微軟六月發佈之漏洞修補數量,創有史以來最高

微軟於六月的Patch Tuesday修補了129個安全漏洞,創下了微軟歷年來單月漏洞修補數量的新紀錄,當中有11個被列為重大(Critical)漏洞。
 
在11個重大漏洞中,有3個屬於VBScript的遠端攻擊漏洞,它們分別是CVE-2020-1213、CVE-2020-1216與CVE-2020-1260,這3個漏洞都與VBScript引擎處理記憶體中物件的方式有關,進而允許駭客破壞記憶體並自遠端執行任意程式。
 
Windows圖形設備接口(GDI)處理內存中對象的方式中存在遠程代碼執行漏洞CVE-2020-1248也被修復,此漏洞可能使攻擊者能夠控制易受攻擊的系統並可能涉及誘使目標打開惡意附件。
 
此次的更新還修補了SharePoint中的許多漏洞,其中包含CVE-2020-1181(一個嚴重等級為RCE的漏洞),該漏洞與Microsoft SharePoint Server無法正確識別和篩選不安全的ASP.NET Web控制項有關。經過身份驗證的攻擊者可以成功利用此漏洞使用經特殊設計的頁面在SharePoint應用程式池進程中執行操作。
 
而CVE-2020-1206漏洞,它和之前美國CISA警告有網路攻擊的SMBGhost一樣,出現在Windows 10中 Server Message Block 3.1.1(SMBv3)協定對特定訊息處理不當。未授權的遠端攻擊者可設立一臺惡意SMBv3伺服器,誘使用戶連結以傳送惡意封包以開採漏洞。成功開採CVE-2020-1206可讓遠端攻擊者讀取Windows核心記憶體內容,因而又被稱為SMBleed漏洞。和3月釋出修補的CVE-2020-0796漏洞(SMBGhost),兩者如果串聯起來,將可讓遠端攻擊者未經驗證在Windows 10電腦或伺服器上執行任意程式碼SMBleed漏洞影響Windows 10 1903、1909以及Server 1903、1909及2004版。此漏洞已經修補,但如果用戶來不及安裝,微軟建議關閉SMBv3壓縮功能,以封鎖未驗證人士的開採行為。
 
本月還修復了一個影響SMBv1的RCE漏洞,為CVE-2020-1301,該漏洞被EternalBlue利用並引發了在2017年震撼全球的WannaCryptor。另外還有SMB漏洞的2020-1284,這是SMBv3中的拒絕服務漏洞,攻擊者可能利用該漏洞破壞易受攻擊的系統。
 
ESET資安專家建議您盡快進行所有的更新,若有任何資安需求,歡迎洽詢ESET資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://www.eset.tw/
 

13家知名品牌路由器及NAS設備被發現125個安全漏洞


一家名為獨立安全評估者(Independent Security Evaluators,ISE)之美國公司的研究人員針對從一般消費者的設備到企業使用的高端設備進行研究測試並發布報告,發現有13家品牌的小型辦公室/家庭辦公室(SOHO)路由器和NAS(Network-Attached Storage)設備中,共有125種可被遠程攻擊者利用的不同漏洞,大家熟知的品牌(大廠)皆榜上有名,而這可能意味將有數百萬個設備容易遭受駭客攻擊。
 
測試報告中指出這13個設備中至少有一個Web應用程式漏洞,例如跨站腳本程式攻擊(XSS),作業系統命令注入(OS CMDi)或SQL注入(SQLi),攻擊者可利用這些漏洞獲取遠程訪問設備以及訪問設備的管理面板的權限;另外在其中12個設備上獲得了 root shells,從而能夠對設備進行完全控制;還有6個無需身份認證就可以被攻擊者遠程利用的設備。
 
目前,大部分廠商都已對此做出回應,但仍有小部分廠商沒有做出任何解釋。為了增加路由器的安全,ESET資安專家建議如下,
1.更改路由器的密碼(字母加數字的高強度密碼)
2.路由器預設的管理IP修改為自己指定的特殊IP;開啟路由器MAC位址過濾功能,只允許已知設備連入
3.關閉設備本身的WPS PIN碼與UPnP機制
4.常登錄路由器管理後台,看看有沒有不認識的設備連入了WIFI,如果有,及時將其清除
5.注意韌體更新,減少設備漏洞威脅
6.安裝知名且專業的資安產品(非常重要!!!), ESET Internet Security網路安全套裝配備【掃描路由器】功能,可協助在連線至外部網路時,識別駭客攻擊路由器並提高防護等級。
 
 

超過八成的路由器有安全漏洞,用戶有遭受網路攻擊之風險

您知道嗎?!您使用的Wi-Fi路由器,其中所蘊含的安全性漏洞可能使您暴露於一系列的威脅之中!!!

據美國消費者研究院(ACI)調查顯示,美國家庭和辦公室所使用的Wi-Fi路由器中,超過八成(83%)由於韌體未能及時得到更新及彌補安全性漏洞,讓使用者面臨遭受網路攻擊的風險。 

美國消費者研究院是在抽樣測試了美國市場上現售、來自14家廠商的186台居家辦公Wi-Fi路由器後,得出上述令人不安的資料。

“我們運用Insignary公司的Clarity掃描工具分析後發現,在186台抽樣路由器中,有155台(83%)被發現存在韌體安全性漏洞、可能遭受網路攻擊,平均每台路由器上的漏洞數量達到172個,由已認定存在漏洞的155台路由器平攤的話,則每台路由器平均漏洞數量高達186個,”這篇名為《保障物聯網設備安全:您使用的Wi-Fi路由器安全性如何?》的報告稱,從而使已知安全性漏洞總數剛好超過32,000個。

使用者風險涵蓋個人資訊洩露,可能進一步引發盜用身份或網路欺詐等惡意活動,同時路由器被操控後,可作為向網內和網外其他設備發起攻擊的平臺。 

所有漏洞並非蘊含同等的安全威脅,按照全美漏洞資料庫漏洞分級標準(低、中、高及危險)來劃分,已檢測到的安全性漏洞中,屬於危險的占7%, 高風險的漏洞為21%,中風險漏洞則為60%。平均而言,發現每台路由器分別存在12個危險級及36個高風險級安全性漏洞。

鑒於開放原始碼的日益依賴,被認為是導致路由器韌體間產生安全性漏洞的首要關鍵因素之一;另外廠商推出安全更新修補的速度往往過慢,甚至完全不發佈更新修補,還有就消費者而言,往往沒有想到要更新路由器韌體及意識到其中存在安全性漏洞。 

路由器(及其接駁網路)所面臨的威脅並非是純粹的假設。就在最近四個月前,就曾發生過五十多個國家境內的數十萬台路由器,被名為VPNFilter的惡意程式大規模感染的事例;

還有2016年10月21日發生的一系列DDos攻擊被廣泛報導的事件,使美國不少互聯網活動受到嚴重干擾,其中就有安全機制欠缺的家用路由器,被用來部署僵屍網路、協同發起攻擊。幾周後,德國電信公司名下的多達90萬名用戶,因路由器感染了上月DDos攻擊幕後黑手的同一Mirai僵屍網路惡意程式,而被迫下線長達兩天。

為了增加路由器的安全,ESET資安專家建議如下,

1.更改路由器的密碼(字母加數字的高強度密碼)

2.路由器預設的管理IP修改為自己指定的特殊IP;開啟路由器MAC位址過濾功能,只允許已知設備連入

3.關閉設備本身的WPS PIN碼與UPnP機制

4.常登錄路由器管理後台,看看有沒有不認識的設備連入了WIFI,如果有,及時將其清除

5.注意韌體更新,減少設備漏洞威脅

6.安裝知名防毒軟體(非常重要!!!), ESET Internet Security網路安全套裝配備【掃描路由器】功能,可協助在連線至外部網路時,識別駭客攻擊路由器並提高防護等級。

(欲了解產品:https://www.eset.hk/home/

原文出處:https://www.welivesecurity.com/2018/10/08/routers-firmware-flaws-leave-users-risk/

臉書爆發史上最大漏洞攻擊,全球高達5,000萬用戶個資恐遭駭客竊取

臉書(Facebook)於上周五(9月28日)爆出史上最大漏洞攻擊,因為更新影片上傳功能程式碼出現開採漏洞,導致全球至少5,000萬名臉書帳戶資訊恐遭駭客竊取。而這個開採漏洞,是來自於去年(2017)7月更新影片上傳功能的程式碼時出現的安全漏洞,讓駭客得以經由此漏洞,間接利用臉書頁面特定用戶檢視角度(View As)功能,取得臉書用戶登入存取令牌(access tokens),token 可以讓用戶每次登入時能自動登入,不需要重新輸入帳密才能登入,駭客取得token後,等於是,就能繞過登入驗證機制,進而掌控用戶管理權限,竊取個人資訊。

如果您沒有受到影響,ESET資安專家建議,

1.開啟臉書網頁,在右上方的下拉式清單中選擇「設定」,在設定頁面中選擇「帳號安全和登入」。檢查「您登入時所在的位置」當中,是否有陌生的裝置或是登入位置。若是想更保險一點的話,可以展開清單,並點選清單右下角的「登出所有連線裝置」,手動重設所有認證。

2.更謹慎的話,您可以更改密碼 – 可使用下方的「更改密碼」功能修改密碼,並且啟用「使用雙重驗證」功能,進一步保證帳號安全。

此外,請注意利用此事件可能發生的網絡釣魚攻擊,其中歹徒可能會試圖冒充Facebook,誘騙您點擊惡意鏈接或下載病毒附件。最後,溫馨提醒您在社交媒體上分享私人訊息時還是要謹慎小心。

 

欲看全文: https://www.welivesecurity.com/2018/10/01/50-million-facebook-users-breach/

微軟Edge瀏覽器漏洞,可被惡意網站用來洩露個人電子郵件

 
 
Google的開發人員發現了一個影響微軟Edge及Mozilla Firefox網頁瀏覽器的一個高嚴重的安全性漏洞,它可能被允許遠端攻擊者甚至讀取你的的私人資訊。
 
這可是個大bug,它意味著如果您使用Edge瀏覽器造訪網站,其網站就可以讀取您的私人電子郵件、 您的Facebook資訊,而您卻全然不知。
 
該漏洞可令遠端攻擊者通過受害者瀏覽器之中的其他分頁讀取資料,這也包含要求使用者進行身份驗證的網站等。
 
四大主要的瀏覽器中,這一安全性漏洞主要影響微軟Edge流覽器,而微軟也在獲悉Google開發人員所反應的漏洞資訊後,隨即在2018年6月例行性安全更新中修補了此一漏洞;對於Firefox而言,只有公測版受此影響,Mozilla在該漏洞波及到Firefox穩定版用戶之前,就緊急發佈了修正程式。
 
關於此漏洞
 
該漏洞涉及到瀏覽器對多媒體內容跨域請求的處理機制。當惡意網站通過Service Workers,載入另一網域<audio>標籤之中內容的同時,運用“range”參數只調取該檔的部分區段,便可觸發該漏洞。
 
在借助Service Workers機制,載入源自其他路徑的<audio>標籤內部檔,使惡意網站能夠獲取另一網站內容且不被察覺之方面,不同瀏覽器對此反應不一。
 
引誘受害者造訪網站後,攻擊者便能有效規避名為CORS(Cross-Origin Resource Sharing,跨來源共用機制)的瀏覽器安全機制,使之無法正常阻止網站獲取其他網站內容的造訪權。
 
微軟將該漏洞列為“安全功能規避性漏洞,當Edge瀏覽器無法正確處理多來源請求時便會存在。”並提到“攻擊者在成功利用此漏洞後,便能迫使流覽器發送原本限制上傳的資料,”。
 
由於該漏洞已經發佈更新修補,ESET資安專家強烈建議用戶確認已升級該瀏覽器最新版本並使用專業的ESET資安產品,來保護您的個人重要資料。