【漏洞預警】微軟Windows作業系統的NTLM驗證通訊協定存在允許攻擊者透過重送攻擊進而取得整個網域控制權之漏洞(CVE-2017-8563),請儘速進行更新

發佈編號 TACERT-ANA-2017071910070000 發佈時間 2017-07-19 10:14:25
事故類型 ANA-漏洞預警 發現時間 2017-07-13 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】微軟Windows作業系統的NTLM驗證通訊協定存在允許攻擊者透過重送攻擊進而取得整個網域控制權之漏洞(CVE-2017-8563),請儘速進行更新
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201707-0035

NT LAN Manager (NTLM)驗證通訊協定是微軟的一種安全協定,根據挑戰或回應(Challenge/Response)機制進行使用者身分驗證。研究人員發現NTLM驗證通訊協定存在允許執行輕量型目錄存取通訊協定(LDAP)重送攻擊與遠端桌面協定(RDP)重送攻擊之安全漏洞。

LDAP重送攻擊漏洞允許具有本機系統(SYSTEM)權限的攻擊者,利用攔截NTLM登入封包與客製惡意封包傳送到網域控制站,可進行網域操作(如新增網域帳號),進而取得網域控制權。只要攻擊者先行取得系統(SYSTEM)權限即可利用此漏洞取得網域控制權限,因所有Windows都內建NTLM,所以未更新的系統都有此風險。

RDP重送攻擊漏洞是RDP在受限管理員(Restricted-Admin)模式下,允許降級使用NTLM驗證通訊協定進行身分驗證,導致攻擊者可利用NTLM驗證通訊協定相關漏洞(如搭配前述LDAP重送攻擊漏洞)進行攻擊,以取得網域控制權。只要在網域環境使用NTLM身分驗證服務都有可能存在這個問題。

[影響平台:]
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1511 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1703 for x64-based Systems
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core安裝選項)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core安裝選項)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core安裝選項)
Windows Server 2012
Windows Server 2012 (Server Core安裝選項)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core安裝選項)
Windows Server 2016
Windows Server 2016 (Server Core安裝選項)
[建議措施:]
目前微軟官方已針對此弱點釋出修復程式 (https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2...)
,請儘速進行更新。
[參考資料:]
1. http://thehackernews.com/2017/07/windows-ntlm-security-flaw.html
2. https://nvd.nist.gov/vuln/detail/CVE-2017-8563
3. http://www.ithome.com.tw/news/115546
4. https://blog.preempt.com/new-ldap-rdp-relay-vulnerabilities-in-ntlm

【漏洞預警】Apache Struts 2.3.X系列版本中的Showcase應用程式存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-9791),請儘速確認並進行修正

發佈編號 TACERT-ANA-2017071910074040 發佈時間 2017-07-19 10:24:05
事故類型 ANA-漏洞預警 發現時間 2017-07-08 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Apache Struts 2.3.X系列版本中的Showcase應用程式存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-9791),請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201707-0004

Apache Struts 2是一個開放原始碼的Java EE網路應用程式的Web應用框架。
該漏洞主要是在Apache Struts 2.3.X系列版本啟用Struts 2 Struts 1外掛(struct2-strust1-plugin.jar)環境下,Showcase應用程式(struct2-showcase.war)呼叫struct2-strust1-plugin時,攻擊者利用傳遞含有惡意字串的內容,造成可遠端執行任意程式碼。

[影響平台:]
Apache Struts 2.3.X的版本
[建議措施:]
1.請確認網站主機是否使用Apache Struts 2 的Web應用框架,若有使用則可再透過網站主機目錄中的「WEB-INF\lib\」資料夾內的Struts.jar檔確認當前使用的版本。
2.請確認網站主機是否使用Apache Struts 2的Showcase應用程式,路徑:\struts2.3.x\apps\struts2-showcase.war。
3.如所使用的Apache Struts為上述(2.3.X)受影響之版本,則請更新官方網頁或官方Github所釋出最新之Apache Struts 2.5.10的版本。
4.若無使用的需求,請關閉Showcase應用程式。
[參考資料:]
1. https://cwiki.apache.org/confluence/display/WW/S2-048
2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9791

【攻擊預警】近期勒索軟體Petya活動頻繁,請立即更新作業系統、Office應用程式與防毒軟體,並注意平時資料備份作業

發佈編號 TACERT-ANA-2017062908060000 發佈時間 2017-06-29 08:23:37
事故類型 ANA-攻擊預警 發現時間 2017-06-28 17:19:34
影響等級 高
[主旨說明:]【攻擊預警】近期勒索軟體Petya活動頻繁,請立即更新作業系統、Office應用程式與防毒軟體,並注意平時資料備份作業
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201706-0028

全球多個國家於本(106)年6月27日晚間陸續傳出遭勒索軟體Petya攻擊事件,受影響範圍以烏克蘭、俄羅斯及東歐等地區災情最為嚴重。Petya為2016年勒索軟體Petya變種,攻擊者主要利用社交工程郵件誘使使用者開啟附件檔案,藉由攻擊Office RTF漏洞(CVE-2017-0199)執行惡意程式碼,以取得系統控制權,並配合微軟MS17-010漏洞、Windows遠端管理指令Psexec或WMIC(Windows Management Instrumentation Command-line)等方式進行內部擴散,受感染主機之作業系統開機磁區(MBR)與檔案配置表(MFT)將被加密,導致無法進入作業系統,只會在電腦螢幕上看到要求贖金的訊息。

[影響平台:]
Windows XP
Windows Vista
Windows 7
Windows 8.1
Windows RT 8.1
Windows 10
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
[建議措施:]
1.確實持續更新電腦的作業系統、Office應用程式及防毒軟體等至最新版本。Petya勒索軟體所利用之作業系統弱點與Office應用程式弱點,已分別於3月與4月釋出修復程式,請至微軟官方網頁進行更新: (1)MS17-010:https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx 。另外已超過維護週期之作業系統,例如XP/Server 2003等,請參考連結(https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)下載後進行更新。 (2)CVE-2017-0199:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
2.更新電腦防毒軟體病毒碼。
3.作業系統登入密碼應符合複雜性原則,並定期變更密碼。
4.定期備份電腦上的檔案及演練資料還原程序。
5.避免開啟來路不明郵件,包含附件與連結。
[參考資料:]
1. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2...

2. https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx

【漏洞預警】特定版本Samba軟體存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-7494),可取得管理者權限,請儘速確認Samba軟體版本並進行更新

發佈編號 TACERT-ANA-2017052601050101 發佈時間 2017-05-26 13:17:56
事故類型 ANA-漏洞預警 發現時間 2017-05-25 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】特定版本Samba軟體存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-7494),可取得管理者權限,請儘速確認Samba軟體版本並進行更新
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201705-0129

Samba是一種用來使Unix/Linux作業系統與微軟Windows作業系統伺服器訊息區塊(Server Message Block,SMB,又名網路檔案分享系統)協定進行連結的軟體,可運用於共享檔案與網路印表機,以及扮演網域控制站(Domain Controller)角色。

研究人員發現存在超過7年之漏洞,該漏洞是Samba軟體在處理共享函式庫(share library)時存在問題,導致遠端攻擊者只需扮演具有寫入Samba伺服器目錄權限的用戶,並上傳惡意的共享函式庫,伺服器便會載入與執行該共享函式庫,進而在伺服器執行任意程式碼獲得管理者權限。目前CVE對此弱點之編號為CVE 2017-7494。雖尚未傳出實際的案例,但因實現的難度低,且不需使用者介入便可讓攻擊者取得系統權限,因此此弱點又可被視為Linux版的SMB弱點(例如WannaCry所用),請儘速確認Samba軟體版本並進行更新或強化。

[影響平台:]
Samba版本大於3.5.0與小於4.4.14/4.5.10/4.6.4
[建議措施:]
1.目前Samba官方已針對此弱點釋出修復之版本(https://www.samba.org/samba/history/security.html),請將Samba軟體更新至以下修復之版本,另請密切注意Samba官方網頁,以確認是否有相關延伸性之弱點。
Samba >= 4.6.4
Samba >= 4.5.10
Samba >= 4.4.14

2.若現階段無法立即更新Samba軟體之版本,則可至smb.conf中的[global]區塊添加nt pipe support = no參數,以減緩漏洞所造成的影響。

3.透過防火牆或相關防護產品,阻擋來自Internet對Samba伺服器通訊埠(TCP 445)之連線。

[參考資料:]
1. https://www.samba.org/samba/security/CVE-2017-7494.html
2. http://thehackernews.com/2017/05/samba-rce-exploit.html

【漏洞預警】Microsoft Windows作業系統及Google Chrome瀏覽器存在處理SCF檔的弱點,導致攻擊者取得使用者帳號與密碼

發佈編號 TACERT-ANA-2017051904050707 發佈時間 2017-05-19 16:41:35
事故類型 ANA-漏洞預警 發現時間 2017-05-18 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】Microsoft Windows作業系統及Google Chrome瀏覽器存在處理SCF檔的弱點,導致攻擊者取得使用者帳號與密碼
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201705-0093

介殼命令檔(Shell Command File,以下簡稱SCF)主要是用來開啟檔案總管或是顯示桌面的捷徑檔。

研究人員Bosko Stankovic發現Windows作業系統與Chrome瀏覽器在處理SCF檔時,Chrome瀏覽器預設是將SCF檔視為安全的檔案,不需提醒使用者即自動下載此類型的檔案,若攻擊者在網頁中嵌入惡意的SCF檔案,使用者透過Chrome瀏覽器造訪惡意的網頁時,就會自動下載該惡意SCF檔案至使用者電腦中,下載完成後,當使用者開啟存放此檔案之資料夾時,Windows作業系統將自動執行SCF檔案,並嘗試自動登入到攻擊者所架設之SMB伺服器,導致攻擊者可藉此取得使用者所傳送之帳號與密碼資訊。

[影響平台:]
所有的Windows作業系統版本
所有的Chrome瀏覽器版本
[建議措施:]
1.目前因Microsoft官方(https://technet.microsoft.com/en-us/security/bulletins.aspx)與Google官方(https://chromereleases.googleblog.com/)尚未釋出修復之版本,所以仍請密切注意更新之訊息

2.請勿瀏覽可疑網站與留意惡意SCF,若發現不預期之SCF檔案下載行為,請予以拒絕。建議啟用Chrome瀏覽器的「下載每個檔案前先詢問儲存位置」機制,以讓使用者決定是否下載,設定方式如下:
(設定->進階設定->下載->勾選「下載每個檔案前先詢問儲存位置」)

3.請檢視防火牆設定,確認阻擋Port 139與445之對外連線,以避免不慎執行SCF檔案時,洩漏帳密資訊到攻擊者所架設之SMB伺服器。
[參考資料:]
1.http://www.ithome.com.tw/news/114279
2.http://thehackernews.com/2017/05/chrome-windows-password-hacking.html
3.http://defensecode.com/news_article.php?id=21

【攻擊預警】勒索軟體 WanaCrypt0r 2.0 攻擊 Windows 系統漏洞,造成檔案加密無法使用,請儘速進行更新

發佈編號 TACERT-ANA-2017051307053939 發佈時間 2017-05-13 19:42:38
事故類型 ANA-攻擊預警 發現時間 2017-05-13 00:00:00
影響等級 高
[主旨說明:]【高風險】【攻擊預警】勒索軟體 WanaCrypt0r 2.0 攻擊 Windows 系統漏洞,造成檔案加密無法使用,請儘速進行更新【內容更新1】
[內容說明:]
1. 網路保安公司發現全球多個國家的機構及個人電腦遭受名為「WanaCrypt0r 2.0」的勒索軟體攻擊感染,有別於以往的攻擊方式,據了解該勒索軟體是直接透過系統漏洞進行攻擊,除 Windows 10 及 Server 2016 外,近乎所有 Windows 系統及其伺服器版本均受威脅,安全專家呼籲用戶盡快安裝官方釋出的安全性更新,避免機構及個人電腦受感染。

2. 此勒索軟體的運作模式一如既往,電腦遭受感染後,所有檔案均被加密成副檔名為 .WNCRY 的格式,無法正常開啟讀取資料。檔案加密後亦會彈出相應介面指示受害者需在 3 天內交付價值 300 美元的 Bitcoin 贖金,逾期加倍,若未能在 7 天內交付則再無法恢復檔案。

3. 「WanaCrypt0r 2.0」是透過 Windows 系統內名為 EternalBlue 的 Windows SMB 遠端執行程式碼弱點進行攻擊,成功利用弱點的攻擊者有機會獲得在目標伺服器上執行程式碼的能力。

[影響平台:]
Windows XP
Windows Vista
Windows7
Windows8
Windows8.1
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows RT
[建議措施:]
1. 使用Windows Update更新 或 手動更新微軟KB4012215(漏洞編號MS17-010) KB40122215:https://support.microsoft.com/zh-tw/help/4012215
MS17-101:https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx?f=255&MSPPError=-2147217396#ID0EHB

2. Window XP 及 Windows Server 2003等停止支援之作業系統,可到下列網址下載微軟提供之更新檔案進行更新作業:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-fo...

3. 此次攻擊目前觀察到使用Port 445進行攻擊,可於前端防護設備上限制Port 445連線,或於個人電腦防火牆上限制Port 445連線

4. 目前 Windows Defender 已經可以針對發作中的惡意程式WanaCrypt0r,有效的偵測並清除。可以從下列位置下載Windows Defender :
https://support.microsoft.com/…/security-essentials-download

5. 平常遵循3-2-1規則來養成良好的備份檔案習慣:
建立三份副本,使用兩種不同媒體,一份副本要存放在不同的地方,此外至少有一個系統備份是處於實體隔離的網路環境。
[參考資料:]
1. https://www.facebook.com/twcertcc/posts/1947829248780144

2. https://www.facebook.com/twcertcc/posts/1947904648772604

3. https://www.facebook.com/MicrosoftTaiwan/posts/1024724287627679:0

4. http://technews.tw/2017/05/13/ransomeware-wanacrypt0r-2/

【漏洞預警】微軟惡意程式防護引擎(Microsoft Malware Protection Engine)存在允許攻擊者遠端執行程式碼之漏洞(CVE-2017-0290),進而取得系統控制權,請儘速確認防護引擎版本並進行更新

發佈編號 TACERT-ANA-2017051209053030 發佈時間 2017-05-12 09:24:27
事故類型 ANA-漏洞預警 發現時間 2017-05-10 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】微軟惡意程式防護引擎(Microsoft Malware Protection Engine)存在允許攻擊者遠端執行程式碼之漏洞(CVE-2017-0290),進而取得系統控制權,請儘速確認防護引擎版本並進行更新
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-2017-0050

微軟自Windows 7版本起內建Windows Defender程式,藉由即時監控、阻擋、隔離或刪除惡意程式功能,保護電腦免於惡意程式危害。本次存在漏洞之惡意程式防護引擎(Microsoft Malware Protection Engine,簡稱MsMpEng)為Windows Defender核心元件,亦是Microsoft Forefront與Microsoft Security Essentials等微軟安全產品的核心元件。MsMpEng中負責掃描與分析的核心元件稱為mpengine,其中NScript是mpengine的元件,用於檢測任何看起來像是JavaScript的文件。

Google Project Zero成員Tarvis Ormandy與Natalie Silvano發現MsMpEng 1.1.13701.0(含)以前的版本,如果系統啟用即時保護(預設開啟)功能,攻擊者透過傳送特製檔案,MsMpEng自動掃描該檔案時,因NScript無法正確的解析檔案,導致攻擊者可透過檔案中的JavaScript程式碼利用該漏洞執行任意程式碼,進而獲取系統控制權。

[影響平台:]
Microsoft Forefront Endpoint Protection 2010
Microsoft Endpoint Protection
Microsoft Forefront Security for SharePoint Service Pack 3
Microsoft System Center Endpoint Protection
Microsoft Security Essentials
Windows Defender for Windows 7
Windows Defender for Windows 8.1
Windows Defender for Windows RT 8.1
Windows Defender for Windows 10, Windows Server 2016
Windows Intune Endpoint Protection
[建議措施:]
1.微軟官方已針對此弱點釋出修補程式,其修補方式為更新惡意程式防護引擎為1.1.13704.0版,請參考微軟官方網頁(https://technet.microsoft.com/en-us/library/security/4022344)。
2.建議儘速進行檢查與更新,例如Windows 7之Windows Defender惡意程式防護引擎版本之更新方式如下:
(1)開啟控制台。
(2)選擇「Windows Defender」。
(3)於上方工具列,點選最右邊的「說明選項」。
(4)選擇「關於Windows Defender」,即可看到引擎版本。
(5)如為1.1.13701.0(含)以前的版本,可從「說明選項」中點選「檢查更新」即可將引擎版本更新至最新版本。
3.其他受影響之微軟安全產品檢查與更新方式,請參閱參考資料所述。
[參考資料:]
1. https://technet.microsoft.com/en-us/library/security/4022344
2. https://support.microsoft.com/en-us/help/2510781/microsoft-malware-prote...
3. http://www.ithome.com.tw/news/114074

【漏洞預警】特定版本Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689),允許攻擊者遠端獲取系統的控制權限

發佈編號 TACERT-ANA-2017050509054848 發佈時間 2017-05-05 09:07:52
事故類型 ANA-漏洞預警 發現時間 2017-05-02 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】特定版本Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689),允許攻擊者遠端獲取系統的控制權限
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201705-0006

英特爾(Intel)主動管理技術(Active Management Technology,AMT)是內嵌於英特爾vPro 架構平台的一項管理功能,獨立於作業系統外運行,即使主機已經關閉,只要主機仍與電源線和網絡相連,遠端管理人員仍可以存取Intel AMT。而服務管理器(Intel Standard Manageability,ISM)則具有遠端關機、開機、重新開機及監視運行的應用程式等,至於小型企業技術(Small Business Technology,SBT),則具有本機端的軟體監控器、資料備份和復原及省電功能等。

研究人員Maksim Malyutin發現特定Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689),目前已知攻擊者可在未授權的情況下透過AMT管理技術遠端或本地端獲取系統控制權限,像是開機、關機、讀取文件、檢查正執行的程序、追蹤鍵盤/滑鼠及螢幕晝面等。

[影響平台:]
First-gen Core family: < 6.2.61.3535個系列版本
Second-gen Core family: < 7.1.91.3272個系列版本
Third-gen Core family: < 8.1.71.3608個系列版本
Fourth-gen Core family: < 9.1.41.3024個系列版本
Fourth-gen Core family: < 9.5.61.3012個系列版本
Fifth-gen Core family: < 10.0.55.3000個系列版本
Sixth-gen Core family: < 11.0.25.3001個系列版本
Seventh-gen Core family: < 11.6.27.3264個系列版本
[建議措施:]
1. 目前Intel官方已針對此弱點釋出修復韌體,請參考Intel官方網頁(https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&l...),或洽詢合作之OEM廠商更新至相對應的韌體版本,詳細修復韌體版本如下:
(1)First-gen Core family: >= 6.2.61.3535的版本
(2)Second-gen Core family: >= 7.1.91.3272的版本
(3)Third-gen Core family: >= 8.1.71.3608的版本
(4)Fourth-gen Core family: >= 9.1.41.3024的版本
(5)Fourth-gen Core family: >= 9.5.61.3012的版本
(6)Fifth-gen Core family: >= 10.0.55.3000的版本
(7)Sixth-gen Core family: >= 11.0.25.3001的版本
(8)Seventh-gen Core family: >= 11.6.27.3264的版本

2. Intel官方網頁(https://downloadmirror.intel.com/26755/eng/INTEL-SA-00075%20Detection%20...)釋出之檢測韌體版本方法,詳細檢測步驟如下:
(1)下載Intel® SCS System Discovery Utility工具(https://downloadcenter.intel.com/download/26691/Intel-SCS-System-Discove...)
(2)以系統管理員啟動cmd視窗
(3)鍵入SCSDiscovery.exe SystemDiscovery /noregistry產生一份XML檔,並檢視該份文件中的FWVersion值,確認是否為上述受影響之韌體版本
3.Intel官方網頁(https://downloadmirror.intel.com/26754/eng/INTEL-SA-00075%20Mitigation%2...)釋出之關閉AMT、ISM及SBT方法,詳細關閉步驟如下:
(1)以系統管理員權限啟動cmd視窗
(2)鍵入sc config LMS start= disabled(注意disabled前有一空格)
[參考資料:]
1. http://www.ithome.com.tw/news/113815
2. https://www.bleepingcomputer.com/news/hardware/intel-fixes-9-year-old-cp...
3. https://www.theregister.co.uk/2017/05/01/intel_amt_me_vulnerability/

【漏洞預警】印表機設備未設定或使用預設密碼,並曝露於網際網路上恐有遭受入侵及利用之疑慮

發佈編號 TACERT-ANA-2017050508054141 發佈時間 2017-05-05 08:52:45
事故類型 ANA-漏洞預警 發現時間 2017-05-04 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】印表機設備未設定或使用預設密碼,並曝露於網際網路上恐有遭受入侵及利用之疑慮。
[內容說明:]
行政院國家資通安全會報技術服務中心通知尚有部份單位之印表機使用公開網際網路位址且開放PORT 9100,未避免後續相關資訊安全問題之產生,煩請各單位確實清查相關印表機設備。

由於相關設備皆使用於辦公室、教學等環境,請各機關盤點與檢視相關設備,並對相關設備加強權限控管並避免使用於公開的網際網路位置,以及加強防範措施。

為協助各單位進行印表機及網路攝影機相關資安防範措施,提供二段影片供單位參考及教育訓練使用,相關資訊於參考資料中。

[影響平台:]
多款印表機設備
[建議措施:]
1. 盤點與檢視是否有印表機相關設備。
2. 裝置上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。
3. 系統上非必要的服務程式亦建議移除或關閉。
4. 建議裝置設備不要使用公開的網際網路位置,如無法避免使用公開的網際網路位置,建議裝置設備前端需有防火牆防護,並採用白名單方式進行存取過濾。
5. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠,若為印表機服務務建議阻擋port 9100。
6. 印表機設備於非上班時間或不使用時,建議關閉電源。
7. 參考校園資訊安全課程影片進行相關設定
[參考資料:]
1. 校園資訊安全課程:http://portal2.k12moocs.edu.tw/course/130/intro

【漏洞預警】微軟伺服器訊息區塊(SMB)協定存在數個安全漏洞,允許攻擊者遠端執行任意程式碼,請儘速進行更新

發佈編號 TACERT-ANA-2017042808041313 發佈時間 2017-04-28 08:23:24
事故類型 ANA-漏洞預警 發現時間 2017-04-25 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】微軟伺服器訊息區塊(SMB)協定存在數個安全漏洞,允許攻擊者遠端執行任意程式碼,請儘速進行更新
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201704-0082

微軟伺服器訊息區塊(Server Message Block,SMB)又名網路檔案分享系統,是微軟所開發的應用層網路傳輸協定,主要功能是讓網路上的機器能夠共享檔案、印表機、串列埠及通訊等資源。

2017年4月14日,國際上名為影子掮客(The Shadow Brokers)的駭客團體,公開釋出新一波的網路攻擊工具,當中多款工具(EternalBlue、EternalRomance、 EternalChampion及DoublePulsar等)鎖定用於SMB協定,攻擊者可先透過EternalBlue工具發送特製的惡意封包到未進行安全更新且啟用SMB協定的作業系統中,並透過DoublePulsar工具執行惡意操作指令或下載其他的惡意程式等。導致攻擊者遠端執行任意程式碼。

[影響平台:]
Windows Vista
Windows 7
Windows 8.1
Windows RT 8.1
Windows 10
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
[建議措施:]
微軟官方已針對此弱點釋出修復程式,請儘速至微軟官方網頁(https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx)進行更新。

[參考資料:]
1. http://www.ithome.com.tw/news/113667
2. https://twitter.com/belowzeroday/status/856066791319195648
3. http://thehackernews.com/2017/04/windows-hacking-tools.html

訂閱文章