攻擊者透過修改勒索郵件標頭驅動收信回條，導致郵件過濾工具雖然擋下勒索信件，但回條不會被擋下，讓勒索信件得以成功進入受害者信箱

文/林妍溱 | 2021-01-28發表

情境示意圖

收信回條或休假自動回覆是商務人士慣用的郵件功能，不過研究人員發現這些工具被駭客用來突破郵件過濾的安全防護，成為對企業用戶發動恐嚇信等郵件攻擊的新手法。

安全廠商Abnormal Security指出，去年聖誕節期間，正當許多企業員工休長假大量使用到收信回條及休假回覆時，有歹徒利用這兩個功能將詐騙郵件導向Microsoft365的用戶信箱。

研究人員說明，在使用收信回條的攻擊中，歹徒先準備好一封勒索郵件，再修改郵件標頭的「Disposition-Notification-To」，然後寄發郵件給目標人士。被修改的標頭驅動收信回條，使收信的受害者會收到包含原始勒索信件內文，而非發信的攻擊者。在這情況下，雖然郵件過濾工具可以自動擋下勒索信件，但由於回條不會被擋下，因此勒索信件就能成功進入受害者信箱內。

而在休假回覆（out of office notice）的攻擊情境中，歹徒同樣寄發勒索信件給目標人士，但是修改郵件標頭「Reply-To」。和前面的攻擊不同在於，當目標收信者開啟了休假回覆功能，這個被驅動的回覆通知會被導向另一名目標人士，而非攻擊者或原收信者。同樣的，原始勒索信件被郵件過濾工具擋下，但包含勒索信件的休假回覆通知仍進入另一名人士的信箱中。

所幸本波郵件攻擊只包含純文字，沒有任何連結，比較像是騷擾信，稍有資訊素養的收信者不管它就沒事了，但是卻展現郵件系統的合法流程也會被用作不正當用途，萬一攻擊者使用更精細的手法，例如加入釣魚網站連結或惡意檔案而剛好未被安全系統掃瞄到，企業用戶就可能因此受害。

資料來源：Microsoft 365的收信回條、休假自動回覆被駭客用來對企業用戶發動攻擊

微軟宣布從10月13日起，Office 365將不再支援Office 2016以前的版本，從10月15日起，企業必須使用TLS 1.2以上來連接Office 365服務

文/林妍溱 | 2020-08-07發表

Office 2016 for Mac從10月13日起，也將終止技術支援。圖片來源／微軟

還在使用舊版Office的用戶秋天起就會發現無法順暢使用Office 365了。微軟宣布從10月13日起，Office 365將不再支援Office 2016以前的版本。

微軟說明，10月13日以後微軟只支援Microsoft 365 Apps for enterprise（原名Office 365 ProPlus）、Microsoft 365 Apps for business（原名Office 365 Business）、Office 2019及Office 2016連結Office 365/Microsoft 365服務。Office 365服務包括Exchange Online、SharePoint Online及OneDrive for Business等。

舊版Office 像是Office 2013今年秋天之後還是可以連上Office 365，只是可能會發生不穩的情況。此外，Mac用戶需注意，從10月13日起，Office 2016 for Mac也將終止技術支援，不再獲得支援。

微軟指出，今年10月以後，微軟雲端服務將不會再把舊版Office終端版本納入考量。長期而言，舊版Office軟體將會遭遇效能或穩定性問題，使用這些版本的企業也幾乎一定會碰到愈來愈高的安全風險，而且依各地法規或產業要求而定，也可能面臨無法遵循法規的問題。因此微軟呼籲管理員最好升級到訂閱版本的Office，像是Microsoft 365 Apps for enterprise。

微軟也提醒，從2020年10月15日起，企業必須使用TLS 1.2以上來連接Office 365服務。

Office 2016及2019的支援期到2023年10月。

不過關於Office 365支援的規定，並不影響InfoPath 2013或SharePoint Designer 2013。

資料來源：Office 365 10月起將不再支援舊版Office軟體

高通DSP晶片有重大安全漏洞，將允許駭客竊取裝置資訊、執行服務阻斷攻擊，或植入惡意程式，波及全球超過40%的手機，包括Google、三星、LG、小米或OnePlus高階機種

文/陳曉莉 | 2020-08-07發表

資安業者Check Point近日揭露，高通（Qualcomm）的數位訊號處理器（Digital Signal Processor，DSP）含有重大的安全漏洞，將允許駭客竊取裝置資訊、執行服務阻斷攻擊，或植入惡意程式，恐將波及逾40%的手機。Check Point準備在本周末舉行的DEFCON虛擬安全會議上，公布研究細節。

DSP為一整合軟體與硬體設計的系統單晶片，可用來支援裝置上的多種功能，包括充電能力、多媒體經驗，或是語音功能等，所有現代化手機都至少含有一個DSP，而高通所開發的Hexagon DSP則被應用在全球超過40%的手機上，包括由Google、三星、LG、小米或OnePlus打造的高階手機。

Check Point安全研究人員Slava Makkaveev表示，他們在Hexagon SDK上發現有許多嚴重的漏洞，使得不管是高通本身的Hexagon DSP或是嵌入客戶自製程式的DSP出現了逾400個潛在的安全漏洞，基本上，Hexagon SDK的漏洞幾乎讓所有高通的DSP函式庫都存在著安全風險。

位於Hexagon SDK上的安全漏洞包括CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208 與CVE-2020-11209，它們造成DSP晶片上，出現了超過400種易受攻擊的程式碼。

Check Point表示，相關的漏洞與脆弱性將允許駭客在不需使用者的互動下，把手機變成完美的間諜裝置，可自手機汲取照片、影片、通話紀錄、即時麥克風資料、GPS或位置資訊；而且駭客還可執行服務阻斷攻擊，讓手機失去能力，而永遠無法再存取裝置上的資料；或是直接在手機上嵌入無法移除的惡意程式。

Makkaveev則準備在DEFCON會議上展示，如何利用一個Android程式來繞過高通的簽章，並於DSP上執行程式碼，以及可能因此而衍生的其它安全問題。

Check Point已將漏洞與技術細節，轉交給高通及相關的製造商，Bleeping Computer則取得了高通的回應。高通表示，他們正努力確認此一問題並提供適當的緩解措施予製造商，目前並無證據顯示相關漏洞已遭到開採，但用戶也應在更新程式出爐後儘速部署，且只自可靠的程式市集上下載行動程式。

資料來源：Check Point：高通DSP晶片含嚴重安全漏洞，逾40%手機遭波及

這款後門程式先傳送魚叉式釣魚郵件誘使用戶點入連結下載LNK檔，並啟動一連串使用合法工具的攻擊行為，以躲避安全偵測，過去二年來已在南美洲以及歐洲造成資料竊取災情。

微軟周一警告駭客近日利用無檔案（fileless）或離地攻擊手法，以高明手法躲避防毒軟體偵測散佈後門程式以便從受害電腦竊取重要資料。

微軟Windows Defender ATP研究小組成員Andrea Lelli，發現到名為Astaroth的後門程式展現高超的離地攻擊（Living off the Land，LoL）手法，在其複雜的攻擊鏈當中完完全全只使用系統工具，使防毒軟體偵測難上加難。

他是在一次電腦遙測（telemetry）訊號的檢查中，發現有程式使用WMIC（Windows Management Instrumentation Command-line）工具跑一段腳本程式（XS Script Processing），顯示為無檔案攻擊。經過分析發現攻擊者直接在電腦記憶體中執行Astaroth後門程式。Astaroth 2017年首先被發現出現在南美洲一帶，是知名的資料竊取惡意程式，它會蒐集登入憑證、按鍵點擊紀錄等敏感資訊再傳送給遠端攻擊者，後者再以這些資訊在網路橫向移動、竊取財物、或在暗網上出售。

Astaroth攻擊最值得注意的是，所有執行檔案都是系統工具。這波攻擊一開始，駭客是傳送魚叉式釣魚郵件誘使用戶點入連結下載LNK檔，並啟動一連串使用合法工具的攻擊行為。首先，當用戶雙擊後，LNK檔會引發帶有/Format參數的WMIC工具執行，進而下載並執行JavaScript程式，後者之後再利用Bitsadmin工具下載惡意程式酬載。

所有酬載程式都是以Base64 編碼，並以合法的Certutil工具解碼。其中兩個酬載程式載入明碼的DLL檔（其他都經過加密），接著利用Regsvr32工具載入其中一個DLL檔，這個檔案再解密、下載其他檔案，直到最後的大魔王Astaroth被悄悄注入到Userinit程序中。

Astaroth 2018年初也擴及歐洲。去年10月再被發現於南美洲蔓延，短短一周即感染了8000多台電腦。

資料來源：微軟警告竊密程式Astaroth來襲，攻擊過程完全使用合法工具

裝置明明可以連上網路，但是Windows 10 的網路連線指示卻顯示沒有的問題，會影響某些仰賴Windows 10連線的App，包括Cortana、Windows Store與 Spotify會因此進入離線狀態

Windows 10 2004釋出後，有各種一直未解決的問題，像是明明可以連網，但是Windows 10 的網路連線指示卻顯示沒有。微軟最近終於承認並著手調查。

早在5月底前Windows 10 2004釋出前，就有使用者透過Insider Program測試並反映當他確認有Wi-Fi網路時，工作列上的Wi-Fi圖示卻顯示「沒有網路連線」，開啟Cortana語音助理也說Windows 10無法連網而無法使用。此外連固網連線Windows 10也出現錯誤顯示。這個問題一直到7月初都還有人反映。

雖然顯示不能連網，但這問題並不影響瀏覽一般網頁。但是某些仰賴Windows 10連線的App卻會受到影響。除了Cortana、Windows Store外，若App本身不會偵測網路連線，這時即會因錯誤的Windows 10顯示而無法使用，如Spotify會進入離線狀態。

微軟表示已經得知這個問題，目前尚未解解，公司現在正在調查。諷刺地是，有用戶試圖透過Windows意見反應中樞（Feedback Hub）反映這些問題，卻因為被告知「Windows 10沒有連線」而無法使用。

在微軟釋出新版本解決臭蟲前，仍有方法可以暫時解決。Windows Latest建議利用Windows搜尋功能輸入「regedit」叫出登錄編輯程式，找到「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\
Parameters\Internet」找到「EnableActiveProbing」，將值由0改為1，完成後重啟電腦即可。

資料來源：微軟調查Windows 10出現錯誤顯示沒有網路連線的臭蟲