【漏洞預警】微軟惡意程式防護引擎(Microsoft Malware Protection Engine)存在允許攻擊者遠端執行程式碼之漏洞(CVE-2017-0290),進而取得系統控制權,請儘速確認防護引擎版本並進行更新

發佈編號 TACERT-ANA-2017051209053030 發佈時間 2017-05-12 09:24:27
事故類型 ANA-漏洞預警 發現時間 2017-05-10 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】微軟惡意程式防護引擎(Microsoft Malware Protection Engine)存在允許攻擊者遠端執行程式碼之漏洞(CVE-2017-0290),進而取得系統控制權,請儘速確認防護引擎版本並進行更新
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-2017-0050

微軟自Windows 7版本起內建Windows Defender程式,藉由即時監控、阻擋、隔離或刪除惡意程式功能,保護電腦免於惡意程式危害。本次存在漏洞之惡意程式防護引擎(Microsoft Malware Protection Engine,簡稱MsMpEng)為Windows Defender核心元件,亦是Microsoft Forefront與Microsoft Security Essentials等微軟安全產品的核心元件。MsMpEng中負責掃描與分析的核心元件稱為mpengine,其中NScript是mpengine的元件,用於檢測任何看起來像是JavaScript的文件。

Google Project Zero成員Tarvis Ormandy與Natalie Silvano發現MsMpEng 1.1.13701.0(含)以前的版本,如果系統啟用即時保護(預設開啟)功能,攻擊者透過傳送特製檔案,MsMpEng自動掃描該檔案時,因NScript無法正確的解析檔案,導致攻擊者可透過檔案中的JavaScript程式碼利用該漏洞執行任意程式碼,進而獲取系統控制權。

[影響平台:]
Microsoft Forefront Endpoint Protection 2010
Microsoft Endpoint Protection
Microsoft Forefront Security for SharePoint Service Pack 3
Microsoft System Center Endpoint Protection
Microsoft Security Essentials
Windows Defender for Windows 7
Windows Defender for Windows 8.1
Windows Defender for Windows RT 8.1
Windows Defender for Windows 10, Windows Server 2016
Windows Intune Endpoint Protection
[建議措施:]
1.微軟官方已針對此弱點釋出修補程式,其修補方式為更新惡意程式防護引擎為1.1.13704.0版,請參考微軟官方網頁(https://technet.microsoft.com/en-us/library/security/4022344)。
2.建議儘速進行檢查與更新,例如Windows 7之Windows Defender惡意程式防護引擎版本之更新方式如下:
(1)開啟控制台。
(2)選擇「Windows Defender」。
(3)於上方工具列,點選最右邊的「說明選項」。
(4)選擇「關於Windows Defender」,即可看到引擎版本。
(5)如為1.1.13701.0(含)以前的版本,可從「說明選項」中點選「檢查更新」即可將引擎版本更新至最新版本。
3.其他受影響之微軟安全產品檢查與更新方式,請參閱參考資料所述。
[參考資料:]
1. https://technet.microsoft.com/en-us/library/security/4022344
2. https://support.microsoft.com/en-us/help/2510781/microsoft-malware-prote...
3. http://www.ithome.com.tw/news/114074

【漏洞預警】特定版本Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689),允許攻擊者遠端獲取系統的控制權限

發佈編號 TACERT-ANA-2017050509054848 發佈時間 2017-05-05 09:07:52
事故類型 ANA-漏洞預警 發現時間 2017-05-02 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】特定版本Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689),允許攻擊者遠端獲取系統的控制權限
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201705-0006

英特爾(Intel)主動管理技術(Active Management Technology,AMT)是內嵌於英特爾vPro 架構平台的一項管理功能,獨立於作業系統外運行,即使主機已經關閉,只要主機仍與電源線和網絡相連,遠端管理人員仍可以存取Intel AMT。而服務管理器(Intel Standard Manageability,ISM)則具有遠端關機、開機、重新開機及監視運行的應用程式等,至於小型企業技術(Small Business Technology,SBT),則具有本機端的軟體監控器、資料備份和復原及省電功能等。

研究人員Maksim Malyutin發現特定Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689),目前已知攻擊者可在未授權的情況下透過AMT管理技術遠端或本地端獲取系統控制權限,像是開機、關機、讀取文件、檢查正執行的程序、追蹤鍵盤/滑鼠及螢幕晝面等。

[影響平台:]
First-gen Core family: < 6.2.61.3535個系列版本
Second-gen Core family: < 7.1.91.3272個系列版本
Third-gen Core family: < 8.1.71.3608個系列版本
Fourth-gen Core family: < 9.1.41.3024個系列版本
Fourth-gen Core family: < 9.5.61.3012個系列版本
Fifth-gen Core family: < 10.0.55.3000個系列版本
Sixth-gen Core family: < 11.0.25.3001個系列版本
Seventh-gen Core family: < 11.6.27.3264個系列版本
[建議措施:]
1. 目前Intel官方已針對此弱點釋出修復韌體,請參考Intel官方網頁(https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&l...),或洽詢合作之OEM廠商更新至相對應的韌體版本,詳細修復韌體版本如下:
(1)First-gen Core family: >= 6.2.61.3535的版本
(2)Second-gen Core family: >= 7.1.91.3272的版本
(3)Third-gen Core family: >= 8.1.71.3608的版本
(4)Fourth-gen Core family: >= 9.1.41.3024的版本
(5)Fourth-gen Core family: >= 9.5.61.3012的版本
(6)Fifth-gen Core family: >= 10.0.55.3000的版本
(7)Sixth-gen Core family: >= 11.0.25.3001的版本
(8)Seventh-gen Core family: >= 11.6.27.3264的版本

2. Intel官方網頁(https://downloadmirror.intel.com/26755/eng/INTEL-SA-00075%20Detection%20...)釋出之檢測韌體版本方法,詳細檢測步驟如下:
(1)下載Intel® SCS System Discovery Utility工具(https://downloadcenter.intel.com/download/26691/Intel-SCS-System-Discove...)
(2)以系統管理員啟動cmd視窗
(3)鍵入SCSDiscovery.exe SystemDiscovery /noregistry產生一份XML檔,並檢視該份文件中的FWVersion值,確認是否為上述受影響之韌體版本
3.Intel官方網頁(https://downloadmirror.intel.com/26754/eng/INTEL-SA-00075%20Mitigation%2...)釋出之關閉AMT、ISM及SBT方法,詳細關閉步驟如下:
(1)以系統管理員權限啟動cmd視窗
(2)鍵入sc config LMS start= disabled(注意disabled前有一空格)
[參考資料:]
1. http://www.ithome.com.tw/news/113815
2. https://www.bleepingcomputer.com/news/hardware/intel-fixes-9-year-old-cp...
3. https://www.theregister.co.uk/2017/05/01/intel_amt_me_vulnerability/

【漏洞預警】印表機設備未設定或使用預設密碼,並曝露於網際網路上恐有遭受入侵及利用之疑慮

發佈編號 TACERT-ANA-2017050508054141 發佈時間 2017-05-05 08:52:45
事故類型 ANA-漏洞預警 發現時間 2017-05-04 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】印表機設備未設定或使用預設密碼,並曝露於網際網路上恐有遭受入侵及利用之疑慮。
[內容說明:]
行政院國家資通安全會報技術服務中心通知尚有部份單位之印表機使用公開網際網路位址且開放PORT 9100,未避免後續相關資訊安全問題之產生,煩請各單位確實清查相關印表機設備。

由於相關設備皆使用於辦公室、教學等環境,請各機關盤點與檢視相關設備,並對相關設備加強權限控管並避免使用於公開的網際網路位置,以及加強防範措施。

為協助各單位進行印表機及網路攝影機相關資安防範措施,提供二段影片供單位參考及教育訓練使用,相關資訊於參考資料中。

[影響平台:]
多款印表機設備
[建議措施:]
1. 盤點與檢視是否有印表機相關設備。
2. 裝置上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。
3. 系統上非必要的服務程式亦建議移除或關閉。
4. 建議裝置設備不要使用公開的網際網路位置,如無法避免使用公開的網際網路位置,建議裝置設備前端需有防火牆防護,並採用白名單方式進行存取過濾。
5. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠,若為印表機服務務建議阻擋port 9100。
6. 印表機設備於非上班時間或不使用時,建議關閉電源。
7. 參考校園資訊安全課程影片進行相關設定
[參考資料:]
1. 校園資訊安全課程:http://portal2.k12moocs.edu.tw/course/130/intro

【漏洞預警】微軟伺服器訊息區塊(SMB)協定存在數個安全漏洞,允許攻擊者遠端執行任意程式碼,請儘速進行更新

發佈編號 TACERT-ANA-2017042808041313 發佈時間 2017-04-28 08:23:24
事故類型 ANA-漏洞預警 發現時間 2017-04-25 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】微軟伺服器訊息區塊(SMB)協定存在數個安全漏洞,允許攻擊者遠端執行任意程式碼,請儘速進行更新
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201704-0082

微軟伺服器訊息區塊(Server Message Block,SMB)又名網路檔案分享系統,是微軟所開發的應用層網路傳輸協定,主要功能是讓網路上的機器能夠共享檔案、印表機、串列埠及通訊等資源。

2017年4月14日,國際上名為影子掮客(The Shadow Brokers)的駭客團體,公開釋出新一波的網路攻擊工具,當中多款工具(EternalBlue、EternalRomance、 EternalChampion及DoublePulsar等)鎖定用於SMB協定,攻擊者可先透過EternalBlue工具發送特製的惡意封包到未進行安全更新且啟用SMB協定的作業系統中,並透過DoublePulsar工具執行惡意操作指令或下載其他的惡意程式等。導致攻擊者遠端執行任意程式碼。

[影響平台:]
Windows Vista
Windows 7
Windows 8.1
Windows RT 8.1
Windows 10
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
[建議措施:]
微軟官方已針對此弱點釋出修復程式,請儘速至微軟官方網頁(https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx)進行更新。

[參考資料:]
1. http://www.ithome.com.tw/news/113667
2. https://twitter.com/belowzeroday/status/856066791319195648
3. http://thehackernews.com/2017/04/windows-hacking-tools.html

【漏洞預警】[更新建議措施 1]微軟所有Office Word版本之物件連結與嵌入(OLE)存在零時差漏洞,允許攻擊者遠端執行任意程式碼

發佈編號 TACERT-ANA-2017041809043434 發佈時間 2017-04-18 09:05:33
事故類型 INT-系統被入侵 發現時間 2017-04-10 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】[更新建議措施 1]微軟所有Office Word版本之物件連結與嵌入(OLE)存在零時差漏洞,允許攻擊者遠端執行任意程式碼
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201704-0026

OLE(Object Linking and Embedding,物件連結與嵌入)原用於允許應用程式共享資料或功能,如Word可直接嵌入Excel資料,且可利用Excel功能進行編輯。

該漏洞主要是Office Word的物件連結與嵌入存在零時差漏洞,攻擊者可藉由電子郵件散佈並誘騙使用者下載特製的Word或RTF格式檔案,當使用者開啟該檔案時,可能導致攻擊者可透過該弱點遠端執行程式碼,甚至取得受影響系統的完整控制權。

[影響平台:]
所有版本的Office Word
[建議措施:]
1.微軟官方已針對此弱點釋出修復程式,請至微軟官方網頁(https://support.microsoft.com/en-us/help/3141529/description-of-the-secu...)進行更新。

2.保持良好的使用習慣,不要隨意點擊不受信任的電子郵件與附件檔案。

3.啟用Office Word的Protected View機制(檔案->選項->信任中心->信任中心設定->受保護的檢視,確認每一個選項均已勾選)。
[參考資料:]
1. http://thehackernews.com/2017/04/microsoft-word-zero-day.html
2. https://support.office.com/en-us/article/What-is-Protected-View-d6f09ac7...
3. https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day...
4. https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa...
5. https://www.cybersecurity-help.cz/vdb/SB2017040901
6. http://www.ithome.com.tw/news/113340

【漏洞預警】微軟所有Office Word版本之物件連結與嵌入(OLE)存在零時差漏洞,允許攻擊者遠端執行任意程式碼

發佈編號 TACERT-ANA-2017041101045353 發佈時間 2017-04-11 13:49:56
事故類型 ANA-漏洞預警 發現時間 2017-04-10 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】微軟所有Office Word版本之物件連結與嵌入(OLE)存在零時差漏洞,允許攻擊者遠端執行任意程式碼
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201704-0017

OLE(Object Linking and Embedding,物件連結與嵌入)原用於允許應用程式共享資料或功能,如Word可直接嵌入Excel資料,且可利用Excel功能進行編輯。

該漏洞主要是Office Word的物件連結與嵌入存在零時差漏洞,攻擊者可藉由電子郵件散佈並誘騙使用者下載特製的Word或RTF格式檔案,當使用者開啟該檔案時,可能導致攻擊者可透過該弱點遠端執行程式碼,甚至取得受影響系統的完整控制權。

[影響平台:]
所有版本的Office Word
[建議措施:]
1.目前因微軟官方尚未針對此弱點釋出修復程式,所以仍請密切注意微軟官方網頁(https://technet.microsoft.com/en-us/security/bulletins.aspx)之更新訊息。

2.保持良好的使用習慣,不要隨意點擊不受信任的電子郵件與附件檔案。

3.啟用Office Word的Protected View機制(檔案->選項->信任中心->信任中心設定->受保護的檢視,確認每一個選項均已勾選)。
[參考資料:]
1. http://thehackernews.com/2017/04/microsoft-word-zero-day.html
2. https://support.office.com/en-us/article/What-is-Protected-View-d6f09ac7...
3. https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day...
4. https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa...
5. https://www.cybersecurity-help.cz/vdb/SB2017040901
6. http://www.ithome.com.tw/news/113340

【漏洞預警】特定版本Microsoft IIS的WebDAV服務存在緩衝區溢位弱點(CVE-2017-7269),允許攻擊者遠端執行任意程式碼或造成阻斷服務

發佈編號 TACERT-ANA-2017040608045959 發佈時間 2017-04-06 08:09:00
事故類型 ANA-漏洞預警 發現時間 2017-03-31 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】特定版本Microsoft IIS的WebDAV服務存在緩衝區溢位弱點(CVE-2017-7269),允許攻擊者遠端執行任意程式碼或造成阻斷服務
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0093

WebDAV(Web-Based Distributed Authoring and Versioning)是一種可與遠端主機進行檔案或資料交換的標準,擁有權限的使用者可透過網路存取遠端目標網站的WebDAV資料夾內的檔案。

該漏洞主要是Microsoft IIS(Internet Information Services)6.0的WebDAV服務中,httpext.dll動態連結函式庫之ScStorageFromUrl函式存在緩衝區溢位漏洞,讓遠端攻擊者可透過發送特製的的PROPFIND請求封包,導致可執行任意程式碼或造成阻斷服務。

[影響平台:]
Microsoft Windows Server 2003的IIS 6.0
[建議措施:]
1. 請確認是否使用Microsoft Windows Server 2003的IIS 6.0,並啟用WebDAV服務(可至Application Server->Internet Information Services->World Wide Web Service->WebDAV Publishing檢視是否有勾選啟用,預設是未啟用該服務)。
2. 如仍須使用WebDAV服務,建議將作業系統與IIS升級至最新的版本。
3. 其餘未在上述受影響之作業系統的IIS 6.0,仍請密切注意微軟官方(https://technet.microsoft.com/en-us/security/bulletins.aspx)是否有後續消息。

[參考資料:]
1. https://nvd.nist.gov/vuln/detail/CVE-2017-7269
2. http://www.ithome.com.tw/news/113166
3. https://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/...

【漏洞預警】Cisco IOS與IOS XE軟體中的叢集管理協定存在零時差漏洞(CVE-2017-3881),導致攻擊者可遠端執行任意程式碼,進而取得設備控制權或重新啟動,請儘速確認並採取建議措施

發佈編號 TACERT-ANA-2017032701035959 發佈時間 2017-03-27 13:18:59
事故類型 ANA-漏洞預警 發現時間 2017-03-21 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Cisco IOS與IOS XE軟體中的叢集管理協定存在零時差漏洞(CVE-2017-3881),導致攻擊者可遠端執行任意程式碼,進而取得設備控制權或重新啟動,請儘速確認並採取建議措施
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0051

美國思科(Cisco)公司於今年3月得知國際名為維基解密(WikiLeaks)組織所釋出的Vault 7文件後,開始調查相關產品是否有受影響,並於3月17日公布發現一個波及318款網路交換機產品之零時差漏洞(CVE-2017-3881)。

該漏洞主要是Cisco IOS與IOS XE網路軟體的叢集管理協定(Cluster Management Protocol,CMP)未能有效限制可接受之Telnet連線來源,以及未能正確處理改造的Telnet指令,導致攻擊者可遠端執行任意程式碼,進而取得設備控制權限,或執行reload指令重新啟動設備。

[建議措施:]
請各單位可聯絡設備維護廠商確認是否使用受影響之產品,則請參考以下建議資訊:
1.目前因Cisco官方尚未針對Cisco IOS與IOS XE釋出修復版本,所以仍請密切注意Cisco官方網頁(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/ci...)之更新訊息。

2.停用Telnet連線機制,改採SSH連線機制,以降低風險。
[參考資料:]
1. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3881
2. http://thehackernews.com/2017/03/cisco-network-switch-exploit.html
3. http://www.tomshardware.com/news/cisco-finds-vulnerability-wikileaks-doc...
4. http://www.ithome.com.tw/news/112890

【漏洞預警】特定版本Moodle平台存在PHP物件注入(Object Injection)弱點(CVE-2017-2641),允許攻擊者遠端執行任意程式碼,請儘速確認並進行修正

發佈編號 TACERT-ANA-2017032701030000 發佈時間 2017-03-27 13:37:01
事故類型 ANA-漏洞預警 發現時間 2017-03-21 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】特定版本Moodle平台存在PHP物件注入(Object Injection)弱點(CVE-2017-2641),允許攻擊者遠端執行任意程式碼,請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0083

Moodle(Modular Object-Oriented Dynamic Learning Environment,模組化物件導向動態學習環境)是一款開放原始碼的學習與課程管理系統,由澳洲Martin Dougiamas採用PHP語言所設計開發的Web-Based應用系統,透過瀏覽器就可以輕鬆管理使用者、建構課程及豐富教學活動,應用在課程教學活動、員工教育訓練及學生遠距教學等。

該漏洞主要是Moodle程式碼內grade_item類別中的update方法(method)存在物件注入(Object Injection)弱點,導致攻擊者可藉由該弱點執行SQL注入獲取系統管理者權限,造成攻擊者可遠端執行任意程式碼,進而可能導致機敏資訊外洩等風險。

[影響平台:]
Moodle 3.2至3.2.1(含)版本
Moodle 3.1至3.1.4(含)版本
Moodle 3.0至3.0.8(含)版本
Moodle 2.7.0至2.7.18(含)版本
其他已不支援版本
[建議措施:]
檢視Moodle版本,方法有以下兩種:
1. 檢視Moodle根目錄下之version.php檔
2. 若為Moodle管理者可直接在設定Setting->Site administration->Notifications中檢視Moodle版本
如所使用的Moodle版本為上述(3.2至3.2.1、3.1至3.1.4、3.0至3.0.8、2.7.0至2.7.18或已不支援)受影響之版本,請更新官方網頁所釋出最新之Moodle 3.2.2、3.1.5、3.0.9或2.7.19版本。
[參考資料:]
1. http://netanelrub.in/2017/03/20/moodle-remote-code-execution/
2. https://download.moodle.org/
3. https://download.moodle.org/releases/legacy/

【漏洞預警】特定版本Apache Struts 2存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-5638),請儘速確認並進行修正

發佈編號 TACERT-ANA-2017030801033939 發佈時間 2017-03-08 13:42:40
事故類型 ANA-漏洞預警 發現時間 2017-03-07 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】特定版本Apache Struts 2存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-5638),請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0008

Apache Struts 2是一個開放原始碼的Java EE網站應用程式的Web應用框架。 該漏洞主要是Apache Struts 2負責處理檔案上傳封包的Jakarta解析程式(parser)存在安全性漏洞,遠端攻擊者可利用漏洞寄送含有惡意Content-Type值的封包,造成攻擊者可遠端執行任意程式碼,進而可能導致機敏資訊外洩等風險。

[影響平台:]
Apache Struts 2
-2.3.5至2.3.31
-2.5至2.5.10
[建議措施:]
1.請各機關應確認網站主機是否使用Apache Struts 2的網頁應用框架,可透過檢查網站主機目錄中「WEB-INF\lib\」資料夾內的Struts2.jar檔,確認當前使用的版本。

2.如所使用的Apache Struts 2為上述(2.3.5至2.3.31或2.5至2.5.10)受影響之版本,則請更新官方Github所釋出最新之Apache Struts 2.3.32或Struts 2.5.10.1的版本。
[參考資料:]
1. https://cwiki.apache.org/confluence/display/WW/S2-045
2. https://github.com/apache/struts/releases

訂閱文章