國家資通安全會報 技術服務中心
漏洞/資安訊息警訊
發布編號 |
ICST-ANA-2010-0003 |
發布時間 |
2010/07/02 12:11:52 |
事件類型 |
攻擊活動預警 |
發現時間 |
2010/06/28 |
警訊名稱 |
Windows說明及支援中心(Windows Help and Support Center)零時差攻擊 |
||
內容說明 |
技術服務中心於近日發現,駭客利用Windows Help and
Support Center尚未修補的弱點(CVE-2010-1885),Microsoft Security Advisory(2219475),透過惡意網頁連結或在文件中附加惡意網頁連結的方式進行攻擊。當使用者點擊這類惡意連結時,使用者電腦便可能遭植入惡意程式,攻擊者將可控制受害系統執行任意惡意行為。本中心已發現駭客經由電子郵件使用該弱點之WORD文件進行攻擊,由於目前微軟尚未修補此弱點,建議使用者參照以下建議措施來防堵這類的攻擊手法 |
||
影響平台 |
Windows XP、Windows Server 2003及更舊版本 |
||
影響等級 |
高 |
||
建議措施 |
建議措施
1.備分HKEY_CLASSES_ROOT\HCP檔案後刪除,待微軟釋出修補程式後,重新匯入該檔案。 備分方式:點擊開始 > 執行,輸入Regedit進入登錄編輯程式,點擊HKEY_CLASSES_ROOT\HCP檔案 >右鍵選擇匯出 > 選擇匯出目錄,命名為HCP_Procotol_Backup.reg後,將HKEY_CLASSES_ROOT\HCP 刪除匯入方式:點擊開始 > 執行,輸入Regedit進入登錄編輯程式,點擊「檔案」>「匯入」>擇擇「HCP_Procotol_Backup.reg」以重新匯入 備註:微軟說明及支援中心可能無法正常使用 2.使用自動修正程式 http://support.microsoft.com/kb/2219475/zh-tw 3.請勿開啟未受確認之電子郵件附件程式及附加之網頁連結 |
||
參考資料 |
Microsoft Security Advisory
http://www.microsoft.com/technet/security/advisory/2219475.mspx Microsoft 技術支援 http://support.microsoft.com/kb/2219475 Common Vulnerabilities and Exposures http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1885 |
|
|
發布時間 |
2010/05/28 13:20:53 |
事件類型 |
攻擊活動預警 |
發現時間 |
2010/05/25 |
警訊名稱 |
新型社交工程攻擊手法通知 |
||
內容說明 |
技術服務中心近日發現,駭客大量利用新式誘騙手法誘騙使用者執行惡意程式。使用者一旦誤點擊誘騙檔案,電腦隨即遭植入惡意程式,駭客將可進一步控制使用者的電腦。
該手法係利用作業系統解讀檔案名稱時,若遇到Unicode控制字元,會改變檔案名稱的顯示方式進行攻擊。駭客可以在檔案名稱中,插入特定的Unicode控制字元,導致作業系統在顯示該檔案名稱時,誤導使用者。 例如,駭客可能將惡意程式命名為: 資訊安全推動委員會[202E]cod.exe 資訊安全推動委員會[202E]tpp.scr 其中括號內為Unicode控制字元202E,該控制碼為不可視字元,可控制後續字元由右至左顯示(Right To Left Override)。 當作業系統解譯與顯示檔案名稱時,會將其顯示為: 資訊安全推動委員會exe.doc 資訊安全推動委員會rcs.ppt 進而將執行檔偽裝為doc檔,誘騙使用者點擊該程式。 本中心已發現大量使用該手法之惡意程式,經由社交工程信件進行攻擊,目前尚無任何修補程式可下載。建議使用者參考以下建議措施以防堵類似攻擊手法。 |
||
影響平台 |
Windows系列平台
常見Linux平台之圖形介面(如KDE與GNOME)在支援Unicode時亦受影響。 |
||
建議措施 |
1. 確認檔案屬性後才點擊該檔案,若發現檔案名稱中存在異常字元(如rcs, exe, moc等可執行檔案副檔名的逆排序),請提高警覺。
2. 將郵件附檔儲存至硬碟中,利用命令提示字元視窗查看其檔名。由於命令提示字元視窗並不支援Unicode,故該手法並無作用。 3. 使用防毒軟體掃描郵件附檔。 4. 建議取消「隱藏已知檔案類型的副檔名」功能,設定方式詳見如下: (1) 滑鼠點選【開始】→【控制台】→【資料夾選項】,出現資料夾選項視窗。 (2) 於資料夾選項視窗點選「檢視」,將「隱藏已知檔案類型的副檔名」選項取消核選,再點選「套用」→「確定」即可完成設定。 5. 若收到寄件者為國家資通安全會報技術服務中心之信件,請確認數位簽章是否存在及正確性。凡本中心寄出之任何對外電子郵件皆含有數位簽章。數位簽章的檢查方式可參考「電子郵件數位簽章與憑證檢驗說明_V1_0.pdf」(需登入通報應變網站後,於「資安文件下載區」下載)。 |
好用免費隨身碟掃毒程式
請老師上網下載安裝
避免隨身碟病毒再度肆虐
http://of.openfoundry.org/projects/905/download
摘自YAHOO今日新聞
USB成病毒溫床!
台灣電腦今年Q1中毒率列全球第四大
更新日期:2009/04/14 11:06 記者蘇湘雲/台北報導 USB裝置是電腦族的必備工具,帶來便利也連帶讓電腦中毒機率暴增!據最新統計,在USB裝置病毒助長下,台灣電腦今年第一季感染中毒次數較去年同期成長近3倍,台灣因此在第一季也列入全球前十大感染國家的第四名。趨勢科技 TrendLabs全球防毒研究暨支援中心13日公布第一季報告指出,2009年度台灣總共有 34,436,986次電腦遭受病毒感染案例,這個數量已將近2008年度全台灣總感染數量之47 %(2008年全台灣總感染數量為 73,517,376 次)。與上一季(2008年Q4)相比,2009年第一季電腦感染總數增加9.79 % ,與去年Q1同期比較,感染總數則成長高達297%。資安專家戴燊表示,這是因為USB隨身碟及其它行動裝置的普遍使用,亞洲地區目前成為自動執行式惡意軟體的熱門感染區。台灣第一季的前十大病毒中,感染前兩名的病毒即為USB病毒。經由USB 等可卸除式儲存裝置為感染途徑之一的Conficker/WORM_DOWNAD蠕蟲變種 WORM_DOWNAD.AD。戴燊提醒表示,使用者有時候可能使用朋友或者同學的USB行動裝置時,不了解其中有沒有病毒,但是一旦插上去的時候,作業系統會自動執行,透過自動播放的功能,在來不及更新病毒碼的情形下,因而感染到這樣的病毒,進而就會感染其他的USB裝置。專家建議,執行USB裝置時,暫停自動播放功能,像是可在插入USB裝置,同時按住Shift鍵不放,以避免遭受USB病毒感染;或是進入「我的電腦」,右鍵點選USB裝置後選「內容」,再點選自動播放標籤,針對四種不同的內容類型都選擇「不要有任何動作」,即可停用自動播放。
事件類型 | 攻擊活動預警 | 發現時間 | 2009/02/20 |
警訊名稱 | Adobe Reader/ Adobe Acrobat 緩衝區溢位弱點 | ||
內容說明 | 技術服務中心於近日發現,駭客利用Adobe Reader及Acrobat的重大弱點,在PDF文件中使用惡意的Javascript。當使用者開啟這類PDF文件時,可能於受攻擊成功後遭植入惡意程式,攻擊者將可控制受害系統執行任意惡意行為。在少數情況下,開啟該類惡意PDF檔案可能造成Adobe Reader/Adobe Acrobat程式出錯而無法正常執行,若於開啟某PDF檔時造成程式出錯,該PDF檔有可能是惡意PDF檔。 本中心已發現使用該弱點之惡意PDF文件,經由電子郵件進行攻擊。目前Adobe尚未修補此弱點,建議使用者 參照以下建議措施停用Javascript功能,來防堵這類的攻擊手法。 | ||
影響平台 | Adobe Reader 9.0 及 更舊版本 Adobe Acrobat Standard,Pro,Pro Extended 9 及 更舊版本 | ||
影響等級 | 高 | ||
建議措施 | 1.點選編輯->偏好設定->JavaScript 將 「啟用Acrobat Javascript」取消核選 2.尚可參考US-CERT建議,停止瀏覽器自動開啟PDF檔,請參閱參考資料。 3.此弱點目前尚待廠商提供修補程式,預計於3/11後提供更新程式,屆時請注意更新。 4.請勿開啟未受確認之電子郵件附件檔案。 | ||
參考資料 | Adobe Security bulletin http://www.adobe.com/support/security/advisories/apsa09-01.html US-CERT http://www.kb.cert.org/vuls/id/905281 |
事件類型 | 攻擊活動預警 | 發現時間 | 2009/01/06 |
警訊名稱 | WordPad文字轉換程式弱點零時差攻擊手法通告 | ||
內容說明 | 技服中心近期發現駭客新型態的攻擊手法,透過微軟WordPad 文字轉換程式的弱點,可能會允許遠端執行程式碼,成功利用此弱點的攻擊者可以取得與本機使用者相同的使用者權限。 此類攻擊之檔案類型可能為 .doc 或 .rtf ,系統會預設使用Microsoft Office Word進行開啟文件,因此不會遭受此弱點之影響。但攻擊者可以重新命名惡意檔案以 Windows Write (.wri) 為副檔名,使系統仍會使用 WordPad開啟檔案,請各單位多加留意。 | ||
影響平台 | Windows 2000 Service Pack 4、Windows XP Service Pack 2、Windows Server 2003 Service Pack 1 和 Windows Server 2003 Service Pack 2 | ||
影響等級 | 高 | ||
建議措施 | 1. 請勿開啟未受確認之電子郵件附件檔案。 2. 此弱點目前尚待廠商提供修補程式。 | ||
參考資料 | 微軟安全性公告資訊網址: http://www.microsoft.com/taiwan/technet/security/advisory/960906.mspx |
事件類型 | 漏洞預警 |
警訊名稱 | 微軟安全性漏洞更新通知 |
內容說明 | 國家資通安全會報技術服務中心於分析惡意電子郵件時,發現政府單位近期遭受針對性攻擊,駭客利用發送夾帶惡意連結之信件,當使用者點擊惡意連結時,將透過微軟 Internet Explorer網頁瀏覽器7.0(Windows)所存在的弱點進行攻擊。除針對性攻擊外,網際網路上亦有不少惡意網頁利用此弱點,攻擊發生時尚無官方修補程式。 微軟已於12/17 公布1 則緊急安全性公告(MS08-07,並針對Internet Explorer網頁瀏覽器 5.01、6、及7釋出修補程式。為防堵此一攻擊規模的擴大,技術服務中心呼籲 所有使用微軟作業系統之使用者儘速安裝更新程式以進行漏洞修補及採取防禦措施。 |
影響平台 | 微軟Windows 2000, Windows XP, Windows Server 2003, Windows Vista and Windows Server 2008 |
影響等級 | 高 |
建議措施 | 技術服務中心建議所有相關單位: 1.儘速安裝更新程式,對 MS08-078進行漏洞修補。 2.建議使用者可利用 Microsoft/Windows Update 及設定「自動更新」功能定時進行漏 洞修補程式下載及安裝,並且開啟 Windows 防火牆設定。 3.請勿開啟未受確認之電子郵件內的超連結及附件檔案。 |
參考資料 | 微軟安全性公告資訊網址 https://www.microsoft.com/technet/security/bulletin/ms08-078.mspx http://support.microsoft.com/kb/960714 |
事件類型 | 攻擊活動預警 | 發現時間 | 2008/12/10 |
警訊名稱 | 微軟IE 7.0 XML弱點零時差攻擊手法通告 | ||
內容說明 | 技服中心近期發現駭客新型態的攻擊手法,透過微軟Internet Explorer網頁瀏覽器7.0(Windows)中SDHTML在處理XML時的弱點,對網頁瀏覽者進行攻擊,由於此攻擊手法極具威脅性,請各單位嚴加注意與防範。 駭客發現IE在處理XML內嵌img src資料時,會引發SDHTML發生跳脫原執行路徑的弱點,此弱點於2008年10月間被中國大陸駭客揭露並於黑市中販售,而相關的攻擊也已經在網際網路上大量出現。此弱點至今尚未修補,尚屬零時差攻擊,各單位需提高警覺。 傳統上利用該弱點的攻擊手法,多半是經由寄送夾帶超連結之惡意電子郵件,誘騙使用者點閱開啟超連結。駭客也可以將惡意的網頁當成電子郵件的附件寄送給使用者,然而使用者對於電子郵件附件是網頁的堤防心態不高,也使得這類攻擊手法的成功率相當的高。 在實際的攻擊案例上,駭客在攻擊程式中所使用的惡意程式僅有少數的防毒軟體能夠偵測得到。使用者僅依靠防毒軟體來防堵此一攻擊的效果是極低的,因此未來不排除可能會發生大規模的利用此弱點進行攻擊的手法出現,請各單位嚴加注意。 | ||
影響平台 | 執行於Windows XP、Windows Server 2003及Windows Vista所有的版本 (既使已經安裝到最新的更新patch依然有弱點) | ||
影響等級 | 高 | ||
建議措施 | 1. 請勿開啟未受確認之電子郵件附件檔案。 2. 請勿開啟未受確認之電子郵件內的超連結。 3. 暫時停用IE,改用其他瀏覽器瀏覽網頁。 4. 此弱點目前尚待廠商提供修補程式。 | ||
參考資料 |
事件類型 | 漏洞預警 |
警訊名稱 | 微軟安全性漏洞更新通知 |
內容說明 | 微軟於10/23 公布1 則緊急安全性公告(MS08-067)及其修補程式。漏洞涵蓋微軟Windows 2000, Windows XP, Windows Server 2003, Windows Vista and Windows Server 2008系統,此漏洞可讓惡意使用者經由網路從遠端進行攻擊而取得系統控制權,並藉此執行任意程式碼與植入惡意程式,因而達到入侵系統的目的,利用此漏洞的攻擊程式已在網路上流傳。 技術服務中心呼籲所有使用微軟作業系統之使用者儘速安裝更新程式以進行漏洞修補及採取防禦措施。 |
影響平台 | 微軟Windows 2000, Windows XP, Windows Server 2003, Windows Vista and Windows Server 2008 |
影響等級 | 高 |
建議措施 | 技術服務中心建議所有相關單位: 1.儘速安裝更新程式,對 MS08-067進行漏洞修補。 2.建議使用者可利用 Microsoft/Windows Update 及設定「自動更新」功能定時進行漏洞修補程式下載及安裝,並且開啟 Windows 防火牆設定 |
參考資料 | 微軟安全性公告資訊網址: http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-067.mspx http://blogs.technet.com/msrc/archive/2008/10/23/ms08-067-released.aspx |