这一星期最重大的资安消息,当属7月19日(周五)资安业者CrowdStrike旗下的EDR系统更新后,引起全球大量微软Windows电脑出现蓝色当机画面(BSoD)的事故。由于本该帮助电脑能侦测与应变威胁的资安工具,却因为一次更新问题导致大规模公司电脑当机、服务瘫痪的状况,引发全球高度重视。
事实上,当日发生了两起事件,首先是微软,在19日台湾清晨6点,美国中部区域一座Azure数据中心出现故障问题,导致包含M365在内等云端服务大中断,影响在线版SharePoint、商用版OneDrive、Teams等众多服务。
到了下午1点,我们注意到国内社群网站的资安群组开始讨论Windows电脑出现蓝色当机画面,并点出问题可能出在资安业者CrowdStrike,当下我们查找更多信息,发现美国社群网站Reddit已经指出CrowdStrike更新造成当机的情形,在此同时,笔者身边友人也通报其公司电脑1点多发生当机,同样确认原因出在CrowdStrike。
两点后,大规模电脑当机消息开始在全球新闻媒体传开,国内传出桃园机场、台大医院、台北荣总营运受影响,全球各国也有大量蓝色当机画面情形的报导。后续,CrowdStrike发布相关公告,说明发生EDR更新文件与Windows系统冲突造成电脑当机,并指出C-00000291.sys是有问题的版本,同时指出这次事件并非遭遇网络攻击,微软在Azure Status服务状态页面也指出,他们在台湾时间12点09分同样受到CrowdStrike的影响(事件编号为1VT1-LX0),并表示这次事件与已解决的美国中部Azure数据中心中断事件无关(该事件编号为1K80-N_8)。
至于何起事件是影响航班管理系统服务供应商Navitaire的主因,有待后续厘清。
周末期间又有新的消息曝光,首先,微软表示这次CrowdStrike引发的事件估计影响全球850万台的Windows电脑,另也发布因应这次事件的手动安装更新KB5042421,此外,有研究人员在社群平台X上指出,分析CrowdStrike当机数据后找出是有段C++程序存在内存安全错误,详情有待后续CrowdStrike说明。
在其他重要资安事件与威胁态势方面,国内有建设公司与人力银行的消息,国际间也有不少数据外泄、攻击行动的揭露,我们整理如下:
●国内上市公司宏盛建发布资安重讯,设说明该公司发生网络资安事件,另也代子公司助群营造公告发生网络资安事件。
●国内检调单位接获104人力银行通报,有人企图通过公司名义收集求职者个资,新北地检署已在17日搜索涉案公司并查扣物证。
●项目管理工具Trello有逾1,500万用户个资遭人公开于Breach Forums地下论坛,对方并声称是通过公开的API取得。
●美国电信公司AT&T通报美SEC,说明发生数据泄事故,有黑客在今年4月存取AT&T在第三方云端平台的工作区,导致所有客户的通话与短信历程记录被窃。
●意大利资安业者TG Soft揭露一起攻击行动,他们在6月24日、7月2日侦测到中国黑客组织APT17针对当地企业及政府机关下手,意图散布9002 RAT恶意程序。
●日本JPCERT/CC警告,当地企业组织遭到攻击行动MirrorFace锁定,攻击者入侵企业后的目的是散布后门程序NoopDoor。
在漏洞消息方面,我们注意到有4个已知漏洞首次被发现遭黑客利用的情形,近期已被美国CISA列入限时修补名单,包括:3月底VMware vCenter Server已修补的漏洞CVE-2022-22948,6月初SolarWinds Serv-U已修补的漏洞CVE-2022-22948,6月中Adobe Commerce及Magento Open Source已修补的CosmicSting漏洞(CVE-2024-34102),以及7月1日GeoServer已修补的RCE漏洞CVE-2024-36401。其中CosmicSting漏洞值得留意,有资安业者指出这是该电商平台历年来最严重的漏洞之一。
在资安防御与产业动向上,各有一则重要消息,首先,是关于OTP码容易遭拦截与网钓的问题,谈了很多年,最近国际间有政府积极行动,近日新加坡金融管理局宣布,要求当地金融业者在限期3个月内,汰除以短信提供OTP码供客户网银登录,并要求改成安全性更高的应用程序验证;另一项消息,是Google母公司Alphabet传出将以230亿美元收购云端资安新创Wiz,借此强化该公司的云端安全业务,并将成为Google最大并购案。
【7月15日】美国电信业者AT&T针对今年4月的资安事故通报调查结果,客户通话及短信记录遭到外流
美国电信业者AT&T再传数据外泄事故而受到外界关注,原因是他们在交给美国证券交易委员会(SEC)的8-K文档当中,提及对方通过第三方云端平台拷贝行动通话及短信交互记录,而且,几乎所有用户都受到影响。
值得留意的是,文档当中提及的第三方云端平台,外界直指就是Snowflake,5月发生的Ticketmaster数据外泄事故也与该业者有所关连。
【7月16日】黑客组织NullBulge声称入侵迪士尼,从近万个Slack频道窃得超过1 TB内部文件,但真实性有待进一步确认
继大型售票业者TicketMaster、电信业者AT&T惊传大规模数据外泄,近日有黑客组织声称握有大量迪士尼内部数据并在黑客论坛公布,号称数据来自约1万个Slack频道。
值得一提的是,有新闻媒体对其公布的内容进行分析,指出数据涵盖的层面相当广,像是网站维护、软件开发、应征员工,甚至还包含了员工讨论自家小狗的对话内容、照片。不过,他们也无法确认这些数据的真实性。
【7月17日】项目管理工具Trello逾1,500万名用户个资流入地下论坛,对方声称是通过公开的API取得
继大型售票业者TicketMaster、电信业者AT&T、娱乐业者迪士尼惊传大规模数据外泄,本周又有黑客宣称握有超过1,500万笔项目管理工具Trello用户数据。
值得留意的是,外泄这批巨量数据的人表示,取得管道居然是Trello公开的API端点,他能在未通过身分验证的情况下将电子邮件信箱对应到Trello帐号。
【7月18日】日本揭露新一波MirrorFace攻击行动,对方锁定防火墙、SSL VPN设备已知漏洞而来,散布后门程序
日本企业组织自2022年遭遇MirrorFace攻击行动锁定,当地电脑紧急应变团队暨协调中心JPCERT/CC持续追踪相关动态,最近他们提出警告,这些黑客更换攻击目标,同时也调整入侵的手段,并使用新的恶意程序NoopDoor。
值得留意的是,在部分攻击行动里,对方使用了相当罕见的手法运行恶意程序,他们滥用MSBuild公用程序加载含有代码的XML文件,从而产生相关作案工具。
【7月19日】CrowdStrike旗下EDR系统更新出错酿祸,全球出现Windows电脑大量当机,影响机场、医院等设施运作
本日最重大的资安事故,应该就属资安业者CrowdStrike旗下的EDR系统更新出错的情形,这样的情况不仅有许多用户上网抱怨电脑当机,也在全球造成灾情,值得留意的是,国内也传出桃园机场、台大医院、台北荣总营运受到影响的情况,究竟有多少企业组织受害?有待进一步追踪。
另一方面,国内外不少新闻媒体也指出,今天凌晨微软的云端服务出现异常,也与该资安业者有关。



2024-07-22
