資安一周第14期:企業版Chrome 70將改以分階段阻擋第三方軟體程式碼注入。AWS修補IoT平臺FreeRTOS安全漏洞

Oct 23, 2018iThome

除了釋出一般版的Chrome 70,Google接著也發布了Chrome Enterprise 70,除了更改在Chrome 69中,Google網站與Chrome連動登入的設定之外,對於之前宣布要在70版全面阻擋第三方軟體程式碼注入的決定,現在Google決定改為分階段執行。

Google從去年開始,一直在討論第三方軟體影響Chrome穩定性的議題,而在Chrome 69,Google宣布要徹底解決這個問題,因此原本預計要在Chrome 70中全面終止第三方軟體程式碼注入,但由於企業用戶的反彈,認為這樣的改變過於劇烈,因此Google隨著這次Chrome 70的釋出,宣布將以分階段的方式執行這項政策。更多內容

行動安全業者Zimperium揭露,熱門的IoT平臺FreeRTOS含有13個安全漏洞,可能造成遠端程式攻擊、服務阻斷及資訊外洩,危及FreeRTOS、AWS FreeRTOS、OpenRTOS及SafeRTOS等版本,只要是採用相關平臺的智慧家電或重大基礎設施都可能面臨安全風險。

FreeRTOS為知名的即時作業系統核心,被歸類為IoT及嵌入式平臺,經常被用在微型控制器及小型微型處理器上,它是個開源專案,迄今已被應用在40種硬體平臺上。

至於Amazon Web Services(AWS)則是因提供愈來愈多支援IoT應用的雲端服務,而在去年11月乾脆直接取得了FreeRTOS核心及元件的管理權,FreeRTOS作者Richard Barry也加入AWS擔任IoT裝置服務的首席軟體開發人員。

迄今FreeRTOS仍然維持FreeRTOS及Amazon FreeRTOS兩個版本,不過,Amazon FreeRTOS並非是FreeRTOS的分支,而是仍以同樣的FreeRTOS核心為基礎,只是延伸提供了內含支援本機和雲端連線、安全與無線更新的軟體程式庫,不論是FreeRTOS核心或Amazon FreeRTOS都是由AWS負責維護。

根據Zimperium的分析,這13個漏洞藏匿在FreeRTOS的TCP/IP元件與AWS安全連結模組中,而同樣的漏洞也出現在由WHIS打造的商業版OpenRTOS與強調安全性的SafeRTOS版本的TCP/IP元件內,相關漏洞允許駭客讓裝置當機、自裝置記憶體存取資訊,或是從遠端執行程式。更多內容

年初的Meltdown、Spectre漏洞及後來的更新造成PC效能驟降,讓許多用戶不知要不要更新,還好Google開發出不會影響PC效能Retpoline。現在微軟決定將之加入到代號191H的下一代Windows 10重大更新中。

工程師Alex Ionescu首先以他自己開發名為SpecuCheck的Windows工具發現,他一臺Surface Pro 4安裝的Windows 19H1已啟動Retpoline核心,使其檔案系統的傳輸速度大為提升。

隨後微軟工程師Mehmet Iyigun在推特上坦承,19H1的確在微軟稱之為「匯入最佳化」(import optimization)的過程中預設啟動Retpoline以進一步降低核心模式下因間接呼叫導致的效能降低情形,這將可使Spectre v2修補程式的效能影響減少到噪音水準(noise-level)。

一月Google Project Zero揭露的Spectre變種2漏洞,最初修補程式因為關閉CPU的推測執行和其他功能,導致安裝後電腦效能大幅降低,而Retpoline另闢蹊徑,幾乎不會造成效能損失。更多內容

一名代號為GeoCold "Mischief-Maker "的白帽駭客,在10月9日放話要在10月13日針對加密貨幣Einsteinium進行51%攻擊,而且要直播供全球用戶知道51%攻擊其實很容易執行,最後GeoCold的確履行了他的承諾,只不過攻擊的對象換成了Bitcoin Private(BTCP),並成功掌握了70%的採礦效能。

51%攻擊(51% Attack)指的是針對區塊鏈的攻擊行動,當一群惡意的礦工擁有特定區塊鏈網路超過半數的採礦效能(hash rate)時,就有能力控制、排除或變更交易的排序,並可能執行雙重支付(Double-spending),以同樣的代幣執行兩次的交易,通常是用來訛詐加密貨幣交易中心。更多內容

警政署日前舉辦第二屆「智慧警政安全管理研討會」會議。警政署資訊室主任蘇清偉表示,隨著網路犯罪的橫行,加上資安管理法通過,要順利偵破網路犯罪案件,後端必須要有強大的犯罪資料庫以及警政大數據分析平臺。

蘇清偉指出,這套警政大數據分析平臺是透過人工智慧的演算法,結合警政署原本就已經有的犯罪資料庫做分析比對。犯罪資料庫將資深員警的犯罪偵查經驗,一路從資料蒐集、檔案建立、手法解讀,進一步到案件分析與相關手法應用等建檔後,利用大數據分析平臺,針對各種犯罪手法做分析,找出有沒有重複或類似的犯罪手法,甚至是使用類似或相關的工具等等。接著,透過系統分析的抽絲剝繭找出案件之間的關連性,都有助於第一線員警提高犯罪偵查的效率。更多內容

資安業者Group-IB近日公布了2018年的《高科技犯罪趨勢報告》(Hi-Tech Crime Trends 2018),指出在2017年到2018年間,總計有14起加密貨幣交易中心遭到駭客入侵的案件,駭客盜走了價值8.82億美元的加密貨幣,當中有5起與北韓駭客集團Lazarus有關,占了不法所得中的5.71億美元。

根據The Next Web所公布的報告內容,在這14起攻擊案件中,南韓為受創最嚴重的國家,有7起受害的加密貨幣交易中心位於南韓,Lazarus即涉及其中的5起,另一起Lazarus的攻擊對象則是日本的Coincheck。

駭客通常透過魚叉式網路釣魚、社交工程及惡意程式等手法展開攻擊,等到成功滲透至企業網路之後,再尋找存放私有加密貨幣錢包的工作站與伺服器。

Group-IB預期鎖定加密貨幣交易中心的攻擊行動將會與日俱增,不只是Lazarus,包括Silence、MoneyTaker及Cobalt等駭客集團也都把目標相準了加密貨幣交易中心。更多內容

來自波蘭西里西亞技術大學(Silesian University of Technology)的研究人員Błażej Adamczyk在近日揭露了影響8款D-Link路由器的3個漏洞,同時釋出相關漏洞的概念性驗證攻擊程式以及展示影片,不過,D-Link只承諾將修補了被這批漏洞所波及的2款產品,因為其它6款產品的生命周期已經結束。

Adamczyk所發現的3個漏洞分別為CVE-2018-10822、CVE-2018-10824與CVE-2018-10823,其中的CVE-2018-10822屬於目錄穿越(Directory Traversal)漏洞,允許駭客進入存放管理憑證的文件夾,CVE-2018-10824漏洞則是以明文存放管理員密碼,CVE-2018-10823是個Shell命令注入漏洞,讓已通過身分驗證的駭客得以在裝置上執行任意程式,結合這3個漏洞即可讓Adamczyk完全掌控所入侵的路由器。

這些漏洞影響了D-Link主打SOHO族群的8款DWR系列產品,涵蓋DWR-111、DWR-116、DWR-140、DWR-512、DWR-640、DWR-712、DWR-912與DWR-921,不過D-Link只承諾要修補DWR-111與DWR-116。更多內容

哥倫比亞安全研究人員發現Windows有個RID綁架漏洞,可讓駭客以他人帳號取得受害電腦的管理員控制權,然而這個存在至少10個月的漏洞都未獲得修補。

安全公司CSL執行長Pedro Garcia於去年12月發現到這個RID綁架(RID hijiacking)漏洞。RID(Relative Identifier,相對識別碼)是加上用戶帳號安全識別碼(SID)後,描述電腦或網域允許的帳號。常見的RID是代表內建管理員帳號的500或代表Guest的501。

Garcia為測試攻擊撰寫了一個Metasploit模組。他發現,只要對Windows PC傳送meterpreter session即可改寫Windows機碼,進而修改和用戶帳號下的RID,並為另一個帳號群組建立另一組RID。研究人員表示,雖然這個方法不能引發遠端程式碼執行或感染,但是一旦駭客可藉由惡意程式或暴力破解電腦帳戶密碼,駭客就可以為原本低權限的用戶帳號賦予管理員權限,因而成為Windows PC上的後門。

由於機碼是永久存在的,因此任何竄改在被修復之前都是有效的。此外,本攻擊手法在Windows XP、Server 2003、Windows 8.1和Windows 10系統上都可以試驗成功。

Garcia指出,這種手法完全利用OS資源,並未引入外部惡意程式,故也不會引發系統警告。只有在檢視登錄檔(registry)時檢查到安全帳號管理員(Security Account Manager,SAM)有不一致時才可能發現。更多內容

由臺灣HITCON在10月20日~21日舉辦的線上解題形式(Jeopardy)的CTF比賽,也是全球搶旗攻防賽(CTF)聖殿DEF CON CTF新的主辦單位O.O.O.(Order-of-the-Overflow)所指定的第一個種子賽事,獲得種子賽冠軍的隊伍,可以直接晉級於2019年8月在美國拉斯維加斯舉辦的DEF CON CTF總決賽。

此次由波蘭強隊Dragon Sector獲得HITCON CTF線上解題比賽的冠軍,率先取得入圍2019年DEF CON CTF決賽的門票;2018年DEF CON CTF決賽冠軍隊伍的美國隊PPP,則獲得第二名;而臺灣新生代CTF戰隊BFKinesiS表現不俗,打敗全球將近一千八百個隊伍,獲得第三名的好成績。

臺灣新生代CTF戰隊BFKinesiS,在持續48小時的比賽中,甚至曾經名列第一名及第二名多時,臺灣HITCON CTF領隊李倫銓表示,BFKinesiS可以在這麼激烈的競爭下脫穎而出,也證明臺灣過去三年以來,從學校開始投入培育各種的資安人才,以及政府部門開始重視這類的資安競賽,也讓臺灣資安人才培育慢慢開始展現培育成果。更多內容

蘋果CEO庫克呼籲彭博撤回間諜晶片報導

Firefox Nightly支援加密SNI,能隱匿用戶的瀏覽歷史紀錄