登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

【资安日报】8月15日,全台首个专门针对诈骗防治与数位安全议题的非政府组织「台湾数位信任协会」正式成立

分享

支付動態

2024-08-16

诈骗横行造成社会大众对于数位服务不信任的氛围日益恶化,政府和民间都在全力打击,为了展现各界对于这项议题的重视,本周台湾数位信任协会正式成立,期望能结合产官学界的力量,打造数位信任环境

资安业者Semperis揭露微软Entra ID的弱点UnOAuthorized,这些问题是因为对OAuth 2.0权限进行分析之后而得到,攻击者可趁机在Entra ID运行超出权限的行为其中,研究人员最为关注的部分是在特权管理者群组添加或删除用户的能力,一旦攻击者得逞,就有机会添加全域管理员,对此,他们向微软进行通报并进行合作,确保相关弱点得到处理,并在上周于美国拉斯维加斯举行的黑帽大会(Black Hat USA 2024)揭露相关细节。

虽然在利用UnOAuthorized的过程中,攻击者必须先取得Entra ID的应用程序管理员或云端应用程序管理员的角色,而这些角色通常都具备特殊权限。但研究人员指出,许多企业并未意识到这类角色握有的高权限,而没有妥善管理,使得攻击者有机可乘。

究竟是否有企业组织遭遇相关攻击,目前尚不清楚,但研究人员认为,很有可能已有黑客借此将权限提升为全域管理员,并在租户环境持续存取。此外,他们也指出攻击者有机会进行横向移动,存取Microsoft 365或其他Azure系统,还有使用Entra ID串连的SaaS应用程序。

Google无线文件传输工具Quick Share存在漏洞,影响Windows、安卓设备

如果想要通过蓝牙、Wi-Fi、WebRTC、NFC等通信协定进行无线文件传输,最多人知道的做法应该是运用苹果的AirDrop,但近年来Google也与三星合作推出Quick Share,并打算与电脑制造商结盟、预载相关应用程序,以便安卓设备与Windows电脑用户互相发送文件,但有研究人员发现,Quick Share存在一系列漏洞,黑客有机会串连发动攻击。

上周资安业者SafeBreach针对这套工具揭露10个漏洞,通称为QuickShell,其中有9个影响Windows设备,1个影响安卓设备,研究人员指出,这批漏洞可形成非典型的远程运行代码(RCE)攻击链,从而让攻击者在Windows电脑运行代码。

对此,Google在今年1月接获研究人员通报后,发布1.0.1724.0版Quick Share予以修补,并将这批漏洞登记为CVE-2024-38271、CVE-2024-38272列管,CVSS风险评分为5.9、7.1。研究人员也在资安会议DEF CON 32展示相关研究成果。

Ivanti应用程序交付系统存在身分验证绕过漏洞,已有概念性验证代码公开,用户应尽速处理

8月12日Ivanti发布资安公告,指出旗下的应用程序交付系统Virtual Traffic Manager(vTM)存在重大层级的零时差漏洞CVE-2024-7593,一旦攻击者成功利用漏洞,就有机会绕过身分验证并创建新的管理员帐号,CVSS风险评分为9.8。

值得留意的是,虽然该公司表示尚未察觉用户遭到漏洞攻击的迹象,但已有公开的概念性验证(PoC)代码,他们呼吁用户尽速采取缓解措施因应。

其他漏洞与修补

CI/CD工作流程服务GitHub Actions恐曝露知名项目的GitHub凭证

密码管理器1Password存在缺陷,攻击者有机会窃取用户的密码

西门子、施耐德电机、Aveva、Rockwell Automation、CISA针对工业系统资安漏洞发布公告

 

【资安产业动态】

台湾数位信任协会成立,专注诈骗防治与数位安全议题

8月14日台湾数位信任协会(Digital Trust Association in Taiwan)正式成立,由前国家通信传播委员会(NCC)主委、数位经济暨产业发展协会副理事长詹婷怡担任首届理事长。数发部长黄彦男、走着瞧(Gogolook)、奥义智能(CyCraft)、安永顾问、资策会资安所、链科(Xrex)等产业代表皆到场参与。

詹婷怡表示,台湾数位信任协会未来有4大工作任务,包含政策倡议、产业交流、教育宣导,以及国际交流。该协会将设立7个工作小组,专门从事数据完整性、数位信任评鉴、诈骗研究、教育宣导、AI科技防诈、资安科技、区块链安全相关工作。

上述工作小组将同步推进协会理念及落实任务,与国内在资安防护及诈骗防治领域的伙伴携手合作,共同研究与推动工作项目,并通过国内外交流活动,促进不同地区间的合作与交流。

台湾资安战队11回参与DEF CON CTF资安抢旗赛,获得第7名佳绩

上周末举行的资安大型会议DEF CON 32当中,台湾派出资安战队「If this works we'll get fewer for next year」参加抢旗竞赛DEF CON CTF,在全球1,742队当中以第10名进入总决赛,最后从12支队伍获得第7名的成绩,打败中国、韩国俄罗斯、瑞士等国家的队伍。回顾过去,这是台湾第11年参与DEF CON CTF抢旗赛。

对于这次比赛台湾资安战队的成绩,在攻防赛(Attack & Defense)的部分,攻击面项目获得1,204分、防御面获得465分;在回合制抢滩赛(King of the Hill,KotH)得到274分;在一对一的擂台抢旗赛(Live CTF)的项目得到第3名,拿下1,000分;最终,以总分2,943分,名列第7。

 

近期资安日报

【8月14日】微软发布8月例行更新,公布多达10个零时差漏洞

【8月13日】韩国国防工业承包商传出遭北韩黑客攻击,军事侦察机数据外流

【8月12日】研究人员揭露存在18年的浏览器漏洞,而且已有滥用漏洞行为,Linux及macOS电脑都可能中招

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu