2017年6月22日 星期四

106 年 5月份 TWCERT/CC資安情資月報

在TWCERT/CC近期動態部分,本中心於本月參與Symantec ISTR 22年度發表會,並預計在下月參與第十二屆國際健康資訊管理研討會及IRCON 2017研討會,會中將亦針對資安議題進行發表。
在資安政策方面,金管會資安中心將於下月成立,另因應勒索病毒,除微軟官方公布修復程式,行政院亦指出部會電腦更新至最新狀態。資安威脅方面,綜合所得稅網路報繳稅系統不會發送任何電子郵件給民眾,提醒民眾請勿上當受騙,另使用影音撥放器撥放字幕要小心,駭客可能透過撥放器漏洞執行惡意程式,而FBI也提醒企業用戶如何提防釣魚郵件,近期亦發現Microsoft Windows作業系統及Google Chrome瀏覽器存在處理SCF檔的弱點。
在駭客攻擊事件方面,勒索軟體 WanaCrypt0r 2.0 攻擊全球 Windows 系統漏洞、另HKCERT也警告,需特别防範一種透過惡意 PDF 附件傳播,名為「Jaff」的勒索軟體;而本月出現新型駭侵手法,包括假冒Google Doc分享郵件連結騙取Google帳號;在個資外洩方面,雄獅旅遊36萬筆個資外洩,四個月內購買的民眾須防範詐騙。
在軟硬體漏洞部分,Firefox、Intel、Joomla!、Microsoft、WordPress及VMware皆存在漏洞,並需進行安全更新。
在資安研討會及活動部分,OWASP Taiwan Day 2017、台灣誘捕網技術研討會(HoneyCon 2017)、台灣雲端安全聯盟台灣年會(CSA Taiwan Summit 2017)等活動皆已可開始報名,歡迎大家踴躍參加。
在本月份事件通報統計部分,分別介紹通報來源統計圖、攻擊來源統計圖及攻擊類型統計圖等統計數據。 

TWCERT/CC近期動態

1、將於5月11日參與Symantec ISTR 22年度發表會

5月11日TWCERT/CC參加Symantec ISTR 22年度發表會,王蓮淨分析師於會中分享「105年度TWCERT/CC資安事件通報分析報告」。TWCERT/CC以去年一整年度來看,台灣通報情資仍以殭屍電腦情資為最大宗,Symantec也表示:「104年度台灣殭屍電腦的狀況在全球排名第3名,但今年可能因為國人之資安意識有逐漸提高,因此105年度台灣殭屍電腦在全球排名降至第18名。」
另外,TWCERT/CC 陳永佳執行長與Symantec台灣區總經理莊昊龍於會中進行洽談,討論TWCERT/CC與Symantec後續合作面向。



   

2、將於6月2日至3日參加2017第十二屆國際健康資訊管理研討會

TWCERT/CC將於6月2日至3日參加2017第十二屆國際健康資訊管理研討會,會中將分享「資訊安全與台灣電腦網路危機處理暨協調中心」。

3、將於6月5日參加IRCON 2017研討會

TWCERT/CC將於6月5日參加IRCON 2017研討會,會中將參與座談會針對「網路世界的新挑戰-勒索軟體世代來臨」議題進行討論,另也於會中針對「推動民間資安通報新思維-資安聯防全面啟動」進行分享。


國內外重要資安新聞

國內外資安政策、威脅與趨勢

1、綜合所得稅網路報繳稅系統不會發送任何電子郵件給民眾,提醒民眾請勿上當受騙

●TWCERT/CC提醒民眾:
(1) 勿隨意點選以報稅名義的電子郵件內的網路連結或附件。
(2) 網路報稅軟體請至財政部官方網站下載。
(3) 為確保網際網路連線機制之安全性,電子報稅系統將配合財金資訊股份有限公司之線上繳稅系統,請納稅義務人使用TLS V1.1或V1.2加密通訊協定。 
可參考財政部官方網站的設定教學:
http://tax.nat.gov.tw/db/news/news_3.html
●提供官方下載報稅程式網址:
(一)財政部電子申報繳稅服務網站(http://tax.nat.gov.tw)
(二)財政部財政資訊中心網站(http://www.fia.gov.tw)
(三)財政部臺北國稅局網站(http://www.ntbt.gov.tw)
(四)財政部高雄國稅局網站(http://www.ntbk.gov.tw)
(五)財政部北區國稅局網站(http://www.ntbna.gov.tw)
(六)財政部中區國稅局網站(http://www.ntbca.gov.tw)
(七)財政部南區國稅局網站(http://www.ntbsa.gov.tw)
 (資料來源:聯合財經網、三立新聞網)


2、因應WannaCrypt攻擊,微軟官方公布Windows Server 2003及XP修復程式

雖然微軟已經停止支援Windows Server 2003及XP等作業系統的漏洞修補許久,但尚有許多客戶仍使用已不支援之Window版本,為了因應此次WannaCrypt勒索軟體大量攻擊之特殊狀況,微軟破例提供以下數項作業系統之修補程式,若有使用以下作業系統之使用者可至連結中下載修補程式,以免遭受病毒攻擊。
修補程式下載連結:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
●Windows Server 2003 SP2 x64 : 
https://www.microsoft.com/zh-TW/download/details.aspx?id=55244
●Windows Server 2003 SP2 x86 : 
https://www.microsoft.com/zh-TW/download/details.aspx?id=55248
●Windows XP SP2 x64 : 
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
●Windows XP SP3 x86 : 
https://www.microsoft.com/zh-TW/download/details.aspx?id=55245
●Windows XP Embedded SP3 x86 : 
https://www.microsoft.com/zh-TW/download/details.aspx?id=55247
●Windows 8 x86 : 
https://www.microsoft.com/zh-TW/download/details.aspx?id=55246
●Windows 8 x64 : 
https://www.microsoft.com/zh-TW/download/details.aspx?id=55249
另其他作業系統的修補程式可從下列連結取得修補程式:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
●Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10, Windows Server 2012 R2, Windows Server 2016 請參考以下連結,更新至微軟發佈的MS17-010即可
https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx
(資料來源:Microsoft)
 

3、因應勒索病毒,行政院:部會電腦更新至最新狀態

針對勒索病毒,行政院資通安全處今日表示,至目前為止,國內政府機關、醫療院所或公共設施,沒有傳出受到攻擊的情形。
但為了積極防範,資安處表示,政府採取最新因應作為, 今天請各部會資訊主管在上班前,先檢查機關內電腦更新至最新狀態;今天將勒索病毒連結的主機網址,直接在GSN(政府網際服務網,Government Service Network)中阻擋。
資安處指出,請金管會與金融機構、通傳會與電信業者及衛福部與醫療院所,保持密切聯繫,若有狀況,應即時因應並通報行政院,行政院會適時支援。
(資料來源:自由時報)


4、金管會資安中心將於下月成立

財政部長許虞哲在立法院表示,財資中心申報系統與資料在此次WanaCry勒索病毒攻擊事件中皆無遭駭疑慮,但民眾仍要留意自己的電腦是否更新軟體,防止遭駭。金管會資訊服務處處長蔡福隆昨日也表示,金管會編列預算建置的「金融資安資訊分享與分析中心」將於下(6)月成立,發揮預警、聯防與應變等功能。
蔡福隆在出席台灣金融研訓院舉辦的前瞻金融科技監理與資訊安全論壇後指出,金融資安資訊分享與分析中心將採委外營運模式,擬從金管會周邊單位擇一辦理。據了解,財金公司將挑此大樑。
(資料來源:聯合財經網)


5、Microsoft Windows作業系統及Google Chrome瀏覽器存在處理SCF檔的弱點,導致攻擊者取得使用者帳號與密碼

介殼命令檔(Shell Command File,以下簡稱SCF)主要是用來開啟檔案總管或是顯示桌面的捷徑檔。
研究人員Bosko Stankovic發現Windows作業系統與Chrome瀏覽器在處理SCF檔時,Chrome瀏覽器預設是將SCF檔視為安全的檔案,不需提醒使用者即自動下載此類型的檔案,若攻擊者在網頁中嵌入惡意的SCF檔案,使用者透過Chrome瀏覽器造訪惡意的網頁時,就會自動下載該惡意SCF檔案至使用者電腦中,下載完成後,當使用者開啟存放此檔案之資料夾時,Windows作業系統將自動執行SCF檔案,並嘗試自動登入到攻擊者所架設之SMB伺服器,導致攻擊者可藉此取得使用者所傳送之帳號與密碼資訊。
●影響平台:
(1) 所有的Windows作業系統版本
(2) 所有的Chrome瀏覽器版本
●建議措施:
(1) 目前因Microsoft官方(https://technet.microsoft.com/en-us/security/bulletins.aspx)與Google官方(https://chromereleases.googleblog.com/)尚未釋出修復之版本,所以仍請密切注意更新之訊息
(2) 請勿瀏覽可疑網站與留意惡意SCF,若發現不預期之SCF檔案下載行為,請予以拒絕。建議啟用Chrome瀏覽器的「下載每個檔案前先詢問儲存位置」機制,以讓使用者決定是否下載,設定方式如下:
(設定->進階設定->下載->勾選「下載每個檔案前先詢問儲存位置」)
(3) 請檢視防火牆設定,確認阻擋Port 139與445之對外連線,以避免不慎執行SCF檔案時,洩漏帳密資訊到攻擊者所架設之SMB伺服器。
(資料來源:IThome、DefenseCode、The Hacker News)
 

6、使用影音撥放器撥放字幕要小心,駭客透過撥放器漏洞執行惡意程式

以色列資安業者Check Point發現,駭客可能透過特製的惡意字幕檔及媒體播放器/串流平台的漏洞取得使用者裝置的控制權,遠端執行任意代碼,受影響的撥放器包含:VLC、Kodi、Popcorn-Time與strem.io等。
根據Check Point業者2017年5月23日整理,目前Kodi、VLC及Stremio官方已發佈修正版本,建議使用者更新至最新版,以降低遭駭風險。

●TWCERT/CC建議使用者更新撥放軟體至官方最新版
(1) Kodi
https://kodi.tv/download
(2) VLC
http://get.videolan.org/…/2.2.5…/win32/vlc-2.2.5.1-win32.exe
(3) Stremio
https://www.strem.io/
(資料來源:IThome、Check Point Blog)


7、FBI提醒企業用戶如何提防釣魚郵件

美國聯邦調查局(FBI)於2017年5月30日發布"建立電子郵件的數位堡壘(Building a Digital Defense with an Email Fortress)"的文章,提醒企業使用電子郵件時應注意事項,如何提防駭客透過社交工程或詐騙的方式,誘使企業用戶點選釣魚郵件的連結或附件。
駭客通常透過詐騙(社交工程)手法,以"看起來合理的電子郵件"誘騙您瀏覽該郵件並點選其附件或連結(駭客可能也已經駭取其他聯絡人之帳戶作為收件者,以取信您),一旦您開啟惡意附件或惡意連結,駭客即可能下載惡意程式,以竊取使用者帳號密碼、客戶資料、金融交易資料等敏感資訊。

●TWCERT/CC提醒企業用戶可參考FBI發布之注意事項,降低釣魚郵件造成的風險:
(1) 勿使用免費申請的電子郵件,企業應該建立自有的郵件伺服器及其網域。
(2) 確保防火牆、防毒軟體及垃圾郵件過濾機制有正確啟用並且能夠更新至最新版本。
(3) 當發現可疑郵件,應該立即回報並刪除可疑郵件,尤其特別注意不請自來的信件。
(4) 若您收到一封看起來是合理聯絡人寄來的信件時,仍應保有警覺性。建議用"轉寄(forward)"而非"回復(reply)"的方式回復此封信件,此舉可以讓您手動填入已知的收件人,以確認此寄件者是否在您已建立的聯繫清單中。
(5) 請勿在收到信件時就立刻點選該信件瀏覽其內容。駭客經常使用"人們收到信件時就迫不及待開啟來看"的人性弱點,企業用戶應提高警覺才讀取信件。
(6) 企業可考慮與員工之信件往來時,建置雙因子認證方式使用電子郵件。
(7) 建立企業信件的使用習慣,例如您習慣以ABC_company[dot]com,當收到ABC-company[dot]com之信件或內容時,應提高警覺此郵件是否合理。
(8) 確保您的電子郵件在傳輸中有加密機制,尤其在傳輸敏感資訊時。
(資料來源:FBI、US-CERT)


駭客攻擊事件及手法

1、新手法,假冒Google Doc分享郵件連結以騙取Google帳號

近期如在 Gmail 收到類似「某某人邀請您編輯以下這份文件」,切勿輕易點擊連結,可能是盜取帳號的惡意連結。
如點擊該連結,會導向Google要求同意存取權限的頁面,一旦按下同意,駭客能立即取得該帳號所有權限以及聯絡人等相關資料。 過程完全不需得到受害者的密碼,因為那個請求存取帳戶權限的“Google Doc”應用程式是由駭客建立和控制假的惡意APP
當帳號被駭客所控制後,便會立即代替你發送更多釣魚郵件給你帳號中其他的聯絡人。帳戶服務中設定用來恢復帳號的您的其他Email帳號也可能被駭客拿來利用,包括蘋果,Facebook和Twitter等的帳號。
Google已將該惡意連結APP設定為黑名單,且真正的 Google Doc 邀請連結不會請求存取您的 Gmail 帳戶權限。
如不幸已經點擊該連結並按下同意,以下方法可以從您的Google帳號中移除該詐騙權限:
(1) 登入Google帳號後進入帳號設定。
(2) 進入「登入和安全性」。
(3) 點選「已連結的網站與應用程式」,在列表中找出該惡意 Google Doc 應用程式並移除。
也可直接進入「https://myaccount.google.com/permissions」連結檢視列表並移除。

●TWCERT/CC建議,不要任意開啟不明郵件,任何可疑連結務必先行確認,即使寄件者來自熟識。


2、勒索軟體 WanaCrypt0r 2.0 攻擊全球 Windows 系統漏洞

網路保安公司發現全球多個國家的機構及個人電腦遭受名為「WanaCrypt0r 2.0」的勒索軟體攻擊感染,有別於以往的攻擊方式,據了解該勒索軟體是直接透過系統漏洞進行攻擊,除 Windows 10 及 Server 2016 外,近乎所有 Windows 系統及其伺服器版本均受威脅,安全專家呼籲用戶盡快安裝官方釋出的安全性更新,避免機構及個人電腦受感染。
此勒索軟體的運作模式一如既往,電腦遭受感染後,所有檔案均被加密成副檔名為 .WNCRY 的格式,無法正常開啟讀取資料。檔案加密後亦會彈出相應介面指示受害者需在 3 天內交付價值 300 美元的 Bitcoin 贖金,逾期加倍,若未能在 7 天內交付則再無法恢復檔案。
「WanaCrypt0r 2.0」是透過 Windows 系統內名為 EternalBlue 的 Windows SMB 遠端執行程式碼弱點進行攻擊,成功利用弱點的攻擊者有機會獲得在目標伺服器上執行程式碼的能力。
 
●TWCERT/CC提醒用戶,目前 Windows Defender 已經可以針對發作中的惡意程式WanaCrypt0r,有效的偵測並清除。 大家可以從下列位置下載Windows Defender : https://support.microsoft.com/zh-tw/help/14210/security-essentials-download 
若疑似發現遭感染勒索軟體,務必採取行政院國家資通安全會報所提供之文件說明:立即行動、處理病毒及復原電腦等三階段的處理作業,詳情請參考以下連結: https://drive.google.com/open?id=0B8oCQC6r_SnsN0VZYTE4a21Ra0U 
資安專家亦呼籲機構和個人用戶盡快安裝微軟官方釋出的 MS17-010 安全更新,確保修補今次攻擊中使用到的 SMB 伺服器漏洞。 https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx?f=255&MSPPError=-2147217396#ID0EHB 
使用者也應該要遵循3-2-1規則來備份檔案:建立三份副本,使用兩種不同媒體,一份副本要存放在不同的地方,此外至少有一個系統備份是處於實體隔離的網路環境。 
如有任何相關問題可以通報TWCERT/CC 免付費服務電話 0800-885-066 資安事件通報電話 03-4115387 資安事件通報信箱 twcert@cert.org.tw
 

3、HKCERT警告:特别防範一種透過惡意 PDF 附件傳播,名為「Jaff」的勒索軟體

HKCERT表示,新的勒索軟體「Jaff」正透過大量垃圾郵件方式散播,垃圾郵件主題有固定格式,由一個單字及一組隨機數字組成,中間隔以「底缐」,例如: Copy_12345。目前皆露出的的垃圾郵件主題單字包括:「Copy」、「Document」 、「Scan」、「File」、「PDF」及「Scanned Image」等。
垃圾郵件中有一個 PDF 附件。要求用戶開啟了PDF附件後,再按指示開啟Word檔案;開啟後,用戶將被要求啟動「允許編輯」功能,此時巨集功能將會執行並下載惡意軟體。「Jaff」勒索軟體感染電腦後,將加密電腦上的檔案,及要求用戶繳付兩個比特幣(相等於台幣 108688元)的贖金。
資安公司Cisco Talos表示,「Jaff」在首波攻擊活動中,相關的電子郵件的正文沒有任何內容,僅帶有名為「nm.pdf」的附件,反映出攻擊者在創造惡意郵件時並未花費很大的心思。由於在用戶打開 Word檔案之前,都不會發生任何惡意行為,故在一般沙箱環境中,可能不會觸發感染行為而判定此檔為正常檔案。 

●TWCERT/CC提醒建議用戶採取以下方法來避免受勒索軟體影響 : 
(1) 定期備份並遵循3-2-1規則來備份檔案:建立三份副本,使用兩種不同媒體,一份副本要存放在不同的地方,此外至少有一個系統備份是處於實體隔離的網路環境。
(2) 刪除收到的可疑電子郵件,尤其是包含連結或附件的。 
(3) 確保更新電腦上的防毒軟體。 
(4) 保持更新作業系統及其他軟體。 
(5) 部份微軟Office檔案會要求用戶啟動巨集以觀看其內容,對此類電子郵件附件務必提高警覺。 
(6) 一旦受到感染,馬上將受感染電腦從網路上及外置儲存裝置隔離。在清除惡意軟體前不要開啟任何檔案。 
(7) 不要支付贖金。
 

4、雄獅旅遊36萬筆個資外洩 四個月內購買的民眾防範詐騙

刑事警察局表示,5月23日下午3時已受理雄獅公司報案,經清查,駭客透過內部賬號入侵公司,盜取個人資料,駭客IP位址全來自境外,包含中國大陸、香港及美國。駭客入侵員工電腦作業系統,竊取消費者購買FIT(機票、訂房或自由行)商品訂單資料,可能涵蓋旅客姓名、聯絡電話及購買商品內容,但雄獅強調,旅客資料及所有信用卡交易訊息均未外泄。 
旅行社向警方表示,從今年5月上旬發現公司電腦網路有流量大增、網速降低異狀,當時並不以為意,也曾聯繫工程師維修。
雄獅旅遊集團估計自今年1月1日至5月18日的相關客戶資料都已遭駭,特別呼籲近四個月內購買上述產品的民眾防範詐騙。「雄獅旅遊不會以電話要求提供信用卡資料、或要求至ATM轉帳、或至任一金融機構要求匯款至不明帳戶等動作,亦不會以訂單錯誤或重複交易為理由要求消費者提供帳戶資料。」消費者若有疑問,可撥打至反詐騙專線165或旅行社官方客服電話。
台灣在2017年4月11日也曾傳出可樂旅遊(康福旅行社)個資遭駭,後續傳出假冒旅行社員工遭詐騙集團冒用身分,通知顧客訂單設定錯誤,企圖騙取金錢。
 

軟硬體漏洞資訊

1、特定版本Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689),允許攻擊者遠端獲取系統的控制權限 

英特爾(Intel)主動管理技術(Active Management Technology,AMT)是內嵌於英特爾vPro 架構平台的一項管理功能。其獨立於作業系統外運行,即使主機已經關閉,只要主機仍與電源線和網絡相連,遠端管理人員仍可以存取Intel AMT。而服務管理器(Intel Standard Manageability,ISM)則具有遠端關機、開機、重新開機及監視運行的應用程式等。至於小型企業技術(Small Business Technology,SBT),則具有本機端的軟體監控器、資料備份和復原及省電功能等。
研究人員Maksim Malyutin發現特定Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689)。目前已知攻擊者可在未授權的情況下透過AMT管理技術遠端或本地端獲取系統控制權限。權限諸如開機、關機、讀取文件、檢查正執行的程序、追蹤鍵盤/滑鼠及螢幕晝面等。

2、WordPress零時差漏洞,該漏洞可能導致駭客取得網站控制權

研究人員發現在WordPress的密碼重設信件功能,由於未確保重設郵件只寄給合法網站持有人帳號,讓駭客可修改郵件寄發至用戶端的伺服器主機名稱,因此取得密碼重設郵件,從而獲得網站控制權。駭客可能利用這種漏洞攻擊方式,取得合法網站的密碼重設連結,進而在不需驗證情況下,取得網站控制權。 
 

3、Mozilla發佈Firefox安全更新,該漏洞會導致阻斷服務攻擊

研究人員於Mozilla Firefox發現一個漏洞,該漏洞是由於ANGLE圖形庫的API有漏洞,可能導致瀏覽器崩潰。駭客可能利用這種漏洞攻擊方式,於目標系統執行任意程式碼和觸發阻斷服務狀況。


4、微軟惡意程式防護引擎(Microsoft Malware Protection Engine)存在允許攻擊者遠端執行程式碼之漏洞(CVE-2017-0290),進而取得系統控制權,請儘速確認防護引擎版本並進行更新

微軟自Windows 7版本起內建Windows Defender程式,藉由即時監控、阻擋、隔離或刪除惡意程式功能,保護電腦免於惡意程式危害。
本次存在漏洞之惡意程式防護引擎(Microsoft Malware Protection Engine,簡稱MsMpEng)為Windows Defender核心元件,亦是Microsoft Forefront與Microsoft Security Essentials等微軟安全產品的核心元件。
MsMpEng中負責掃描與分析的核心元件稱為mpengine,其中NScript是mpengine的元件,用於檢測任何看起來像是JavaScript的文件。
Google Project Zero成員Tarvis Ormandy與Natalie Silvano發現MsMpEng 1.1.13701.0(含)以前的版本,如果系統啟用即時保護(預設開啟)功能,攻擊者透過傳送特製檔案,MsMpEng自動掃描該檔案時,因NScript無法正確的解析檔案,導致攻擊者可透過檔案中的JavaScript程式碼利用該漏洞執行任意程式碼,進而獲取系統控制權。
 

5、Joomla!發佈安全更新,該漏洞會導致SQL注入

資安公司Sucuri揭露,開源網站內容管理系統Joomla!的3.7版本含有一項SQL Injection漏洞(漏洞號碼為CVE-2017-8917),駭客不需要取得受害者網站的管理權限,就能夠竊取網站管理員的密碼。這項漏洞主要是3.7版本中,引入了一個新元件com_fields,駭客可以利用網站的URL來修改參數,鎖定SQL Injection漏洞發動攻擊。
 

6、VMware發佈安全更新,該漏洞會導致權限提升 

本次安全更新修補了VMware Workstation Pro/Player之系統漏洞,包含CVE-2017-4915和CVE-2017-4916。
研究人員發現,Linux上的VMware Workstation Pro與Player 12.x兩項產品的函式庫存有CVE-2017-4915這項「重要漏洞」,允許駭客利用ALSA音效驅動程式配置的檔案,來取得受駭電腦的使用權限。另一項漏洞編號為CVE-2017-4916,也存在相同的2項產品,被評定為「中等(moderate)漏洞」,駭客可以利用這種漏洞攻擊方式,透過vstor2驅動程式中的NULL pointer dereference來發動DoS攻擊。


7、Windows NTFS漏洞,可能導致阻斷服務 

Security Tracker 最近公布發現一個 Windows 所使用的檔案系統 NTFS 的漏洞,有心人只要在網頁上寫上一段很簡單的圖檔程式碼,就可以令以 Internet Explorer ( IE )來閱覽該網頁的電腦當機。這個漏洞是來自 NTFS 的 MFT ( Master File Table ),這是用來紀錄 NTFS 系統裡所有檔案的檔名和位置等資訊。這個漏洞可以讓遠端電腦去嘗試存取 MFT,雖然這不會成功,但就會令電腦一直處於處理中狀態,最終導致當機。
駭客可能利用這種漏洞攻擊方式,於目標網頁放置特製的HTML(<img src="file:///c:/$MFT/XYZ"></img>),導致網頁崩潰。
 

資安研討會及活動

時間
研討會名稱
研討會相關資料
106/07/11
OWASP Taiwan Day 2017
主辦單位:台灣雲端安全聯盟、OWASPThe Honeynet Project (Taiwan Chapter)
日期:2017711
地點:集思台大會議中心(台北市羅斯福路四段85B1)  
線上報名期間:
2017/06/01 08:00(+0800) ~
2017/07/07 20:00(+0800)
活動概要:
OWASP(Open Web Application Security Project)為全球主要針對開放網頁應用程式安全進行研究的非營利組織,目前已有超過45,000名的志願參與者,針對頁應用程式相關的資安問題,進行關鍵的研究並發佈相關的研究成果,對於現今以網頁程式運作為主的資訊環境,更顯得OWASP正扮演著舉足輕重的角色;今年OWASP重新啟動台灣分會的運作,希望以更積極主動的方式,將國際間的熱闁資安議題,以及研究的成果,透過社群活動、大型會議等方式,分享給國內的參與者,OWASP台灣分會依循全球一致的原則,以中立的角色連結產管學研界,希望凝聚國內資安社群的能量,以接軌國際資安社群,能夠同步發佈全球已公開的研究資料,將有助於改善與提昇國內的資安防禦技能與產業環境。
106/07/11-12
台灣誘捕網技術研討會(HoneyCon 2017)
主辦單位:台灣雲端安全聯盟、OWASPThe Honeynet Project (Taiwan Chapter)
日期:2017711日至12
地點:集思台大會議中心(台北市羅斯福路四段85B1)
線上報名期間:
2017/06/01 08:00(+0800) ~ 2017/07/07 20:00(+0800)
活動概要:
The Honeynet Project為誘捕技術與資安研究為主的非營利組織,由The Honeynet Project Taiwan Chapter在國內辦理的誘捕技術研討會,今年的HoneyCon已邁入第八年,自2013年之後成為每年超過400人參與的大型資安技術會議,在2016年更突破了450人次,每年同步辦理的資安實務課程(Workshop)頗受好評,透過實務的課程推廣誘捕技術的應用以及最新的資安技術;自2015年起開辦國內首次針對國小學生的兒童資安營隊(HoneyKids),以及數位鑑識科技偵探營(HoneyCSI:Cyber),前者希望將資安教育向下扎根,透過課程活動學習如何避免成為資訊安全事的主角,後者則介紹數位鑑識科技、資安事件調查,以因應數位時代所帶來的改變。
每年The Honeynet Project Annual Workshop都會發佈許多最新的誘捕系統與相關的資安技術,每年透過台灣年會的舉辦,將最新的訊息分享給與會人員,協助掌握最新與最熱門的資安研究議題;HoneyCon 2017規劃了相當精彩與豐富的活動,希望強化扮演資安教育的推手,除了整天的研討會議程之外,同步辦理HoneyCon Workshop實務課程、HoneyKids兒童資安營隊、HoneyCSI:Cyber鑑識科技偵探營以及HoneyCode兒童程式營隊,會議期間並同步舉行HoneyMe資安競賽(Wargame),以提供與會人員透過資安技術的應用,發掘資通訊設備以及應用服務的弱點,相關活動內容請參考各活動詳細介紹。
106/07/13
台灣雲端安全聯盟台灣年會(CSA Taiwan Summit 2017)
主辦單位:台灣雲端安全聯盟、OWASPThe Honeynet Project (Taiwan Chapter)
日期:2017713
地點:集思台大會議中心(台北市羅斯福路四段85B1)
線上報名期間:
2017/06/01 08:00(+0800) ~
2017/07/07 20:00(+0800)
活動概要:
雲端安全聯盟(CSA, Cloud Security Alliance)為全球非營利組織,CSA Taiwan Chapter2011年底於台灣成立,2015年中於內政部正式設立民間協會組織,在國內扮演雲端服務安全等新興資安議題的推動者,為了提高國內雲端服務供應商對於使用者信任,配合全球雲端服務安全證書CSA STAR的推動,累積到2016年底止已有七個單位取得此一殊榮,透過第三方驗證的實施,建立公正客觀的量測標準,提高使用者對於採用雲端服務平台的信賴,取得CSA STAR Level 2驗證的單位包括了國內主要電信服務供應商,中華電信、遠傳電信以及台灣大哥,國內最大的資料中心Acer eDC以及國家級研究單位-國家實驗研究院以及國家高速網路與計算中心,東海大學等,皆已獲得國際CSA STAR Level 2頂尖雲端服務安全驗證。
CSA Taiwan Summit 2017以雲端安全聯盟核心研究發展藍圖為主軸,連結目前產業熱門議題,包括雲端服務安全、智慧城市與行動應用安全等議題,邀請國內外產業指標廠商與專家學者共同分享最新全球發展趨勢。


本月份事件通報統計

本中心每日透過官方網站、電子郵件、電話等方式接收資安事件通報,本月共收到通報共401筆,以下為本中心所蒐整之各項統計數據,分別為通報來源統計圖、攻擊來源統計圖及攻擊類型統計圖。
通報來源統計圖為各國遭受網路攻擊,且發起攻擊之IP為我國所有之IP,並向本中心進行通報之次數,如圖1所示;攻擊來源統計圖為本中心所接獲之通報中,我國各單位遭受來自各國之攻擊次數,如圖2所示;攻擊類型統計圖則為本中心所接獲的通報中,各項攻擊類型之筆數,如圖3所示。
圖1、通報來源統計圖

圖2、攻擊來源統計圖

圖3、攻擊類型統計圖
除通報至G-ISAC外,本中心亦已電子郵件或電話方式通知相關單位進行處理,本月約有17%單位回覆相關處理情形,建議大家應於平常保持良好之防護習慣,於事前勤更新相關弱點及漏洞,事發時立即處理,後續本中心仍持續提醒相關用戶對於所收到之事件通報進行相關處理,以減少駭侵事件發生時所造成的損害。

沒有留言:

張貼留言