根據Google Project Zero的分析，Forcedentry是個零點擊攻擊程式，駭客只要知道目標對象的電話號碼或是Apple ID的使用者名稱就能展開攻擊，完全不需要與使用者互動
文/陳曉莉 | 2021-12-16發表

公民實驗室（Citizen Lab）日前揭露以色列資安業者NSO Group以Forcedentry攻擊程式駭進iPhone，再於受害者手機上植入Pegasus間諜程式，Google Project Zero團隊向公民實驗室取得了Forcedentry樣本，於本周公布該攻擊程式的細節，並說這是該團隊所見過的最精細的攻擊程式之一，證明了過去原本以為只有少數國家所具備的能力，其實也能由NSO Group提供給其它的國家。

Forcedentry所開採的是位於蘋果作業系統圖像渲染函式庫CoreGraphics的CVE-2021-30860漏洞，它是一個整數溢位漏洞，在處理惡意的PDF檔案時，將允許駭客執行任意程式。蘋果已於今年9月13日修補該漏洞。

根據Google Project Zero團隊的分析，Forcedentry是個零點擊攻擊程式，在駭客透過iMessage傳送假GIF檔案時，iMessage在手機顯示這些圖像時就已先行進行解析，而成為駭客的切入點，代表駭客只要知道目標對象的電話號碼或是Apple ID的使用者名稱就能展開攻擊，完全不需要使用者的任何互動。

至於CVE-2021-30860漏洞具體的位置則在於CoreGraphics的PDF解析器，駭客利用PDF內建之影像壓縮標準JBIG2的漏洞展開攻擊，儘管JBIG2本身並未具備編寫腳本的能力，但結合漏洞之後卻能在任何記憶體上模擬任何邏輯閘電路，等於可建置自己的電腦架構及腳本程式，而這就是Forcedentry的功能，它的速度並不如Javascript，但在運算能力上卻是相當的。

Google Project Zero團隊指出，Forcedentry便運作在這個邏輯電路上，而整個攻擊環境則是由JBIG2串流的單一解壓縮所造就的，這非常的不可思議，也極為可怕。

NSO Group不僅能駭入蘋果裝置，也能駭入Android裝置，Google則說，他們知道NSO Group也銷售鎖定Android的零點擊攻擊程式，歡迎握有樣本的組織或個人與其接洽。

資料來源：Google公布NSO Group用來駭進蘋果iMessage的Forcedentry攻擊程式細節

向微軟通報本地權限升級（LPE）漏洞CVE-2021-34484的研究人員指出，8月釋出的官方修補只解決了問題表面，攻擊者仍可在已修補的Windows系統中擴大權限，執行管理員指令 
文/林妍溱 | 2021-11-02發表

一名研究人員發現微軟8月修補的一項Windows漏洞並未修補完全，使攻擊者可在已修補的Windows系統中擴大權限，執行管理員指令。

問題出在研究人員Abdelhamid Naceri今年稍早發現、並通報的Windows使用者設定檔服務（Windows User Profile Service）中的本地權限升級（Local Privilege Elevation，LPE）漏洞。它被列為CVE-2021-34484追蹤，屬CVSS 3.1風險值7.8的漏洞。這項漏洞已於8月間由微軟修補。

但是Naceri檢視了微軟的修補程式後，認為並未修補完全。他說明該漏洞能允許與原帳戶不同密碼的使用者帳號執行程式，甚至不知道其他人的密碼也可以。

他還在GitHub公布了新的PoC，成功存取受害系統後以系統管理員身份執行shell指令。

研究人員對媒體指出，微軟並未根據他最早的通報報告來修補，只解決了第1次PoC的效果，即刪除目錄，也就是只解決了表面徵兆，但並未解決根本原因，這使其第2次PoC依然成功將一般用戶權限提升到管理員權限。

這個漏洞影響所有Windows伺服器及桌機版本，包括最新的Windows 11及Server 2022。

微軟表示正在調查此事，以確保用戶安全。

這是Windows最新一個被懷疑是修補不全的漏洞。今年7月微軟緩衝列印多工服務（Print Spooler）的CVE-2021-34527 LPE和RCE（遠端程式碼執行）漏洞，被研究人員懷疑修補不完整，以致於PoC仍然可執行作用。不過微軟後來證實是新的漏洞，而非修補不完全。

資料來源：Windows LPE漏洞修補不全，影響所有版本

9月23日釋出的iOS 12.5.5以及2021-006 Catalina，分別修補3個以及1個已遭駭客開採的安全漏洞 
文/陳曉莉 | 2021-09-24發表

圖片來源:  蘋果

蘋果在9月23日更新了舊版的iOS 12與macOS Catalina，修補已遭駭客開採的3個安全漏洞，其中的兩個是蘋果在9月中旬，先行針對新裝置所修補的CVE-2021-30860及CVE-2021-30858，另有一個是最近才被發現的CVE-2021-30869。

新的CVE-2021-30869漏洞存在於蘋果作業系統所使用的XNU核心，是由Google的研究人員所發現，為一類型混淆漏洞，允許惡意程式以核心權限執行任意程式，而且坊間已有鎖定該漏洞的攻擊程式。

兩個舊漏洞分別是CVE-2021-30860與CVE-2021-30858。前者出現在蘋果圖像渲染函式庫CoreGraphics，為一整數溢位漏洞，當它處理一個惡意的PDF檔案時，可能允許駭客執行任意程式，後者則藏匿在WebKit，它是個釋放後使用漏洞，在處理惡意的網頁內容時可能造成任意程式執行。

上述3個漏洞都已被開採，蘋果率先修補新裝置的CVE-2021-30860與CVE-2021-30858漏洞，此次才修補舊裝置的相關漏洞，以及CVE-2021-30869。

23日釋出的iOS 12.5.5適用於iPhone 5s/6/6 Plus，iPad Air、iPad mini 2/3與第六代的iPod touch，同時修補了3個漏洞。新版的2021-006 Catalina則僅修補CVE-2021-30869。

資料來源： 蘋果修補舊款裝置的零時差攻擊漏洞

資安業者Palo Alto Networks在7月，發現鎖定VMware ESXi的勒索軟體HelloKitty，受害者遍及義大利、澳洲、德國、荷蘭，以及美國，攻擊者至少得到148萬美元 
文/周峻佑 | 2021-08-27發表

今年2月，製作電玩《電馭叛客2077》（Cyberpunk 2077）開發商的CD Projekt，驚傳遭到勒索軟體攻擊，後來有資安業者指出，攻擊的勒索軟體名為HelloKitty。但資安業者Palo Alto Networks指出，目前這款勒索軟體發展出Linux版本，自今年3月開始鎖定伺服器虛擬化平臺VMware ESXi，且已有受害組織並支付贖金。

HelloKitty最早大約是自2020年底開始出現，主要鎖定Windows作業系統，根據資安公司FireEye的發現，它是從另一款稱做DeathRansom的勒索軟體衍生而來的變種，為了避免受害者透過備份資料復原，HelloKitty會刪除Windows電腦的磁碟區陰影複製（Volume Shadow Copy）內容。

在今年7月中旬，資安研究組織MalwareHunterTeam就發現了數個鎖定VMware ESXi的HelloKitty勒索軟體，自3月開始發動攻擊，使用ESXi命令列工具（esxcli）關閉虛擬機器（VM），但並未提及受害規模。

而對於這款勒索軟體的近況，Palo Alto提出了更多的發現。該公司指出，這款勒索軟體發展可說是相當迅速，近期的版本更是透過Go語言編譯，而且只會在記憶體內載入、執行，這麼做的目的，很可能是為了迴避資安防護系統的偵測。

Palo Alto表示，他們在2021年7月，發現檔案名稱為funny_linux.elf的勒索軟體，其中的勒索訊息，措辭與Windows版的HelloKitty相符，他們進一步追查發現， Linux版的HelloKitty，最早約從2020年10月開始發展，並在2021年3月開始攻擊VMware ESXi，研究人員觀察到有6個受影響的組織。

這些組織分別是：義大利與荷蘭製藥組織、德國製造商、澳洲工業自動化解決方案業者，以及位於美國的醫療辦公室與股票經紀人。

研究人員發現，攻擊者疑似依據受害組織的規模，而開出不同的贖金價碼，他們看到駭客收取的是門羅幣，金額最高的是1千萬美元，最低的則是95萬美元，落差相當大。除了門羅幣，這些駭客也接受以比特幣支付的贖金，但Palo Alto表示，受害組織若是使用比特幣付贖金，攻擊者會收取較高的金額。而研究人員根據駭客提供的比特幣錢包位址進行追蹤，駭客收到3筆款項，總計1,477,872.41美元。

而對於攻擊者向受害組織勒索的方式，Palo Alto也從勒索訊息中看到不同的內容，在不同受害組織的HelloKitty軟體裡，駭客留下的聯絡方式，同時具備洋蔥網路（Tor）的網址，以及針對受害單位的Protonmail電子郵件信箱，研究人員依據這個現象研判，可能有多組攻擊者使用相同的惡意軟體程式碼基礎（Codebase）。不過，其中一個受害組織收到的勒索訊息裡，駭客沒有留下聯絡資訊。

資料來源： 3月勒索軟體HelloKitty鎖定VMware ESXi發動攻擊，Palo Alto揭露目前災情與受害範圍

對此Zoom坦承至少一個漏洞出在群組通訊產品Zoom Chat上，在補救措施出現前，建議所有使用者只接受可信任者所發出的通話請求

文/林妍溱 | 2021-04-12發表

Zoom的聲明則透露，至少一個漏洞出在群組通訊產品Zoom Chat上。Zoom表示正致力於緩解該問題，但強調Zoom Meeting及Zoom Video Webinar會議不受該問題影響。此外，攻擊必須從受害者接收的外部聯絡人發動，或是必需與受害者同屬一個公司帳號。

上周Pwn2Own競賽中，研究人員揭露視訊平臺Zoom漏洞，可讓攻擊者在無需用戶任何動作下，遠端執行程式碼（RCE）。

Pwn2Own是由Zero Day Initiative 主辦的白帽駭客競賽，研究人員尋找出市面主要軟體及行動裝置的重大漏洞，並提供防禦攻擊及市售攻擊程式的方法。

Computest 研究人員 Daan Keuper 及 Thijs Alkemade展示串聯Zoom 三項漏洞即可執行任意程式，過程中無需受害者互動，只要啟動Zoom視訊即受害。兩名研究人員並獲得20萬美元獎金。

在稍早的影片中，研究人員展示在受害系統上開啟計算機程式。一般駭客會以此展示他們能在受害機器上執行任意程式碼。

ZDI周五證實後公布這項發現，但由於Zoom尚未完成修補，漏洞及攻擊細節皆未揭露。

根據安全廠商MalwareByte指出，目前僅知這項攻擊手法可在Windows及Mac版軟體執行，但不影響瀏覽器版。至於Android及iOS版是否也受影響則不得而知，因為研究人員並未研究到這兩個版本。

Zoom的聲明則透露，至少一個漏洞出在群組通訊產品Zoom Chat上。Zoom表示正致力於緩解該問題，但強調Zoom Meeting及Zoom Video Webinar會議不受該問題影響。此外，攻擊必須從受害者接收的外部聯絡人發動，或是必需與受害者同屬一個公司帳號。

Zoom建議所有使用者只接受熟悉的個人發出的通話請求。

資料來源：研究人員揭露Zoom重大RCE漏洞

攻擊者透過修改勒索郵件標頭驅動收信回條，導致郵件過濾工具雖然擋下勒索信件，但回條不會被擋下，讓勒索信件得以成功進入受害者信箱

文/林妍溱 | 2021-01-28發表

情境示意圖

收信回條或休假自動回覆是商務人士慣用的郵件功能，不過研究人員發現這些工具被駭客用來突破郵件過濾的安全防護，成為對企業用戶發動恐嚇信等郵件攻擊的新手法。

安全廠商Abnormal Security指出，去年聖誕節期間，正當許多企業員工休長假大量使用到收信回條及休假回覆時，有歹徒利用這兩個功能將詐騙郵件導向Microsoft365的用戶信箱。

研究人員說明，在使用收信回條的攻擊中，歹徒先準備好一封勒索郵件，再修改郵件標頭的「Disposition-Notification-To」，然後寄發郵件給目標人士。被修改的標頭驅動收信回條，使收信的受害者會收到包含原始勒索信件內文，而非發信的攻擊者。在這情況下，雖然郵件過濾工具可以自動擋下勒索信件，但由於回條不會被擋下，因此勒索信件就能成功進入受害者信箱內。

而在休假回覆（out of office notice）的攻擊情境中，歹徒同樣寄發勒索信件給目標人士，但是修改郵件標頭「Reply-To」。和前面的攻擊不同在於，當目標收信者開啟了休假回覆功能，這個被驅動的回覆通知會被導向另一名目標人士，而非攻擊者或原收信者。同樣的，原始勒索信件被郵件過濾工具擋下，但包含勒索信件的休假回覆通知仍進入另一名人士的信箱中。

所幸本波郵件攻擊只包含純文字，沒有任何連結，比較像是騷擾信，稍有資訊素養的收信者不管它就沒事了，但是卻展現郵件系統的合法流程也會被用作不正當用途，萬一攻擊者使用更精細的手法，例如加入釣魚網站連結或惡意檔案而剛好未被安全系統掃瞄到，企業用戶就可能因此受害。

資料來源：Microsoft 365的收信回條、休假自動回覆被駭客用來對企業用戶發動攻擊

微軟宣布從10月13日起，Office 365將不再支援Office 2016以前的版本，從10月15日起，企業必須使用TLS 1.2以上來連接Office 365服務

文/林妍溱 | 2020-08-07發表

Office 2016 for Mac從10月13日起，也將終止技術支援。圖片來源／微軟

還在使用舊版Office的用戶秋天起就會發現無法順暢使用Office 365了。微軟宣布從10月13日起，Office 365將不再支援Office 2016以前的版本。

微軟說明，10月13日以後微軟只支援Microsoft 365 Apps for enterprise（原名Office 365 ProPlus）、Microsoft 365 Apps for business（原名Office 365 Business）、Office 2019及Office 2016連結Office 365/Microsoft 365服務。Office 365服務包括Exchange Online、SharePoint Online及OneDrive for Business等。

舊版Office 像是Office 2013今年秋天之後還是可以連上Office 365，只是可能會發生不穩的情況。此外，Mac用戶需注意，從10月13日起，Office 2016 for Mac也將終止技術支援，不再獲得支援。

微軟指出，今年10月以後，微軟雲端服務將不會再把舊版Office終端版本納入考量。長期而言，舊版Office軟體將會遭遇效能或穩定性問題，使用這些版本的企業也幾乎一定會碰到愈來愈高的安全風險，而且依各地法規或產業要求而定，也可能面臨無法遵循法規的問題。因此微軟呼籲管理員最好升級到訂閱版本的Office，像是Microsoft 365 Apps for enterprise。

微軟也提醒，從2020年10月15日起，企業必須使用TLS 1.2以上來連接Office 365服務。

Office 2016及2019的支援期到2023年10月。

不過關於Office 365支援的規定，並不影響InfoPath 2013或SharePoint Designer 2013。

資料來源：Office 365 10月起將不再支援舊版Office軟體

高通DSP晶片有重大安全漏洞，將允許駭客竊取裝置資訊、執行服務阻斷攻擊，或植入惡意程式，波及全球超過40%的手機，包括Google、三星、LG、小米或OnePlus高階機種

文/陳曉莉 | 2020-08-07發表

資安業者Check Point近日揭露，高通（Qualcomm）的數位訊號處理器（Digital Signal Processor，DSP）含有重大的安全漏洞，將允許駭客竊取裝置資訊、執行服務阻斷攻擊，或植入惡意程式，恐將波及逾40%的手機。Check Point準備在本周末舉行的DEFCON虛擬安全會議上，公布研究細節。

DSP為一整合軟體與硬體設計的系統單晶片，可用來支援裝置上的多種功能，包括充電能力、多媒體經驗，或是語音功能等，所有現代化手機都至少含有一個DSP，而高通所開發的Hexagon DSP則被應用在全球超過40%的手機上，包括由Google、三星、LG、小米或OnePlus打造的高階手機。

Check Point安全研究人員Slava Makkaveev表示，他們在Hexagon SDK上發現有許多嚴重的漏洞，使得不管是高通本身的Hexagon DSP或是嵌入客戶自製程式的DSP出現了逾400個潛在的安全漏洞，基本上，Hexagon SDK的漏洞幾乎讓所有高通的DSP函式庫都存在著安全風險。

位於Hexagon SDK上的安全漏洞包括CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208 與CVE-2020-11209，它們造成DSP晶片上，出現了超過400種易受攻擊的程式碼。

Check Point表示，相關的漏洞與脆弱性將允許駭客在不需使用者的互動下，把手機變成完美的間諜裝置，可自手機汲取照片、影片、通話紀錄、即時麥克風資料、GPS或位置資訊；而且駭客還可執行服務阻斷攻擊，讓手機失去能力，而永遠無法再存取裝置上的資料；或是直接在手機上嵌入無法移除的惡意程式。

Makkaveev則準備在DEFCON會議上展示，如何利用一個Android程式來繞過高通的簽章，並於DSP上執行程式碼，以及可能因此而衍生的其它安全問題。

Check Point已將漏洞與技術細節，轉交給高通及相關的製造商，Bleeping Computer則取得了高通的回應。高通表示，他們正努力確認此一問題並提供適當的緩解措施予製造商，目前並無證據顯示相關漏洞已遭到開採，但用戶也應在更新程式出爐後儘速部署，且只自可靠的程式市集上下載行動程式。

資料來源：Check Point：高通DSP晶片含嚴重安全漏洞，逾40%手機遭波及

這款後門程式先傳送魚叉式釣魚郵件誘使用戶點入連結下載LNK檔，並啟動一連串使用合法工具的攻擊行為，以躲避安全偵測，過去二年來已在南美洲以及歐洲造成資料竊取災情。

微軟周一警告駭客近日利用無檔案（fileless）或離地攻擊手法，以高明手法躲避防毒軟體偵測散佈後門程式以便從受害電腦竊取重要資料。

微軟Windows Defender ATP研究小組成員Andrea Lelli，發現到名為Astaroth的後門程式展現高超的離地攻擊（Living off the Land，LoL）手法，在其複雜的攻擊鏈當中完完全全只使用系統工具，使防毒軟體偵測難上加難。

他是在一次電腦遙測（telemetry）訊號的檢查中，發現有程式使用WMIC（Windows Management Instrumentation Command-line）工具跑一段腳本程式（XS Script Processing），顯示為無檔案攻擊。經過分析發現攻擊者直接在電腦記憶體中執行Astaroth後門程式。Astaroth 2017年首先被發現出現在南美洲一帶，是知名的資料竊取惡意程式，它會蒐集登入憑證、按鍵點擊紀錄等敏感資訊再傳送給遠端攻擊者，後者再以這些資訊在網路橫向移動、竊取財物、或在暗網上出售。

Astaroth攻擊最值得注意的是，所有執行檔案都是系統工具。這波攻擊一開始，駭客是傳送魚叉式釣魚郵件誘使用戶點入連結下載LNK檔，並啟動一連串使用合法工具的攻擊行為。首先，當用戶雙擊後，LNK檔會引發帶有/Format參數的WMIC工具執行，進而下載並執行JavaScript程式，後者之後再利用Bitsadmin工具下載惡意程式酬載。

所有酬載程式都是以Base64 編碼，並以合法的Certutil工具解碼。其中兩個酬載程式載入明碼的DLL檔（其他都經過加密），接著利用Regsvr32工具載入其中一個DLL檔，這個檔案再解密、下載其他檔案，直到最後的大魔王Astaroth被悄悄注入到Userinit程序中。

Astaroth 2018年初也擴及歐洲。去年10月再被發現於南美洲蔓延，短短一周即感染了8000多台電腦。

資料來源：微軟警告竊密程式Astaroth來襲，攻擊過程完全使用合法工具