資料來源：【資安日報】12月15日，小型路由器成中國駭客組織Volt Typhoon下手目標，駭客植入殭屍網路病毒，入侵受害組織進行間諜行動 | iThome

防止攻擊者利用社交工程手法入侵管理者帳號引發進一步危害，Google Workspace將針對管理員指定的帳號設定變更行為，提供雙重確認機制

Google上周宣布生產力服務Workspace新增AI為基礎的安全功能，以降低資料外洩風險及符合歐美法規。Google Workspace同時加入某些功能需2名管理員同意，以及強制某些用戶管理員帳號啟用2步驟驗證。

Google引用第三方報告指出，Workspace加入企業安全功能後，在被濫用的已知漏洞、電子郵件安全事件，以及因資安事件衍生保險支出方面，和主流舊式（如微軟）方案相比都大幅減少。為此Google Workspace持續擴充以AI為基礎的零信任（zero-trust）、數位主權及威脅防護控制，以確保企業資料安全。

在AI為基礎的零信任安全功能方面，首先，Google Drive將加入AI資料分類標籤及情境式資料外洩防護（DLP）。管理員可設定AI模型自動為Drive的檔案加標籤及分類，並且設定情境感知存取（context-aware access，CAA）政策，例如按裝置所在地點或安全狀態決定員工能否把敏感資料分享出去。之後AI即可按企業安全政策為資料分類、標籤，並實行資料外洩防護及資料存取管制。AI資料分類及標籤現在已經開放預覽版測試，情境式DLP則會在幾個月內開放測試。

圖片來源_Google

第三項則是為Gmail強化DLP，允許管理員控制員工對內、對外如何分享敏感資料，也將在幾個月後開放預覽測試。

在資料主權（data sovereignty）功能方面，首先，Workspace將新增多項用戶端加密（client-side encryption，CSE）功能。CSE是指從用戶端即加密資料再傳送出去，只有發送者擁有加密金鑰，因此即使伺服器端或服務供應商都無法存取敏感資料。在最新的宣布中，Google Calendar、Gmail和Meet行動版App已正式支援CSE，現在正在測試於Workspace中讀取編輯Microsoft Excel檔案。此外Google預定今年內預覽3項CSE功能，包括特定組織單位預設啟用CSE、及Google Docs評論、外部用戶以Guest身分加入Meet通話時支援CSE。

圖片來源_Google

Google也將允許CSE用戶選擇加密金鑰和資料儲存的位置。在前者中，Google和安全廠商Thales、Stormshield及Flowcrypt合作，讓CSE用戶得以選擇將加密金鑰儲存在屬意的國家以滿足法規。今年稍晚，Workspace也會以預覽版測試讓企業選擇資料處理（歐盟或美國），以及Workspace備份儲存的地點所在。

另外，Workspace也讓企業控制Google技術支援可存取哪些資料、監控Google的行為，並讓美國企業設定只允許美國Google支援。今年稍晚則將允許歐盟企業限定歐盟地區的支援。

最後，為防止管理員遭到釣魚攻擊致Workspace帳號被接管，Workspace將在今年內預覽一項新功能，Workspace允許管理員設定某些敏感行為，如變更2SV設定，需獲得另一名管理員同意。其次，Google也要求某些Workspace企業管理員帳號強制啟用兩步驟驗證（2-step verification，2SV），今年稍晚將從最大型企業用戶，以及Google經銷商開始執行。

圖片來源_Google

Google上周並另外發布2項預覽功能，包括以AI為基礎的Gmail電子郵件過濾或轉寄之防護，以及將Workspace log紀錄匯出到Chronicle，以判斷可能的異常活動。

所有預告的Workspace安全功能，現在已開放企業管理員免費試用。Google並將在下個月的Next ‘ 23大會上正式發表。

資料來源：Google Workspace新增AI安全功能，部份設定變更需2名管理員

駭客利用1千多個惡意網域冒充遠端桌面連線軟體AnyDesk站點，以散布竊密程式Vidar

文/林妍溱 | 2023-01-11發表

安全研究人員發現一波惡意攻擊活動，利用1,300多個惡意網域冒充遠端桌面連線軟體AnyDesk站點，以便在用戶電腦下載竊密程式Vidar。

代號crep1x的安全廠商SEKOIA研究人員指出，這些假網域全部都解析成185.149.120[.]9的IP位址。不慎連入的用戶會被導向同一個Dropbox連結，以下載Vidar竊密程式。

研究人員也公開這逾千網域的主機清單，其中許多都是刻意打錯字以冒充知名軟體7-Zip、Slack、AnyDesk、TeamViewer的誤植域名攻擊（typosqat）手法，但都顯示為AnyDesk網站，看起來是重覆使用之前其他惡意活動的網域。

南韓安全公司AhnLab研究人員指出，Vidar主要目的是竊取資訊，但也常被用以散布勒索軟體。攻擊者經常是在知名服務或社交平臺建立一次性帳號代管C&C網址，或是挾帶在電子郵件附檔巨集中散布。一旦Vidar在用戶電腦蒐集機敏資訊，即會將這些資訊壓縮成.Zip檔傳送給C&C主機。

Crep1x 指出，目前大部分惡意主機都還在營運中。研究人員尚不清楚這些網址的散布途徑為何。

新聞來源：上千假AnyDesk網站散布竊密程式Vidar

先後有研究人員證實iOS 15、iOS 16都會繞過VPN和蘋果伺服器通訊，恐導致用戶資訊外洩，而且這類情況也同樣發生在Android

文/林妍溱 | 2022-10-18發表

研究人員Tommy Mysk及其團隊公布在安裝iOS 16.0.3的iPhone上，如何在開啟ProtonVPN後洩露用戶訊息的實驗。根據Mysk張貼的影片，當iPhone或iPad用戶開啟VPN下使用Apple Maps，攻擊者可以輕鬆查詢到他的IP位址、或DNS查詢目的地等資料。（圖片來源／Mysk on Twitter）

8月間一名研究人員指控蘋果刻意讓iOS 15繞過VPN和蘋果伺服器通訊。本周另一個安全團隊發現，到了iOS 16，這個問題仍然存在，手機啟用VPN後，用戶資訊仍然洩露。此外，Android也會繞過VPN和Google服務伺服器建立通訊。

研究人員Tommy Mysk及其團隊上周公布在安裝iOS 16.0.3的iPhone上，如何在開啟ProtonVPN後洩露用戶訊息的實驗。根據Mysk張貼的影片，當iPhone或iPad用戶開啟VPN下使用Apple Maps，攻擊者可以輕鬆查詢到他的IP位址、或DNS查詢目的地等資料。

Mysk說明，駭客其實只要一臺Mac和Wireshark封包分析軟體，就可以透過將目標裝置連到Mac同一個Wi-Fi網路，輕鬆監控任何裝置的網路流量。

除了Apple Maps，研究團隊發現，包括Apple Health、Wallet、Apple Store、Clips、Files、Find My、通知（Push Notification）都可以類似手法曝露用戶資料。

圖片來源／Mysk on Twitter

8月間另一名研究人員披露蘋果刻意未將所有App導入VPN引發重視，當時研究人員實驗的是較舊版的iOS 15.4及15.5版，Mysk的實驗顯示在最新的iOS 16也有這問題。

研究人員對9to5mac表示，他相信蘋果是刻意這麼做的。上述App需要經常和蘋果伺服器建立連線，像是Find My及通知，因而研究觀測到的流量超出預期。不過研究人員認為，這些流量還是加密狀態，因此用戶資訊還是安全的。

另一方面Mysk指出，Android也沒有比較安全。他說他曾經以安裝Android 13的Pixel做過類似測試，也一樣能查到用戶IP。研究人員並指出，即使Android裝置用戶勾選了「永遠啟用VPN」及「沒有VPN則封鎖連線」的選項，Android也是在VPN連線以外，和Google服務伺服器建立通訊。

圖片來源／Mysk on Twitter

資料來源：iOS 16依然繞過VPN建立連線，洩露用戶資訊 | iThome

根據WordPress外掛安全服務業者Patchstack觀察，在2021年有29％含有重大安全漏洞的WordPress外掛，負責的開發者選擇忽略修補作業甚至直接下架了事
文/陳曉莉 | 2022-03-10發表

專門提供WordPress外掛程式安全服務的Patchstack，本周出版了WordPress安全狀態的年度報告，指出在2021年所發現的WordPress外掛程式重大安全漏洞中，有29%沒有被開發者修補，而且使用者可能渾然不覺。

開源的WordPress為全球最熱門的內容管理系統，去年全球大約有43.2%的網站採用WordPress建置，高於2020年的39.5%，這些WordPress網站使用了各式各樣的外掛程式來改善網站功能或呈現，也讓專門強化WordPress外掛程式安全性的資安公司應運而生，如Wordfence或Patchstack。根據Patchstack去年的分析，每個WordPress網站平均採用了18個不同的外掛程式或主題。

Patchstack的調查顯示，2020年在有關WordPress的安全漏洞中，3.78%出現在WordPress核心，卻有96.22%現身於外掛程式及主題，但到了2021年，外掛程式及主題的漏洞卻增加到99.42%，主題占了6.61%，外掛程式則是92.81%，WordPress核心漏洞降至0.58%。

這些漏洞以跨站指令碼（Cross Site Scripting，XSS）為首，總計占了49.82%，居次的是跨站請求偽造（CSRF）的11.18%，僅有0.94%屬於遠端程式攻擊漏洞。值得注意的是，在所有的WordPress網站中，有42%都安裝了至少1個含有安全漏洞的元件。

此外，在所有的漏洞中，有3.41%被列為重大等級，CVSS風險評分超過9，去年總計有35個WordPress外掛程式漏洞被列為重大等級，其中一個藏匿在All in One SEO plugin中，該外掛程式的安裝數量超過300萬，另一個出現在WP Fastest Cache plugin，安裝數量也超過100萬。

儘管上述兩個外掛程式開發者都已修補了漏洞，但也有高達29%的外掛程式重大漏洞並沒有被修補。Patchstack說，這些未修補的外掛程式有時只是簡單被WordPress、其它市集或開發者下架，並沒有警告既有的用戶，代表使用者必須手動檢查這些外掛程式的版本別或安全狀態，再加以移除或選擇其它的替代程式。

Patchstack的調查還曝露出另外一個問題，亦即儘管WordPress生態體系存在著許多安全漏洞，但WordPress網站並沒有太多的安全預算，例如有28%完全沒有安全預算，有27%每月的安全預算低於3美元，只有7%每月會編列50美元的安全預算。

資料來源：WordPress的外掛程式中，近3成的重大漏洞沒有被修補

微軟在1月17日釋出例外更新，以解決1月Patch Tuesday針對Windows Server及Windows釋出的安全更新在用戶端所引發的問題，連已終止支援的Windows 7、Server 2008也都在修補之列
文/林妍溱 | 2022-01-18發表

微軟昨（1/17）日釋出例外更新（out-of-band，OOB），以解決上周Windows及Windows Server更新引發的無限重開機、Hyper-V無法啟動以及Windows電腦無法執行VPN連線的問題，連已終止支援的Windows 7、Server 2008也都在修補之列。

微軟表示，這波OOB更新將分別解決和Windows網域控制器（Domain Controller）重開、虛擬機器啟動失敗、彈性檔案系統（ReFS）可移除媒體無法啟動相關的問題。

上周Patch Tuesday針對Windows Server及Windows釋出的安全更新，用戶下載安裝後陸續出現上述問題。微軟也分別提供說明。其中當網域控制器在強化安全性系統管理員環境（Enhanced Security Admin Environment，ESAE）環境下使用Shadow Principal物件，或是啟動Privileged Identity Management（PIM）的環境會發生不預期開機，導致許多用戶經歷Windows Server伺服器不斷重開機。

針對彈性檔案系統（ReFS）無法啟動，微軟解釋，是出於可移除媒體包括USB外部磁碟不支援這個檔案統格式。Hyper-V無法啟動VM的問題則發生在使用UEFI的系統裝置上。

至於VPN連線問題，微軟指出包含Vender ID的IPSEC連線、或使用第二層隧道協定（Layer 2 Tunneling Protocol，L2TP）及IPSEC網際網路金鑰交換（Internet Key Exchange）的VPN，在Windows PC安裝更新後都可能無法啟動。

雖然主要是現今主流的Server 2012R2、Server 2016、Server 2019、Windows Server 10 20H1、Server 20H2、Server 2022、及Windows 10（20H2、20H1、1909、1607、1507）、11（21H1）受影響，不過微軟這波例外更新的發布對象，也涵括微軟已終止支援的Windows 7 SP1、Windows Server 2008 SP2。

管理員或用戶可以在Update Catalog手動下載更新。部份版本可經由Windows Update自動下載安裝。

資料來源：微軟緊急修補Windows Server、Windows桌機版 1月安全更新問題

根據Google Project Zero的分析，Forcedentry是個零點擊攻擊程式，駭客只要知道目標對象的電話號碼或是Apple ID的使用者名稱就能展開攻擊，完全不需要與使用者互動
文/陳曉莉 | 2021-12-16發表

公民實驗室（Citizen Lab）日前揭露以色列資安業者NSO Group以Forcedentry攻擊程式駭進iPhone，再於受害者手機上植入Pegasus間諜程式，Google Project Zero團隊向公民實驗室取得了Forcedentry樣本，於本周公布該攻擊程式的細節，並說這是該團隊所見過的最精細的攻擊程式之一，證明了過去原本以為只有少數國家所具備的能力，其實也能由NSO Group提供給其它的國家。

Forcedentry所開採的是位於蘋果作業系統圖像渲染函式庫CoreGraphics的CVE-2021-30860漏洞，它是一個整數溢位漏洞，在處理惡意的PDF檔案時，將允許駭客執行任意程式。蘋果已於今年9月13日修補該漏洞。

根據Google Project Zero團隊的分析，Forcedentry是個零點擊攻擊程式，在駭客透過iMessage傳送假GIF檔案時，iMessage在手機顯示這些圖像時就已先行進行解析，而成為駭客的切入點，代表駭客只要知道目標對象的電話號碼或是Apple ID的使用者名稱就能展開攻擊，完全不需要使用者的任何互動。

至於CVE-2021-30860漏洞具體的位置則在於CoreGraphics的PDF解析器，駭客利用PDF內建之影像壓縮標準JBIG2的漏洞展開攻擊，儘管JBIG2本身並未具備編寫腳本的能力，但結合漏洞之後卻能在任何記憶體上模擬任何邏輯閘電路，等於可建置自己的電腦架構及腳本程式，而這就是Forcedentry的功能，它的速度並不如Javascript，但在運算能力上卻是相當的。

Google Project Zero團隊指出，Forcedentry便運作在這個邏輯電路上，而整個攻擊環境則是由JBIG2串流的單一解壓縮所造就的，這非常的不可思議，也極為可怕。

NSO Group不僅能駭入蘋果裝置，也能駭入Android裝置，Google則說，他們知道NSO Group也銷售鎖定Android的零點擊攻擊程式，歡迎握有樣本的組織或個人與其接洽。

資料來源：Google公布NSO Group用來駭進蘋果iMessage的Forcedentry攻擊程式細節

向微軟通報本地權限升級（LPE）漏洞CVE-2021-34484的研究人員指出，8月釋出的官方修補只解決了問題表面，攻擊者仍可在已修補的Windows系統中擴大權限，執行管理員指令 
文/林妍溱 | 2021-11-02發表

一名研究人員發現微軟8月修補的一項Windows漏洞並未修補完全，使攻擊者可在已修補的Windows系統中擴大權限，執行管理員指令。

問題出在研究人員Abdelhamid Naceri今年稍早發現、並通報的Windows使用者設定檔服務（Windows User Profile Service）中的本地權限升級（Local Privilege Elevation，LPE）漏洞。它被列為CVE-2021-34484追蹤，屬CVSS 3.1風險值7.8的漏洞。這項漏洞已於8月間由微軟修補。

但是Naceri檢視了微軟的修補程式後，認為並未修補完全。他說明該漏洞能允許與原帳戶不同密碼的使用者帳號執行程式，甚至不知道其他人的密碼也可以。

他還在GitHub公布了新的PoC，成功存取受害系統後以系統管理員身份執行shell指令。

研究人員對媒體指出，微軟並未根據他最早的通報報告來修補，只解決了第1次PoC的效果，即刪除目錄，也就是只解決了表面徵兆，但並未解決根本原因，這使其第2次PoC依然成功將一般用戶權限提升到管理員權限。

這個漏洞影響所有Windows伺服器及桌機版本，包括最新的Windows 11及Server 2022。

微軟表示正在調查此事，以確保用戶安全。

這是Windows最新一個被懷疑是修補不全的漏洞。今年7月微軟緩衝列印多工服務（Print Spooler）的CVE-2021-34527 LPE和RCE（遠端程式碼執行）漏洞，被研究人員懷疑修補不完整，以致於PoC仍然可執行作用。不過微軟後來證實是新的漏洞，而非修補不完全。

資料來源：Windows LPE漏洞修補不全，影響所有版本