數十億Android 裝置可能面臨 Dirty Stream 攻擊

2024 / 05 / 06 編輯部

數十億Android 裝置可能面臨 Dirty Stream 攻擊

微軟研究人員最近發現許多Android應用程式由於一個普遍的安全性缺陷,可能遭受遠端程式碼執行攻擊、權杖被盜取等問題。受影響的應用程式中也有超過5億次下載的主流應用程式。

微軟已通知Google的Android安全研究團隊此問題。而Google也對Android應用程式開發人員發布新的指南,說明如何辨識和修復此問題。

除通知Android團隊外,微軟也告知在Google Play商店上受影響Android應用程式的發行廠商,其中包括下載超過10億次的Mi File Manager以及5億次下載的WPS Office。 

微軟表示,這兩款APP的廠商已修正此問題。但微軟認為,還有其他因同樣安全弱點而容易受到利用和入侵的應用程式存在。微軟威脅情報團隊在近期的文章中表示,可能在其他應用程式中也發現此類型的漏洞。微軟分享這項研究,是為了讓開發人員和發行者能檢查其應用程式是否存在類似問題,適當修復。並避免在新的應用程式或發行版本中引入同樣漏洞。微軟將這個漏洞稱之為Dirty Stream。

Dirty Stream緣由

為了以安全的方式進行檔案共享,Android系統佈署「內容提供者(content provider)」介面。此介面扮演管理和分享應用程式資料給裝置上其他已安裝應用程式。需要共享檔案的應用程式,在Android術語中稱為檔案提供者(File provider)會宣告其他應用程式可用於存取資料的特定路徑。File provider還有一種識別功能,方便其他應用程式可以系統上尋找它們的位址。

微軟解釋,content provider模型提供明確定義的檔案共享機制,使伺服應用程式能夠精準的以安全的方式與其他應用程式共享檔案。然而,在許多情況下,當Android應用程式從另一個應用程式收到檔案時,卻沒有驗證內容。

最令人關注的是,它會使用由應用程式提供的檔案名稱,在其他應用程式的內部資料目錄中快取儲存收到的檔案名稱。

攻擊者可以利用這樣的機制,設計惡意應用程式檔案,在用戶不知情或未經批准的情況下,將具有惡意檔案名稱的檔案直接發送給接收應用程式(或檔案共享目標)。微軟表示,典型的檔案共享目標包括電子郵件收件者、訊息應用程式、網路應用程式、瀏覽器和檔案編輯器。當共享目標收到惡意檔案名稱時,它會使用該檔案名稱來初始化檔案並觸發一個可能導致應用程式被入侵的攻擊。

潛在的影響將取決於Android應用程式的實作細節。在某些情況下,攻擊者可以使用惡意應用程式來覆寫接收應用程式的設定,導致它與受攻擊者控制的伺服器通訊,或讓它共享用戶的驗證權杖和其他資料。

惡意應用程式也可以將惡意程式碼覆寫到接收應用程式端的原生程式庫中,啟動任意程式碼的執行。微軟解釋,由於惡意應用程式控制了檔案的名稱和內容,如果盲目信任這些輸入,共享目標可能會覆寫其私有資料空間中的關鍵檔案,這可能會導致嚴重後果。

目前微軟和Google都已為開發人員提供解決此問題的技巧。與此同時,終端使用者可透過確保其Android應用程式保持最新狀態,並只從可信來源安裝應用程式,來減輕此類風險。

本文轉載自Darkreading。

資料來源:數十億Android 裝置可能面臨 Dirty Stream 攻擊,Information Security 資安人科技網

【資安日報】12月15日,小型路由器成中國駭客組織Volt Typhoon下手目標,駭客植入殭屍網路病毒,入侵受害組織進行間諜行動

研究人員指出,這些下載工具往往濫用雲端服務Microsoft Graph、OneDrive、Outlook、Microsoft Office Exchange Web Services(EWS)的其中一種,藉由API進行C2連線及外洩資料,從而隱匿其攻擊行動。

資料來源:【資安日報】12月15日,小型路由器成中國駭客組織Volt Typhoon下手目標,駭客植入殭屍網路病毒,入侵受害組織進行間諜行動 | iThome

Google Workspace新增AI安全功能,部份設定變更需2名管理員

防止攻擊者利用社交工程手法入侵管理者帳號引發進一步危害,Google Workspace將針對管理員指定的帳號設定變更行為,提供雙重確認機制

Google上周宣布生產力服務Workspace新增AI為基礎的安全功能,以降低資料外洩風險及符合歐美法規。Google Workspace同時加入某些功能需2名管理員同意,以及強制某些用戶管理員帳號啟用2步驟驗證。

Google引用第三方報告指出,Workspace加入企業安全功能後,在被濫用的已知漏洞、電子郵件安全事件,以及因資安事件衍生保險支出方面,和主流舊式(如微軟)方案相比都大幅減少。為此Google Workspace持續擴充以AI為基礎的零信任(zero-trust)、數位主權及威脅防護控制,以確保企業資料安全。

在AI為基礎的零信任安全功能方面,首先,Google Drive將加入AI資料分類標籤及情境式資料外洩防護(DLP)。管理員可設定AI模型自動為Drive的檔案加標籤及分類,並且設定情境感知存取(context-aware access,CAA)政策,例如按裝置所在地點或安全狀態決定員工能否把敏感資料分享出去。之後AI即可按企業安全政策為資料分類、標籤,並實行資料外洩防護及資料存取管制。AI資料分類及標籤現在已經開放預覽版測試,情境式DLP則會在幾個月內開放測試。

圖片來源_Google

第三項則是為Gmail強化DLP,允許管理員控制員工對內、對外如何分享敏感資料,也將在幾個月後開放預覽測試。

在資料主權(data sovereignty)功能方面,首先,Workspace將新增多項用戶端加密(client-side encryption,CSE)功能。CSE是指從用戶端即加密資料再傳送出去,只有發送者擁有加密金鑰,因此即使伺服器端或服務供應商都無法存取敏感資料。在最新的宣布中,Google Calendar、Gmail和Meet行動版App已正式支援CSE,現在正在測試於Workspace中讀取編輯Microsoft Excel檔案。此外Google預定今年內預覽3項CSE功能,包括特定組織單位預設啟用CSE、及Google Docs評論、外部用戶以Guest身分加入Meet通話時支援CSE。

圖片來源_Google

Google也將允許CSE用戶選擇加密金鑰和資料儲存的位置。在前者中,Google和安全廠商Thales、Stormshield及Flowcrypt合作,讓CSE用戶得以選擇將加密金鑰儲存在屬意的國家以滿足法規。今年稍晚,Workspace也會以預覽版測試讓企業選擇資料處理(歐盟或美國),以及Workspace備份儲存的地點所在。

另外,Workspace也讓企業控制Google技術支援可存取哪些資料、監控Google的行為,並讓美國企業設定只允許美國Google支援。今年稍晚則將允許歐盟企業限定歐盟地區的支援。

最後,為防止管理員遭到釣魚攻擊致Workspace帳號被接管,Workspace將在今年內預覽一項新功能,Workspace允許管理員設定某些敏感行為,如變更2SV設定,需獲得另一名管理員同意。其次,Google也要求某些Workspace企業管理員帳號強制啟用兩步驟驗證(2-step verification,2SV),今年稍晚將從最大型企業用戶,以及Google經銷商開始執行。

圖片來源_Google

Google上周並另外發布2項預覽功能,包括以AI為基礎的Gmail電子郵件過濾或轉寄之防護,以及將Workspace log紀錄匯出到Chronicle,以判斷可能的異常活動。

所有預告的Workspace安全功能,現在已開放企業管理員免費試用。Google並將在下個月的Next ‘ 23大會上正式發表。

資料來源:Google Workspace新增AI安全功能,部份設定變更需2名管理員

上千假AnyDesk網站散布竊密程式Vidar

駭客利用1千多個惡意網域冒充遠端桌面連線軟體AnyDesk站點,以散布竊密程式Vidar


文/林妍溱 | 2023-01-11發表

安全研究人員發現一波惡意攻擊活動,利用1,300多個惡意網域冒充遠端桌面連線軟體AnyDesk站點,以便在用戶電腦下載竊密程式Vidar。

代號crep1x的安全廠商SEKOIA研究人員指出,這些假網域全部都解析成185.149.120[.]9的IP位址。不慎連入的用戶會被導向同一個Dropbox連結,以下載Vidar竊密程式。

研究人員也公開這逾千網域的主機清單,其中許多都是刻意打錯字以冒充知名軟體7-Zip、Slack、AnyDesk、TeamViewer的誤植域名攻擊(typosqat)手法,但都顯示為AnyDesk網站,看起來是重覆使用之前其他惡意活動的網域。

南韓安全公司AhnLab研究人員指出,Vidar主要目的是竊取資訊,但也常被用以散布勒索軟體。攻擊者經常是在知名服務或社交平臺建立一次性帳號代管C&C網址,或是挾帶在電子郵件附檔巨集中散布。一旦Vidar在用戶電腦蒐集機敏資訊,即會將這些資訊壓縮成.Zip檔傳送給C&C主機。

Crep1x 指出,目前大部分惡意主機都還在營運中。研究人員尚不清楚這些網址的散布途徑為何。

新聞來源:上千假AnyDesk網站散布竊密程式Vidar

iOS 16依然繞過VPN建立連線,洩露用戶資訊

先後有研究人員證實iOS 15、iOS 16都會繞過VPN和蘋果伺服器通訊,恐導致用戶資訊外洩,而且這類情況也同樣發生在Android


文/林妍溱 | 2022-10-18發表

研究人員Tommy Mysk及其團隊公布在安裝iOS 16.0.3的iPhone上,如何在開啟ProtonVPN後洩露用戶訊息的實驗。根據Mysk張貼的影片,當iPhone或iPad用戶開啟VPN下使用Apple Maps,攻擊者可以輕鬆查詢到他的IP位址、或DNS查詢目的地等資料。(圖片來源/Mysk on Twitter)

8月間一名研究人員指控蘋果刻意讓iOS 15繞過VPN和蘋果伺服器通訊。本周另一個安全團隊發現,到了iOS 16,這個問題仍然存在,手機啟用VPN後,用戶資訊仍然洩露。此外,Android也會繞過VPN和Google服務伺服器建立通訊。

研究人員Tommy Mysk及其團隊上周公布在安裝iOS 16.0.3的iPhone上,如何在開啟ProtonVPN後洩露用戶訊息的實驗。根據Mysk張貼的影片,當iPhone或iPad用戶開啟VPN下使用Apple Maps,攻擊者可以輕鬆查詢到他的IP位址、或DNS查詢目的地等資料。

Mysk說明,駭客其實只要一臺Mac和Wireshark封包分析軟體,就可以透過將目標裝置連到Mac同一個Wi-Fi網路,輕鬆監控任何裝置的網路流量。

除了Apple Maps,研究團隊發現,包括Apple Health、Wallet、Apple Store、Clips、Files、Find My、通知(Push Notification)都可以類似手法曝露用戶資料。

圖片來源/Mysk on Twitter

8月間另一名研究人員披露蘋果刻意未將所有App導入VPN引發重視,當時研究人員實驗的是較舊版的iOS 15.4及15.5版,Mysk的實驗顯示在最新的iOS 16也有這問題。

研究人員對9to5mac表示,他相信蘋果是刻意這麼做的。上述App需要經常和蘋果伺服器建立連線,像是Find My及通知,因而研究觀測到的流量超出預期。不過研究人員認為,這些流量還是加密狀態,因此用戶資訊還是安全的。

另一方面Mysk指出,Android也沒有比較安全。他說他曾經以安裝Android 13的Pixel做過類似測試,也一樣能查到用戶IP。研究人員並指出,即使Android裝置用戶勾選了「永遠啟用VPN」及「沒有VPN則封鎖連線」的選項,Android也是在VPN連線以外,和Google服務伺服器建立通訊。

圖片來源/Mysk on Twitter

資料來源:iOS 16依然繞過VPN建立連線,洩露用戶資訊 | iThome

卡巴斯基:惡意軟體進化,金融業將面臨更大危機

金融業對網路安全威脅雖都有防範,不過惡意軟體不斷進化,威脅不容忽視。卡巴斯基(Kaspersky)最近表示,威脅變得複雜,金融業將要面臨最黑暗的時刻。

卡巴斯基首席安全研究員 Sergey Lozhkin 於會議表示,針對銀行和金融機構的犯罪軟體相當複雜,且可避開安全機制,產生更大威脅性。他說對大型和中型金融企業而言,現在可謂最黑暗的時刻。最近發現的惡意軟體 BlackLotus,透過瞄準 UEFI 韌體,比任何系統更早載入電腦,不被發現就取得完整權限。這惡意軟體之前就發現以 5,000 美元黑市出售。

Lozhkin 強調,這些威脅和技術以前只有類似政府等級可取得,現在普及至一般犯罪分子。除了新開發犯罪工具,以往安全測試用工具也改裝成犯罪工具,攻擊金融機構。他認爲近來經濟變差加上 IT 裁員潮,更多人才流入犯罪族群,變相造成更大問題。不過他仍保持樂觀,表示「最黑暗的時刻終會過去,黎明將至」。

資料來源:卡巴斯基:惡意軟體進化,金融業將面臨更大危機 | TechNews 科技新報

WordPress的外掛程式中,近3成的重大漏洞沒有被修補

根據WordPress外掛安全服務業者Patchstack觀察,在2021年有29%含有重大安全漏洞的WordPress外掛,負責的開發者選擇忽略修補作業甚至直接下架了事
文/陳曉莉 | 2022-03-10發表

情境示意圖,photo by Justin Morgan on unsplash

專門提供WordPress外掛程式安全服務的Patchstack,本周出版了WordPress安全狀態的年度報告,指出在2021年所發現的WordPress外掛程式重大安全漏洞中,有29%沒有被開發者修補,而且使用者可能渾然不覺。

開源的WordPress為全球最熱門的內容管理系統,去年全球大約有43.2%的網站採用WordPress建置,高於2020年的39.5%,這些WordPress網站使用了各式各樣的外掛程式來改善網站功能或呈現,也讓專門強化WordPress外掛程式安全性的資安公司應運而生,如Wordfence或Patchstack。根據Patchstack去年的分析,每個WordPress網站平均採用了18個不同的外掛程式或主題。

Patchstack的調查顯示,2020年在有關WordPress的安全漏洞中,3.78%出現在WordPress核心,卻有96.22%現身於外掛程式及主題,但到了2021年,外掛程式及主題的漏洞卻增加到99.42%,主題占了6.61%,外掛程式則是92.81%,WordPress核心漏洞降至0.58%。

圖片來源/Patchstack

這些漏洞以跨站指令碼(Cross Site Scripting,XSS)為首,總計占了49.82%,居次的是跨站請求偽造(CSRF)的11.18%,僅有0.94%屬於遠端程式攻擊漏洞。值得注意的是,在所有的WordPress網站中,有42%都安裝了至少1個含有安全漏洞的元件。

圖片來源/Patchstack

此外,在所有的漏洞中,有3.41%被列為重大等級,CVSS風險評分超過9,去年總計有35個WordPress外掛程式漏洞被列為重大等級,其中一個藏匿在All in One SEO plugin中,該外掛程式的安裝數量超過300萬,另一個出現在WP Fastest Cache plugin,安裝數量也超過100萬。

圖片來源/Patchstack

儘管上述兩個外掛程式開發者都已修補了漏洞,但也有高達29%的外掛程式重大漏洞並沒有被修補。Patchstack說,這些未修補的外掛程式有時只是簡單被WordPress、其它市集或開發者下架,並沒有警告既有的用戶,代表使用者必須手動檢查這些外掛程式的版本別或安全狀態,再加以移除或選擇其它的替代程式。

Patchstack的調查還曝露出另外一個問題,亦即儘管WordPress生態體系存在著許多安全漏洞,但WordPress網站並沒有太多的安全預算,例如有28%完全沒有安全預算,有27%每月的安全預算低於3美元,只有7%每月會編列50美元的安全預算。

資料來源:WordPress的外掛程式中,近3成的重大漏洞沒有被修補

微軟緊急修補Windows Server、Windows桌機版 1月安全更新問題

微軟在1月17日釋出例外更新,以解決1月Patch Tuesday針對Windows Server及Windows釋出的安全更新在用戶端所引發的問題,連已終止支援的Windows 7、Server 2008也都在修補之列
文/林妍溱 | 2022-01-18發表

圖片來源: 微軟

微軟昨(1/17)日釋出例外更新(out-of-band,OOB),以解決上周Windows及Windows Server更新引發的無限重開機、Hyper-V無法啟動以及Windows電腦無法執行VPN連線的問題,連已終止支援的Windows 7、Server 2008也都在修補之列。

微軟表示,這波OOB更新將分別解決和Windows網域控制器(Domain Controller)重開、虛擬機器啟動失敗、彈性檔案系統(ReFS)可移除媒體無法啟動相關的問題。

上周Patch Tuesday針對Windows Server及Windows釋出的安全更新,用戶下載安裝後陸續出現上述問題。微軟也分別提供說明。其中當網域控制器在強化安全性系統管理員環境(Enhanced Security Admin Environment,ESAE)環境下使用Shadow Principal物件,或是啟動Privileged Identity Management(PIM)的環境會發生不預期開機,導致許多用戶經歷Windows Server伺服器不斷重開機。

針對彈性檔案系統(ReFS)無法啟動,微軟解釋,是出於可移除媒體包括USB外部磁碟不支援這個檔案統格式。Hyper-V無法啟動VM的問題則發生在使用UEFI的系統裝置上。

至於VPN連線問題,微軟指出包含Vender ID的IPSEC連線、或使用第二層隧道協定(Layer 2 Tunneling Protocol,L2TP)及IPSEC網際網路金鑰交換(Internet Key Exchange)的VPN,在Windows PC安裝更新後都可能無法啟動。

雖然主要是現今主流的Server 2012R2、Server 2016、Server 2019、Windows Server 10 20H1、Server 20H2、Server 2022、及Windows 10(20H2、20H1、1909、1607、1507)、11(21H1)受影響,不過微軟這波例外更新的發布對象,也涵括微軟已終止支援的Windows 7 SP1、Windows Server 2008 SP2。

管理員或用戶可以在Update Catalog手動下載更新。部份版本可經由Windows Update自動下載安裝。

資料來源:微軟緊急修補Windows Server、Windows桌機版 1月安全更新問題

Google公布NSO Group用來駭進蘋果iMessage的Forcedentry攻擊程式細節

根據Google Project Zero的分析,Forcedentry是個零點擊攻擊程式,駭客只要知道目標對象的電話號碼或是Apple ID的使用者名稱就能展開攻擊,完全不需要與使用者互動
文/陳曉莉 | 2021-12-16發表

情境示意圖

公民實驗室(Citizen Lab)日前揭露以色列資安業者NSO Group以Forcedentry攻擊程式駭進iPhone,再於受害者手機上植入Pegasus間諜程式,Google Project Zero團隊向公民實驗室取得了Forcedentry樣本,於本周公布該攻擊程式的細節,並說這是該團隊所見過的最精細的攻擊程式之一,證明了過去原本以為只有少數國家所具備的能力,其實也能由NSO Group提供給其它的國家。

Forcedentry所開採的是位於蘋果作業系統圖像渲染函式庫CoreGraphics的CVE-2021-30860漏洞,它是一個整數溢位漏洞,在處理惡意的PDF檔案時,將允許駭客執行任意程式。蘋果已於今年9月13日修補該漏洞。

根據Google Project Zero團隊的分析,Forcedentry是個零點擊攻擊程式,在駭客透過iMessage傳送假GIF檔案時,iMessage在手機顯示這些圖像時就已先行進行解析,而成為駭客的切入點,代表駭客只要知道目標對象的電話號碼或是Apple ID的使用者名稱就能展開攻擊,完全不需要使用者的任何互動。

至於CVE-2021-30860漏洞具體的位置則在於CoreGraphics的PDF解析器,駭客利用PDF內建之影像壓縮標準JBIG2的漏洞展開攻擊,儘管JBIG2本身並未具備編寫腳本的能力,但結合漏洞之後卻能在任何記憶體上模擬任何邏輯閘電路,等於可建置自己的電腦架構及腳本程式,而這就是Forcedentry的功能,它的速度並不如Javascript,但在運算能力上卻是相當的。

Google Project Zero團隊指出,Forcedentry便運作在這個邏輯電路上,而整個攻擊環境則是由JBIG2串流的單一解壓縮所造就的,這非常的不可思議,也極為可怕。

NSO Group不僅能駭入蘋果裝置,也能駭入Android裝置,Google則說,他們知道NSO Group也銷售鎖定Android的零點擊攻擊程式,歡迎握有樣本的組織或個人與其接洽。

資料來源:Google公布NSO Group用來駭進蘋果iMessage的Forcedentry攻擊程式細節

Windows LPE漏洞修補不全,影響所有版本

向微軟通報本地權限升級(LPE)漏洞CVE-2021-34484的研究人員指出,8月釋出的官方修補只解決了問題表面,攻擊者仍可在已修補的Windows系統中擴大權限,執行管理員指令 
文/林妍溱 | 2021-11-02發表

一名研究人員發現微軟8月修補的一項Windows漏洞並未修補完全,使攻擊者可在已修補的Windows系統中擴大權限,執行管理員指令。

問題出在研究人員Abdelhamid Naceri今年稍早發現、並通報的Windows使用者設定檔服務(Windows User Profile Service)中的本地權限升級(Local Privilege Elevation,LPE)漏洞。它被列為CVE-2021-34484追蹤,屬CVSS 3.1風險值7.8的漏洞。這項漏洞已於8月間由微軟修補。

但是Naceri檢視了微軟的修補程式後,認為並未修補完全。他說明該漏洞能允許與原帳戶不同密碼的使用者帳號執行程式,甚至不知道其他人的密碼也可以。

他還在GitHub公布了新的PoC,成功存取受害系統後以系統管理員身份執行shell指令。

研究人員對媒體指出,微軟並未根據他最早的通報報告來修補,只解決了第1次PoC的效果,即刪除目錄,也就是只解決了表面徵兆,但並未解決根本原因,這使其第2次PoC依然成功將一般用戶權限提升到管理員權限。

這個漏洞影響所有Windows伺服器及桌機版本,包括最新的Windows 11及Server 2022。

微軟表示正在調查此事,以確保用戶安全。

這是Windows最新一個被懷疑是修補不全的漏洞。今年7月微軟緩衝列印多工服務(Print Spooler)的CVE-2021-34527 LPE和RCE(遠端程式碼執行)漏洞,被研究人員懷疑修補不完整,以致於PoC仍然可執行作用。不過微軟後來證實是新的漏洞,而非修補不完全。

資料來源:Windows LPE漏洞修補不全,影響所有版本