碧華國小資訊中心

(轉知) Google修補已遭開採的Chrome零時差漏洞

外界推測Google於Chrome 88.0.4324.150修補的漏洞CVE-2021-21148，與近日北韓駭客鎖定資安社群的攻擊行動有關。

Google在周四（2/4）釋出Chrome 88.0.4324.150，以修補已遭到駭客開採的CVE-2021-21148零時差漏洞。

CVE-2021-21148為一存在於開源JavaScript引擎V8中的堆積緩衝區溢位漏洞，是由資安研究人員Mattias Buelens在1月24日所提報，Google僅說坊間已出現針對該漏洞的攻擊程式，並未描述漏洞細節或相關攻擊行動，但外界揣測它與近日北韓駭客鎖定資安社群的攻擊行動有關。

包括Google與微軟，都曾揭露這起針對資安研究人員發動的網路攻擊行動。駭客於Twitter上建立多個帳號，也打造了資安部落格，藉由高品質的資安內容來與資安研究人員建立關係，然而，由駭客寄來的檔案卻含有惡意程式，而造訪該資安部落格的研究人員也會被植入惡意程式。

根據Google的調查，被惡意程式感染的系統，都是採用最新的Windows作業系統與Chrome瀏覽器，當時Google應也懷疑駭客可能是開採了Chrome的零時差漏洞，進而鼓勵任何知道Chrome安全漏洞的研究人員向Google通報。

而微軟則說，確定有研究人員只是透過Chrome造訪駭客所掌控的部落格，就感染了惡意程式，駭客也許是利用了Chrome的零時差漏洞或是漏洞修補空窗期來展開攻擊。

Chrome 88.0.4324.150支援Windows、macOS及Linux作業系統，將在未來幾天自動部署至用戶端。

資料來源: https://www.ithome.com.tw/news/142645

轉知學校有使用QNAP NAS，記得要去更新。 QNAP NAS 遠端執行程式碼漏洞 於 QNAP NAS 發現一個漏洞，遠端攻擊者可利用這漏洞，於目標系統觸發遠端執行任意程式碼。

受影響之系統或技術

QTS 4.5.1.1456 build 20201015 之前的版本

QuTS hero h4.5.1.1472 build 20201031 之前的版本

資料來源: https://www.qnap.com/zh-tw/security-advisory/qsa-21-01

(轉知)學校郵件部份請使用者多多留意，別點來路不明的信件(雖然釣魚信件越做越相似)。

在駭客組織Earth Wendigo發動的網路釣魚攻擊中，他們寄送如圖中的信件，讓誘使收信人上當。這乍看之下是Google的異常存取警告信，不過一旦收信者按下了「立即檢查」按鈕，他的電子郵件信箱的簽名檔，便會被植入惡意腳本替駭客散布釣魚信件。

駭客鎖定臺灣公部門、研究機構、大學發動網釣攻擊，並在網頁郵件系統注入惡意JavaScript竊密。

駭客的手法相當特殊，藉由釣魚郵件讓受害者上鉤之後，他們不僅透過受害者的郵件簽名檔，對他人發動XSS攻擊橫向感染，同時還竊取信箱內容，以及登入電子郵件信箱的憑證，或是連線階段（Session）的金鑰等。該公司指出，這樣的攻擊手法，過往沒有駭客如此做過，他們將發動攻擊的駭客組織命名為Earth Wendigo。

這個網釣郵件會發起的惡意行為，包含了會竊取瀏覽器Cookie和網頁信箱的連線金鑰，並傳送到遠端伺服器；再者，則是在受害者電子郵件的簽名檔加入惡意腳本，並感染聯絡人。

另一方面，駭客也將惡意JavaScript程式碼註冊於受害電腦瀏覽器的Service Worker，這是瀏覽器內建功能，能讓JavaScript在受害者關閉瀏覽器後，持續在背景運作。而這個被註冊的腳本，不僅會偷取登入帳密，還能竄改網頁郵件頁面內容，以便透過上述的XSS漏洞植入惡意腳本。趨勢科技表示，這是他們首度發現駭客實際濫用瀏覽器Service Worker的攻擊行動。

對此，該公司呼籲，企業不只要培養員工的資安意識，也應該要落實內容安全管制政策（CSP），來防範這種濫用XSS發動攻擊的手法。

這些駭客鎖定的目標為何？趨勢科技指出，駭客不只鎖定臺灣的政府組織、研究機構，以及大學，還有聲援圖博、維吾爾族，以及香港的人士，也是這起事件被鎖定的目標。不過，對於受害者的人數，該公司沒有說明。

在駭客組織Earth Wendigo發動的網路釣魚攻擊中，他們寄送如圖中的信件，讓誘使收信人上當。這乍看之下是Google的異常存取警告信，不過一旦收信者按下了「立即檢查」按鈕，他的電子郵件信箱的簽名檔，便會被植入惡意腳本替駭客散布釣魚信件。

資料來源: https://www.ithome.com.tw/news/142156