蘋果在macOS Sequoia 15.2修補StorageKit元件漏洞CVE-2024-44243，通報此事的微軟本週公布細節，並指出該漏洞能繞過作業系統的系統完整性保護（System Integrity Protection，SIP）機制，而有機會遭到利用

文/周峻佑 | 2025-01-14發表

去年12月蘋果發布macOS Sequoia 15.2，當中修補存在StorageKit元件的漏洞CVE-2024-44243，在改版公告裡面，蘋果僅簡略提到攻擊者有機會用其竄改受到保護的檔案系統元件，以及這是由微軟通報的問題，相關細節最近被公開。

微軟威脅情報中心指出，蘋果在macOS作業系統內建的系統完整性保護（System Integrity Protection，SIP）機制，會因為這個漏洞而被繞過，攻擊者可藉由載入第三方的核心延伸套件來觸發，CVSS風險為5.5。

雖然CVE-2024-44243危險程度僅被評為中等，但研究人員指出，由於SIP的功能是限制可能破壞系統完整性的行為，一旦被繞過，影響將有可能非常嚴重，例如：攻擊者植入rootkit的成功率增加，或是利用惡意軟體持續於在受害電腦活動，甚至能繞過該作業系統另一項防護機制Transparency, Consent, and Control（TCC）。

這項漏洞之所以浮上檯面，源自微軟研究名為storagekitd的處理程序時的發現，storagekitd本身是Storage Kit框架用來掌管磁碟狀態的元件。Storage Kit本身就具備多種能繞過SIP的功能，因此，微軟決定針對storagekitd子處理程序進行調查，他們試著利用磁碟公用程式diskutil觸發漏洞並繞過SIP，也覆寫蘋果核心延伸元件的排除名單，藉此證明漏洞的危險性。

研究人員強調，並非這類磁碟工具存在共通的弱點，問題的癥結在於storagekitd能在未通過適當驗證或是取得權限的情況下，呼叫任意處理程序。

資料來源：微軟通報macOS系統完整性保護元件漏洞，攻擊者可乘機植入核心層級惡意驅動程式

資安業者Check Point發現勒索軟體FunkSec的攻擊行動，並指出駭客並未具備相關技能，而是透過AI工具的輔助，打造作案所需的各式武器

文/周峻佑 | 2025-01-13發表

人工智慧當紅，駭客也將其用於網路犯罪，其中最常見的是產生幾可亂真的釣魚信內容，或是用於製作假訊息網站，甚至也有人用於軟體開發的部分，使得攻擊者所需的門檻大幅降低，如今有缺乏相關技術的駭客運用AI打造勒索軟體。

資安業者Check Point揭露名為FunkSec的勒索軟體，該惡意程式大約從去年底開始出沒，駭客12月底聲稱已有85個企業或組織遇害。這波攻擊行動所用的技術並不高，研究人員研判當中運用的工具，應該是運用AI輔助開發而成。

研究人員根據攻擊者發布的內容與工具，研判裡面運用AI幫忙生成，例如，在攻擊者公開的指令碼當中，研究人員看到裡面的註解用了相對完美的英文，在其他媒體卻用非常基本的英文，這些註解很可能是由大型語言模型（LLM）代理產生的。 在與該組織贖金軟體連結的Rust原始碼中，也可以看到類似的模式，顯示它可能是在AI的協助下開發的。另一方面，這些駭客在公開的訊息當中，特別提及他們的勒索軟體開發與AI代理有關，很有可能駭客向AI代理提供了勒索軟體的原始碼，然後在網站上提供輸出的內容。

值得留意的是，這些歹徒索討的贖金並不高，有時候僅不到1萬美元，他們也以低價手段把竊得資料出售，這樣的情況也在網路犯罪圈引起關注。

上述的受害者以美國、印度最多，分別占21%、16%，其次是義大利、巴西、以色列，分別有5%、5%、4%。

這些駭客以租用服務（RaaS）將FunkSec提供買家運用，並在近期發布的1.5版檔中，標榜大部分的防毒軟體無法偵測此勒索軟體，在VirusTotal平臺僅有3個防毒引擎將其視為有害。但研究人員發現，開發者很有可能來自阿爾及利亞，而且會在駭客論壇詢問相當基礎的問題，這代表這些駭客並未具備相關的技能。研究人員發現，這些人為了壯大聲勢，他們有許多公布的竊得資料，實際上源自於其他犯罪組織的攻擊行動。

資料來源：以AI打造的勒索軟體FunkSec向受害者進行雙重勒索，聲稱已有85個企業組織受害

資料來源：【資安日報】12月15日，小型路由器成中國駭客組織Volt Typhoon下手目標，駭客植入殭屍網路病毒，入侵受害組織進行間諜行動 | iThome

防止攻擊者利用社交工程手法入侵管理者帳號引發進一步危害，Google Workspace將針對管理員指定的帳號設定變更行為，提供雙重確認機制

Google上周宣布生產力服務Workspace新增AI為基礎的安全功能，以降低資料外洩風險及符合歐美法規。Google Workspace同時加入某些功能需2名管理員同意，以及強制某些用戶管理員帳號啟用2步驟驗證。

Google引用第三方報告指出，Workspace加入企業安全功能後，在被濫用的已知漏洞、電子郵件安全事件，以及因資安事件衍生保險支出方面，和主流舊式（如微軟）方案相比都大幅減少。為此Google Workspace持續擴充以AI為基礎的零信任（zero-trust）、數位主權及威脅防護控制，以確保企業資料安全。

在AI為基礎的零信任安全功能方面，首先，Google Drive將加入AI資料分類標籤及情境式資料外洩防護（DLP）。管理員可設定AI模型自動為Drive的檔案加標籤及分類，並且設定情境感知存取（context-aware access，CAA）政策，例如按裝置所在地點或安全狀態決定員工能否把敏感資料分享出去。之後AI即可按企業安全政策為資料分類、標籤，並實行資料外洩防護及資料存取管制。AI資料分類及標籤現在已經開放預覽版測試，情境式DLP則會在幾個月內開放測試。

圖片來源_Google

第三項則是為Gmail強化DLP，允許管理員控制員工對內、對外如何分享敏感資料，也將在幾個月後開放預覽測試。

在資料主權（data sovereignty）功能方面，首先，Workspace將新增多項用戶端加密（client-side encryption，CSE）功能。CSE是指從用戶端即加密資料再傳送出去，只有發送者擁有加密金鑰，因此即使伺服器端或服務供應商都無法存取敏感資料。在最新的宣布中，Google Calendar、Gmail和Meet行動版App已正式支援CSE，現在正在測試於Workspace中讀取編輯Microsoft Excel檔案。此外Google預定今年內預覽3項CSE功能，包括特定組織單位預設啟用CSE、及Google Docs評論、外部用戶以Guest身分加入Meet通話時支援CSE。

圖片來源_Google

Google也將允許CSE用戶選擇加密金鑰和資料儲存的位置。在前者中，Google和安全廠商Thales、Stormshield及Flowcrypt合作，讓CSE用戶得以選擇將加密金鑰儲存在屬意的國家以滿足法規。今年稍晚，Workspace也會以預覽版測試讓企業選擇資料處理（歐盟或美國），以及Workspace備份儲存的地點所在。

另外，Workspace也讓企業控制Google技術支援可存取哪些資料、監控Google的行為，並讓美國企業設定只允許美國Google支援。今年稍晚則將允許歐盟企業限定歐盟地區的支援。

最後，為防止管理員遭到釣魚攻擊致Workspace帳號被接管，Workspace將在今年內預覽一項新功能，Workspace允許管理員設定某些敏感行為，如變更2SV設定，需獲得另一名管理員同意。其次，Google也要求某些Workspace企業管理員帳號強制啟用兩步驟驗證（2-step verification，2SV），今年稍晚將從最大型企業用戶，以及Google經銷商開始執行。

圖片來源_Google

Google上周並另外發布2項預覽功能，包括以AI為基礎的Gmail電子郵件過濾或轉寄之防護，以及將Workspace log紀錄匯出到Chronicle，以判斷可能的異常活動。

所有預告的Workspace安全功能，現在已開放企業管理員免費試用。Google並將在下個月的Next ‘ 23大會上正式發表。

資料來源：Google Workspace新增AI安全功能，部份設定變更需2名管理員

駭客利用1千多個惡意網域冒充遠端桌面連線軟體AnyDesk站點，以散布竊密程式Vidar

文/林妍溱 | 2023-01-11發表

安全研究人員發現一波惡意攻擊活動，利用1,300多個惡意網域冒充遠端桌面連線軟體AnyDesk站點，以便在用戶電腦下載竊密程式Vidar。

代號crep1x的安全廠商SEKOIA研究人員指出，這些假網域全部都解析成185.149.120[.]9的IP位址。不慎連入的用戶會被導向同一個Dropbox連結，以下載Vidar竊密程式。

研究人員也公開這逾千網域的主機清單，其中許多都是刻意打錯字以冒充知名軟體7-Zip、Slack、AnyDesk、TeamViewer的誤植域名攻擊（typosqat）手法，但都顯示為AnyDesk網站，看起來是重覆使用之前其他惡意活動的網域。

南韓安全公司AhnLab研究人員指出，Vidar主要目的是竊取資訊，但也常被用以散布勒索軟體。攻擊者經常是在知名服務或社交平臺建立一次性帳號代管C&C網址，或是挾帶在電子郵件附檔巨集中散布。一旦Vidar在用戶電腦蒐集機敏資訊，即會將這些資訊壓縮成.Zip檔傳送給C&C主機。

Crep1x 指出，目前大部分惡意主機都還在營運中。研究人員尚不清楚這些網址的散布途徑為何。

新聞來源：上千假AnyDesk網站散布竊密程式Vidar

先後有研究人員證實iOS 15、iOS 16都會繞過VPN和蘋果伺服器通訊，恐導致用戶資訊外洩，而且這類情況也同樣發生在Android

文/林妍溱 | 2022-10-18發表

研究人員Tommy Mysk及其團隊公布在安裝iOS 16.0.3的iPhone上，如何在開啟ProtonVPN後洩露用戶訊息的實驗。根據Mysk張貼的影片，當iPhone或iPad用戶開啟VPN下使用Apple Maps，攻擊者可以輕鬆查詢到他的IP位址、或DNS查詢目的地等資料。（圖片來源／Mysk on Twitter）

8月間一名研究人員指控蘋果刻意讓iOS 15繞過VPN和蘋果伺服器通訊。本周另一個安全團隊發現，到了iOS 16，這個問題仍然存在，手機啟用VPN後，用戶資訊仍然洩露。此外，Android也會繞過VPN和Google服務伺服器建立通訊。

研究人員Tommy Mysk及其團隊上周公布在安裝iOS 16.0.3的iPhone上，如何在開啟ProtonVPN後洩露用戶訊息的實驗。根據Mysk張貼的影片，當iPhone或iPad用戶開啟VPN下使用Apple Maps，攻擊者可以輕鬆查詢到他的IP位址、或DNS查詢目的地等資料。

Mysk說明，駭客其實只要一臺Mac和Wireshark封包分析軟體，就可以透過將目標裝置連到Mac同一個Wi-Fi網路，輕鬆監控任何裝置的網路流量。

除了Apple Maps，研究團隊發現，包括Apple Health、Wallet、Apple Store、Clips、Files、Find My、通知（Push Notification）都可以類似手法曝露用戶資料。

圖片來源／Mysk on Twitter

8月間另一名研究人員披露蘋果刻意未將所有App導入VPN引發重視，當時研究人員實驗的是較舊版的iOS 15.4及15.5版，Mysk的實驗顯示在最新的iOS 16也有這問題。

研究人員對9to5mac表示，他相信蘋果是刻意這麼做的。上述App需要經常和蘋果伺服器建立連線，像是Find My及通知，因而研究觀測到的流量超出預期。不過研究人員認為，這些流量還是加密狀態，因此用戶資訊還是安全的。

另一方面Mysk指出，Android也沒有比較安全。他說他曾經以安裝Android 13的Pixel做過類似測試，也一樣能查到用戶IP。研究人員並指出，即使Android裝置用戶勾選了「永遠啟用VPN」及「沒有VPN則封鎖連線」的選項，Android也是在VPN連線以外，和Google服務伺服器建立通訊。

圖片來源／Mysk on Twitter

資料來源：iOS 16依然繞過VPN建立連線，洩露用戶資訊 | iThome

根據WordPress外掛安全服務業者Patchstack觀察，在2021年有29％含有重大安全漏洞的WordPress外掛，負責的開發者選擇忽略修補作業甚至直接下架了事
文/陳曉莉 | 2022-03-10發表

專門提供WordPress外掛程式安全服務的Patchstack，本周出版了WordPress安全狀態的年度報告，指出在2021年所發現的WordPress外掛程式重大安全漏洞中，有29%沒有被開發者修補，而且使用者可能渾然不覺。

開源的WordPress為全球最熱門的內容管理系統，去年全球大約有43.2%的網站採用WordPress建置，高於2020年的39.5%，這些WordPress網站使用了各式各樣的外掛程式來改善網站功能或呈現，也讓專門強化WordPress外掛程式安全性的資安公司應運而生，如Wordfence或Patchstack。根據Patchstack去年的分析，每個WordPress網站平均採用了18個不同的外掛程式或主題。

Patchstack的調查顯示，2020年在有關WordPress的安全漏洞中，3.78%出現在WordPress核心，卻有96.22%現身於外掛程式及主題，但到了2021年，外掛程式及主題的漏洞卻增加到99.42%，主題占了6.61%，外掛程式則是92.81%，WordPress核心漏洞降至0.58%。

這些漏洞以跨站指令碼（Cross Site Scripting，XSS）為首，總計占了49.82%，居次的是跨站請求偽造（CSRF）的11.18%，僅有0.94%屬於遠端程式攻擊漏洞。值得注意的是，在所有的WordPress網站中，有42%都安裝了至少1個含有安全漏洞的元件。

此外，在所有的漏洞中，有3.41%被列為重大等級，CVSS風險評分超過9，去年總計有35個WordPress外掛程式漏洞被列為重大等級，其中一個藏匿在All in One SEO plugin中，該外掛程式的安裝數量超過300萬，另一個出現在WP Fastest Cache plugin，安裝數量也超過100萬。

儘管上述兩個外掛程式開發者都已修補了漏洞，但也有高達29%的外掛程式重大漏洞並沒有被修補。Patchstack說，這些未修補的外掛程式有時只是簡單被WordPress、其它市集或開發者下架，並沒有警告既有的用戶，代表使用者必須手動檢查這些外掛程式的版本別或安全狀態，再加以移除或選擇其它的替代程式。

Patchstack的調查還曝露出另外一個問題，亦即儘管WordPress生態體系存在著許多安全漏洞，但WordPress網站並沒有太多的安全預算，例如有28%完全沒有安全預算，有27%每月的安全預算低於3美元，只有7%每月會編列50美元的安全預算。

資料來源：WordPress的外掛程式中，近3成的重大漏洞沒有被修補

微軟在1月17日釋出例外更新，以解決1月Patch Tuesday針對Windows Server及Windows釋出的安全更新在用戶端所引發的問題，連已終止支援的Windows 7、Server 2008也都在修補之列
文/林妍溱 | 2022-01-18發表

微軟昨（1/17）日釋出例外更新（out-of-band，OOB），以解決上周Windows及Windows Server更新引發的無限重開機、Hyper-V無法啟動以及Windows電腦無法執行VPN連線的問題，連已終止支援的Windows 7、Server 2008也都在修補之列。

微軟表示，這波OOB更新將分別解決和Windows網域控制器（Domain Controller）重開、虛擬機器啟動失敗、彈性檔案系統（ReFS）可移除媒體無法啟動相關的問題。

上周Patch Tuesday針對Windows Server及Windows釋出的安全更新，用戶下載安裝後陸續出現上述問題。微軟也分別提供說明。其中當網域控制器在強化安全性系統管理員環境（Enhanced Security Admin Environment，ESAE）環境下使用Shadow Principal物件，或是啟動Privileged Identity Management（PIM）的環境會發生不預期開機，導致許多用戶經歷Windows Server伺服器不斷重開機。

針對彈性檔案系統（ReFS）無法啟動，微軟解釋，是出於可移除媒體包括USB外部磁碟不支援這個檔案統格式。Hyper-V無法啟動VM的問題則發生在使用UEFI的系統裝置上。

至於VPN連線問題，微軟指出包含Vender ID的IPSEC連線、或使用第二層隧道協定（Layer 2 Tunneling Protocol，L2TP）及IPSEC網際網路金鑰交換（Internet Key Exchange）的VPN，在Windows PC安裝更新後都可能無法啟動。

雖然主要是現今主流的Server 2012R2、Server 2016、Server 2019、Windows Server 10 20H1、Server 20H2、Server 2022、及Windows 10（20H2、20H1、1909、1607、1507）、11（21H1）受影響，不過微軟這波例外更新的發布對象，也涵括微軟已終止支援的Windows 7 SP1、Windows Server 2008 SP2。

管理員或用戶可以在Update Catalog手動下載更新。部份版本可經由Windows Update自動下載安裝。

資料來源：微軟緊急修補Windows Server、Windows桌機版 1月安全更新問題