資安一周第9期:近7成德國製造業曾遭攻擊,半數來自網路威脅。15行CSS惡意程式碼就能重啟你的iOS裝置

iThome 2018/09/19 12:09(26天前)

0913~0919一定要看的資安新聞

 

#德國製造業

德國製造業遭駭現況!三分之二製造商曾遭攻擊

德國的資訊科技、電信與新媒體協會Bitkom公布一項資安研究報告,指出在過去兩年來,德國有68%的製造業曾淪為破壞、間諜或資料竊賊的受害者,損失金額高達434億歐元(520億美元),其中有47%的損失源自於網路攻擊行動。在曾遭受網路攻擊的案例中,有24%是透過惡意程式,16%是開採軟體漏洞,網釣攻擊亦占了16%,暴力破解密碼占了12%,阻斷服務與中間人攻擊則各占5%與4%。

值得注意的是,在所有的攻擊行動中,有高達63%是來自於現任員工或是前員工,48%源自於客戶、供應商、委外業者或競爭者,有29%為業餘駭客,並有17%屬於有組織的犯罪行動。

 

#iOS裝置 #核心錯誤

當心!CSS惡意攻擊只要15行程式碼,就能重啟你的iOS裝置

安全研究人員Sabri Haddouche藉由Twitter公布了一段針對iOS裝置的攻擊程式,當iPhone或iPad造訪含有該程式碼的網頁時,就會造成核心錯誤(Kernel Panic),導致系統重新啟動裝置。

Haddouche已將這個僅15行的攻擊程式碼張貼在GitHub上,該程式利用了瀏覽器引擎WebKit的弱點,藉由在CSS的背景過濾器中嵌入大量的<div> 標籤,消耗了裝置的所有資源,而造成核心錯誤,遭遇核心錯誤的系統通常會重新啟動以避免造成傷害。

WebKit為蘋果Safari瀏覽器所使用的引擎,因此不只是iOS裝置受到波及,該程式碼也會讓macOS上的Safari瀏覽器凍結。

Haddouche向Tech Crunch透露,在iOS上任何可描繪HTML的服務都會受到影響,代表不管使用者收到的是臉書、Twitter或電子郵件中的連結,還是造訪一個含有該程式碼的網頁,都會發生iOS裝置重新啟動的狀況。

 

#Cold Boot #冷啟動

新式Cold Boot攻擊可駭進絕大多數現代電腦

芬蘭資安業者F-Secure在SEC-T資安會議上,展示了新型態的「冷啟動」(Cold Boot)攻擊,研究人員破解了業者在韌體中替傳統冷啟動攻擊所部署的防禦機制,可成功駭入絕大多數的現代電腦。

在10年前便已現身的冷啟動攻擊,是利用隨機存取記憶體(RAM)在電腦斷電後的資料殘留特性,透過冷啟動重啟電腦之後存取記憶體內容。為了防範冷啟動攻擊,由微軟、IBM、英特爾、AMD與HP等業者組成的「信任運算聯盟」(TCG)則發展出TCG Reset Attack Mitigation,以在重啟電腦時強迫BIOS覆蓋記憶體內容。

不過,F-Secure的兩名研究人員Olle Segerdahl與Pasi Saarinen則發現,只要能實際接觸電腦硬體,就能改寫含有該設定的記憶體晶片,並關閉其覆蓋功能,破解了TCG Reset Attack Mitigation,再以外接裝置重啟電腦,執行冷啟動攻擊,於記憶體中取得密碼或進入企業網路的憑證。

 

#監視器 #京晨科技

國產監視器軟體有漏洞!數十萬臺監視器恐遭駭客控制

臺灣監視器解決方案暨裝置製造商京晨科技(NUUO)所生產的網路監控主機NVRMini2(NVR+NAS),被資安業者Tenable揭露含有兩個安全漏洞,其中一個將允許駭客執行遠端程式並掌控裝置,由於還有其他第三方裝置製造商也使用京晨所打造的軟體,估計受害裝置可能高達數十萬臺。

研究人員在NUUO軟體中所發現的兩個漏洞分別是CVE-2018-1149與CVE-2018-1150,前者屬於堆疊緩衝區溢位漏洞,允許駭客執行遠端程式攻擊,被列為重大風險的安全漏洞,後者則是個後門漏洞。

京晨科技所生產的監視器裝置或軟體,廣泛被應用在銀行、醫院、學校或購物中心等地,也將軟體授權給全球逾100個品牌及2,500種型號的監視器。京晨已在開發修補程式,只是截至本文發布前仍未釋出。

 

#Amazon #個資外洩

Amazon調查員工收賄洩露客戶資料、刪改產品負評

華爾街日報近日披露,電商龍頭Amazon員工收賄洩露客戶及重要內部資料給賣家並協助刪除產品負評,Amazon已經啟動調查。

報導引述消息人士以及牽涉的賣家、中間商指出,Amazon員工在中間人居間協助下,將公司內部資料及其他機密資訊,包括銷售紀錄及顧客電子郵件洩露出去。他們也幫忙刪除網站上商品的負評,並將被禁的商品重新上架銷售,以圖利特定賣家。報導指出,這個情況在中國尤其嚴重。

 

#臺北市政府衛生局 #個資外洩

北市府紅隊演練發現衛生局公衛系統市民個資於暗網兜售,檢調發動調查

臺北市政府衛生局驚傳,公共衛生資訊管理系統的個人資料遭到外洩,並且在暗網中,以100筆個資要價1千美元的價格對外販售。

該起資安事件的通報,起因是臺北市政府配合行政院執行資安前瞻計畫,由資訊局委由資安業者戴夫寇爾進行紅隊演練期間,在地下網站(俗稱的暗網)發現有人販售臺北市衛生局個資,戴夫寇爾第一時間通報臺北市資訊局進行後續的調查。臺北市政府資訊局局長李維斌也確認,這起資安事件並不是媒體報導的流量異常,的確是進行紅隊演練時,由資安業者通報的情蒐資料。

臺北市衛生局的公共衛生資訊管理系統於2015年委由慧智達科技進行開發,據媒體報導,該系統有超過70個子系統,包含藥物及化粧品線上查詢暨申辦、行政資訊、健康管理個案管理系統、精神病患管理系統等。

 

#網路犯罪 #惡意郵件

研究:約9成網路犯罪經由電子郵件展開,約1%的郵件是惡意郵件

安全廠商FireEye研究人員分析今年一月到六月的5億封電子郵件,發現101封郵件中,有1封是明顯的惡意郵件。

研究資料顯示,網路犯罪中,91%是電子郵件的攻擊型態。值得注意的是,根據IC3的估計,電子郵件攻擊中只有10%內含惡意軟體;攻擊者利用PDF或DOC等附檔趁用戶開啟時,安裝蠕蟲、木馬、勒索軟體、病毒、廣告軟體等程式。去年以電子郵件傳送的勒索軟體占了整體的46%。

 

#微軟 #漏洞修補

微軟修補61個安全漏洞,包含已有攻擊程式現身的零時差漏洞

微軟於九月十一日的每月例行性修補中,修補了61個安全漏洞,當中有17個屬於重大(Critical)漏洞,以及一個概念性驗證攻擊程式已經出爐的零時差漏洞CVE-2018-8440。

CVE-2018-8440是個權限擴張漏洞,當Windows不正確地處理「本地過程調用」(Advanced Local Procedure Call ,CLPC)的呼叫時就會現身,駭客必須要登入系統才能開採該漏洞,再執行特製程式以取得系統最高權限,因攻擊程式已現身,各大資安業者皆呼籲Windows用戶應該優先修補此一漏洞。

 

更多資安動態

資料來源:iThome整理,2018年9月

FB留言

即時科技
媒體

降雨:

氣溫: