资安一周第77期：防堵求快的修补乱象，Project Zero调整漏洞揭露政策最新消息

0109-0115 一定要看的资安新闻

＃勒索软件攻击＃特定目标攻击＃Sodinokibi

Travelex遭骇客勒索300万美元

在2019年12月31日遭到恶意程式入侵的伦敦外汇交易公司Travelex，将所有系统下线至今仍未恢复，多家媒体针对事件发生的原因进一步报导，指出是受到勒索软件Sodinokibi的攻击，而且骇客要求高达300万美元的赎金。

BleepingComputer取得骇客的说法，表示他们以Sodinokibi发动攻击，并在加密前备份5GB的个资，再向Travelex勒索，要胁不付款就要对外公布这些资料。

英国媒体Computing则报导，资安业者Bad Packets于2019年9月就曾提出警告，Travelex所使用的Pulse Secure VPN含有安全漏洞，将允许骇客渗透至企业网络，也许就是此次事件入侵该公司的管道。详全文

图片来源：Travelex

＃特定目标攻击＃资料外泄

美国社区医院邮件账号外泄波及近5万名病患个资

美国明尼苏达州的非营利社区医院Alomere Health，惊传2名员工的电子邮件账号，先后于2019年10月底与11月初，遭到未经授权存取。由于他们的电子邮件含有病患个资，该院已经逐一通知可能受到影响的病患，并对于个资里含有社会安全码与驾照号码的人，免费提供信用监控与身份保护服务。

Alomere Health指出，根据检查账号邮件内容与附加档案，可能有49,351名病患的资料已经外泄，不过，院方并不确定骇客存取那些内容。详全文

＃漏洞攻击＃网站漏洞

TikTok允许骇客操纵用户内容的安全漏洞已被修补

资安业者Check Point公布短影片程式TikTok的众多安全漏洞，这些漏洞允许骇客操纵受害者账号，并且能删除影片、上传影片，还能让私有影片公开，或者是取得用户个资。字节跳动在2019年11月接获通报，近期修补相关漏洞。

Check Point指出，这个漏洞出现在TikTok网站中，让使用者传送下载应用程序的简讯功能，该漏洞让让任何人代替TikTok传送简讯至任意电话号码，并在简讯中置入骇客指定的网址，进而执行跨站指令码（XSS）或是跨站请求伪造（CSRF）等攻击行动。详全文

图片来源：Check Point

＃漏洞揭露政策

为增进修补品质，Project Zero调整漏洞揭露政策

Google安全研究团队Project Zero公布，从2020年1月1日开始调整漏洞揭露政策，只要在90天的修补期限内完成，都会在第90天才公开相关细节，希望软件厂商能够拥有较为充足的时间，提供更为完善的修补程式，而非只是将漏洞隐藏起来。

会出现这样的重大调整，源自于该团队发现，许多软件开发者并非从根源处理漏洞问题，骇客只要稍微改变手法，同样能滥用该漏洞进行攻击，若是一味追求修补速度，将会使得这种情况更为严重。另一个原因，则是因应许多软件厂商认为，修补软件尚未普遍部署就揭露漏洞细节，有可能影响用户安全。详全文

＃行动装置安全

新Android木马关闭应用程序检测机制，并在Google Play捏造假评论

卡巴斯基实验室揭露Android木马Trojan-Dropper.AndroidOS.Shopper.a，这个木马会假冒为系统应用程序，滥用Google专为残障人士设计的AccessibilityService功能，以在受害者不知不觉的情况下进行各种恶意活动，并关闭Google Play Protect应用程序检测机制，擅自安装应用程序，甚至能编造应用程序于Google Play市集的假评论，使得资安研究人员再度呼吁，使用者不要安装来路不明的Android应用程序。

在所有感染Trojan-Dropper.AndroidOS.Shopper.a的Android装置中，有高达28.46%位于俄罗斯，居次的是巴西的18.7%，印度以14.23%排名第三。详全文

＃行动装置安全

Google移除近2千个含Joker恶意软件的Android应用程序，但仍有漏网之鱼

Google公布他们从2017年初开始，透过Google Play Protect检测机制，总计侦测并移除1千7百个感染Joker恶意软件的Android程式，而这个恶意软件也从最初执行简讯诈骗（SMS Fraud），如今演变成收费诈骗（Toll Fraud），来擅自暗中订阅付费服务。

事实上，还是有部分Joker程式曾经穿越Google的封锁线，资安业者CSIS Security Group在2019年9月指出，他们在Google Play上侦测到24款内含Joker的行动程式，总下载量超过47.2万。详全文

＃网络钓鱼＃附加功能滥用

首见骇客以恶意Office 365外挂骗取用户账号

安全公司PhishLabs发现，有攻击者传送包含假冒公司内部SharePoint和OneDrive档案分享连结的网钓信件，企图利用社交工程骗取用户点入。这波攻击行动中，骇客利用恶意的Office 365插件，在不需取得帐密的情况下，就可登入，即便使用者变更密码及采用双因素验证，皆无法防堵此类攻击。

研究人员指出，骇客是利用Office 365可使用外挂的功能，再加上微软允许相关外挂透过侧载的方式部署得逞。因此，他们建议管理者，要管制用户能够安装Office 365插件的范围。详全文

图片来源：PhishLabs

＃漏洞攻击

调制解调器漏洞Cable Haunt在欧洲波及2亿台调制解调器

来自丹麦资安顾问公司Lyrebirds的3名研究人员，与独立资安研究人员Simon Vandel Sillesen合作，揭露于同轴电缆调制解调器的安全漏洞，并命名为Cable Haunt，这些研究人员表示，此漏洞至少已波及4个品牌的缆线调制解调器（Cable Modem），在欧洲就可能有2亿台设备受到影响。

Cable Haunt的漏洞编号为CVE-2019-19494，藏身在博通（Broadcom）调制解调器芯片的频谱分析仪元件，而该元件可在缆线讯号暴冲或受到干扰时保护调制解调器，经常被ISP业者用来调整传输品质。至于前述的CVE-2019-19494则是缓冲区溢位漏洞，将允许骇客自远端执行任意程式，进而取得调制解调器的控制权。

研究人员已确定4个品牌的缆线调制解调器受到Cable Haunt漏洞的影响，包括Sagemcom、Netgear、Technicolor，以及COMPAL，但其他采用博通芯片的调制解调器设备，可能也无法幸免于难。详全文