2024/12/09-12/13 資安一週大事

資安漏洞

[12月09日] 微軟修補已遭利用的 CLFS 零時差漏洞，12月例行更新強化系統安全

在 12 月的例行更新中，微軟修復了 72 個漏洞，其中有一個特別需要注意的漏洞：

CVE-2024-49138 權限提升漏洞

攻擊者可以利用該漏洞讓系統崩潰，甚至獲取最高層級的權限，進一步控制整個電腦系統，並且該漏洞已被黑客用於實際攻擊行動。

(CVSSv3 風險分數: 7.8｜風險等級: 中等)

除了這個已被利用的漏洞，這次更新還修復了其他一些高風險的問題，例如影響 LDAP（輕量目錄存取協定）的 CVE-2024-49112 和與 LSASS（本地安全授權子系統）相關的 CVE-2024-49126。

建議：

如果你尚未更新系統，建議盡快執行，保持系統定期更新以降低被攻擊的風險。

資料來源：

https://www.ithome.com.tw/news/166452

資安事件

[12月10日] 駭客濫用 VSCode 隧道功能，遠端操控受害電腦

中國駭客發動了一項名為 「Operation Digital Eye」 的網路攻擊，目標是南歐的一家大型B2B科技服務公司及其下游合作企業。這次攻擊利用了一個常見的開發工具 Visual Studio Code (VSCode) 的遠端開發隧道功能，作為隱藏的「後門」來控制受害系統。

攻擊手法：

1. 取得進入點：駭客先用類似 SQL 注入的方法，突破目標公司的安全系統，獲得初步的存取權限。

2. 安裝工具：他們在系統中部署了一種叫 Web Shell 的惡意工具，並利用遠端桌面協定 (RDP) 和密碼攻擊技術 (pass-the-hash) 進一步滲透內部系統。

3. 隱蔽控制：最後，駭客利用 VSCode 的隧道功能，實現長期的系統控制，並且由於這個隧道功能依賴 Azure 平台且由微軟簽章，能有效躲過許多安全檢測。

   
   

為何這次攻擊引人注意？

這次攻擊手法非常隱蔽，駭客利用合法工具的功能來掩蓋自己的惡意行為，讓安全系統難以察覺。此外，調查人員發現，這並非 VSCode 隧道功能第一次被濫用，可能是中國駭客之間共享攻擊技術所致，並懷疑像 Storm-0866 或 Sandman APT 這類駭客組織參與其中。

建議：

• 如果你或你的公司使用 VSCode 或 Azure 等工具，請確保使用強密碼、啟用多重驗證並定期檢查系統安全性。

• 對於企業來說，應加強監控系統中合法工具的異常行為，防範類似的攻擊。

資料來源：

https://www.ithome.com.tw/news/166468

資安漏洞

[12月11日] Cleo 文件傳輸軟體漏洞遭駭客積極利用

最近有駭客積極利用 Cleo 檔案傳輸軟體中的漏洞來進行攻擊。這些漏洞包含 CVE-2024-50623 和另一個尚未分配編號的漏洞。這次事件對許多使用 Cleo 軟體的公司帶來了安全風險。

攻擊手法：

1. 未授權檔案操作：駭客能透過這些漏洞，未經許可上傳或下載檔案，將惡意程式植入受害系統。

2. 安裝惡意程式：利用軟體的預設設定（如 autorun 目錄），駭客得以在系統上安裝惡意程式，並建立反向 shell 連接，進一步掌控系統。

   
   

修補問題未解決：

雖然 Cleo 公司在 10 月已針對 CVE-2024-50623 發布了補丁，但研究顯示這個補丁無法完全解決問題，駭客依然能利用漏洞成功入侵。

建議：

Huntress 和 Rapid7 的研究人員分享了他們的調查結果，並提供了一些緩解措施和修補程式的建議。這也提醒所有企業，定期更新軟體和加強網路安全防護非常重要，尤其對於檔案傳輸這類可能涉及敏感資訊的工具。

資料來源：

https://www.helpnetsecurity.com/2024/12/10/cve-2024-50623-cleo-file-transfer-software-vulnerabilities-exploited/

惡意軟體

[12月12日] 利用 Windows UI 框架的惡意軟體技術可繞過 EDR 工具

駭客利用兩種新型技術來攻擊系統，這些技術特別危險，它們利用 Windows 系統的合法功能使得安全工具難以辨識惡意行為，增加防禦的難度。

第一種技術：利用 UI 自動化框架（UIA）

駭客透過模擬輔助使用軟體（例如提供視障人士使用的工具）的操作，成功繞過防毒軟體和 EDR（端點檢測與回應）等安全工具。這種方法可以讓他們：

• 竊取資料：像是密碼或個人資訊。

• 操控網頁：改變網頁行為，甚至進行詐騙操作。駭客利用 UIA 的合法權限存取系統的使用者介面，隱蔽地執行這些惡意行為。

  
  

第二種技術：利用 DCOM 協定

另一種技術則針對 Windows 的 DCOM（分散式元件物件模型）遠端協定。駭客可以透過它在網路上寫入自訂的惡意程式，並：

• 創建後門：讓他們能長期掌控系統。

• 實現橫向移動：從一台電腦滲透到整個網路。雖然這種方法會留下痕跡，但也突顯了 DCOM 協定在安全設計上的漏洞。

  
  

建議：

• 定期更新系統和軟體，以防止已知漏洞被利用。

• 監控異常行為，即使是合法工具的使用也應注意是否有異常操作。

• 加強安全防禦措施，包括啟用多層防護和深入的網路檢測。

資料來源：

https://thehackernews.com/2024/12/new-malware-technique-could-exploit.html

資安事件、勒索軟體

[12月13日] 羅馬尼亞主要電力公司 Electrica 遭勒索軟體 Lynx 攻擊

羅馬尼亞最大的電力公司 Electrica Group 最近遭勒索軟體 Lynx 攻擊，這個攻擊從今年7月至11月，針對超過20家能源、石油、天然氣業者下手。

攻擊概況

• 攻擊者背景：Lynx 勒索軟體以往的目標多集中在美國的能源企業，這次又將矛頭指向羅馬尼亞的能源公司。

• 官方反應：羅馬尼亞國家網路安全局（DNSC）已確認這次攻擊，並向業界發布了偵測攻擊的工具（如 YARA 規則和入侵指標 IoC），提醒其他能源公司提高警惕。

  
  

為何這次事件引人注意？

雖然 Electrica Group 表示電力系統仍在正常運行，但這次事件再次凸顯了能源產業的網路安全風險。一旦攻擊成功，不僅可能導致大規模停電，還會影響國家經濟和民生安全。

建議：

• 能源公司應加強防護：包括定期更新系統、檢查網路異常，以及培訓員工如何應對網路威脅。

• 業界合作：共享攻擊資訊，聯合應對潛在威脅。

資料來源：

https://www.ithome.com.tw/news/166482