晓得AIVD正在调查此事；而荷兰皇家电信（KPN）与Vodafone拒绝回应。详全文

＃账号填充攻击＃资料外泄

日本Uniqlo与GU网络商店用户遭受账号填充攻击

旗下拥有Uniqlo与GU知名服饰品牌的Fast Retailing指出，骇客在4月23日与5月10日期间，透过其他被骇网站的461,091个账号和密码，存取上述两个品牌的网络购物商城账号。Fast Retailing认为，骇客是透过其它服务的资料外泄事件取得用户凭证，言下之意与这两个平台的安全性无关。

Fast Retailing在5月10日得知异常存取情事，遂于13日停用这46万个账号，再通知用户重设密码。详全文