【攻擊預警】學術單位近日內陸續收到含有釣魚內容之資安通知信件,煩請各校提高警覺。

教育機構ANA通報平台

發佈編號 TACERT-ANA-2019100201104141 發佈時間 2019-10-02 13:04:41
事故類型 ANA-攻擊預警 發現時間 2019-10-02 10:00:00
影響等級
[主旨說明:]

【攻擊預警】學術單位近日內陸續收到含有釣魚內容之資安通知信件,煩請各單位提高警覺。

[內容說明:]

學術單位近日內陸續收到含有釣魚內容之資安通知信件,煩請各單位提高警覺。
信件內容以舊有資安相關訊息為主,信件內容開頭以英文撰寫訊息,且附有超連結以供下載檔案。
煩請各單位依社交工程防範作為提高警覺且不輕易點選或開啟不明來源信件之附檔或超連結,以維資訊安全。
如收到相關類似信件,切勿點選信件中超連結,並將信件提供給TACERT(service@cert.tanet.edu.tw),以利相關資訊收集及分析。

電子郵件內容範例1:
Hello,
We need this reviewed, categorized and filed as soon as possible. Take a look and let me know how soon can you finish it.
ATTACHMENT DOCUMENT(超連結,內含惡意程式)
Thank you

電子郵件內容範例2:
Hello,
I believe we completely missed our target on this one, I need you to double check by how much. I attached the file for review below.
ATTACHMENT DOCUMENT(超連結,內含惡意程式)
Thank you

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

電子郵件

[建議措施:]

1. 確認寄件者資訊及信件內容是否正確

2. 不輕易點選或開啟不明來源信件之附檔或超連結

3. 依社交工程防範作為提高警覺

[參考資料:]

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

Google品牌帳戶導致YouTube無法登入的解決方法

一、頻道切換器:讓你切回主帳號,使正常登入YouTube。

這一兩天連續接獲通知
使用 YouTube 會出現

Your Primary/Secondary (K-12) School Brand Account is Suspended

https://support.google.com/accounts/answer/9377793

不是每個帳戶都會這樣
應該是有使用品牌帳戶的 G Suite 帳號才會
以下的方法只能確保正常登入YouTube
但品牌帳戶的相關服務仍然不能使用
  1. 開啟 Chrome 把 Cookie 清乾淨
  2. 關閉 Chrome 後再開啟
  3. 登入 SSO
  4. 開啟 “谷歌應用程式"
  5. 開一個新頁籤網址列貼上 https://www.youtube.com/signin?action_handle_signin=true&skip_identity_prompt=False&feature=edu_disabled&next=/channel_switcher 按確認鍵
  6. 大功告成
marlon

二、暫時展延品牌帳戶:

G Suite 管理員,您好:

我們曾經於 2019 年 5 月 21 日傳送一封電子郵件給您,以下是後續追蹤資訊。這封電子郵件中的重要資訊攸關我們在 2019 年 7 月 10 日針對品牌帳戶採取的行動。品牌帳戶能讓使用者以其他身分 (例如品牌身分) 使用部分 Google 服務,以免該身分公開連結至他們的一般 Google 帳戶身分;相關服務包括 YouTube、Google 我的商家和 Google 相簿。品牌帳戶目前不對中小學 (幼稚園到高中) 使用的 G Suite 教育版網域開放。

誠如先前的通知內容所述,我們已經採取相關步驟,避免讓中小學 (幼稚園到高中) 的 G Suite 教育版使用者建立或加入品牌帳戶。此外,除非管理員透過這份表單要求延長使用期限,否則所有這類品牌帳戶都會於 2019 年 7 月 10 日後遭到刪除。

異動內容:

  • 中小學 (幼稚園到高中) 的 G Suite 教育版使用者如未獲得延期,則他們擁有的所有品牌帳戶皆已於 2019 年 7 月 10 日遭到「停權」。 我們之所以僅將這些品牌帳戶停權而非直接刪除,是為了給予 G Suite 管理員更多時間為其他符合相關資格的使用者提出延期要求,以便讓這些使用者保存品牌帳戶中的資料。本次停權處置僅適用於使用者的品牌帳戶,不會對他們的 G Suite 教育版主要帳戶造成影響。
  • G Suite 管理員在 2019 年 11 月 1 日以前,皆可透過這份表單為其他符合資格的使用者要求延期。如要取得延期資格,G Suite 管理員必須證實使用者已年滿 18 歲且並非學生。
    • 請注意,如果您是在 7 月 2 日至收到本電子郵件期間提交延期表單,我們仍會為您處理延期相關事宜,您不需要重新提交表單。
  • 管理員為使用者提出延期要求後,Google 會為該使用者主要擁有的所有品牌帳戶取消停權。稍後該使用者就可以選擇在登入品牌帳戶時下載自己的資料,或是擁有權轉移給非主要/次要 G Suite 教育版帳戶。
    • 請注意,延期要求的處理時間會因實際情況而有所不同,最多可能需要幾週的時間。另外,帳戶停權狀態取消後,使用者亦不會收到任何通知。
  • 如果在 2019 年 11 月 1 日前,已停權品牌帳戶的擁有者仍未獲得延期,則該帳戶將於 2019 年 11 月 15 日之後遭到刪除。

以下內容維持不變:

  • 誠如先前的通知內容所述,使用者如未獲得延期,則他們所屬品牌帳戶的成員資格會於 2019 年 7 月 10 日遭到移除。
  • 誠如先前的通知內容所述,2020 年 7 月 15 日後,即便是獲得延期的品牌帳戶也會一併遭到刪除;此外,在 2020 年 7 月 15 日之後,使用者即使先前曾獲得延期,他們所屬品牌帳戶的成員資格依然會遭到移除。

品牌帳戶遭停權的帳戶擁有者會受到哪些影響?

  • 使用者的品牌帳戶遭到停權後,他們便無法在 YouTube、Google 我的商家和 Google 相簿中使用該帳戶。不過,G Suite 管理員如已啟用 Google 服務 (例如 Gmail、雲端硬碟、Classroom),使用者仍可透過主要的 G Suite 教育版帳戶使用這些服務。
  • 當品牌帳戶遭到停權時,帳戶的原使用者及其他人可能看不到該帳戶的內容 (例如已發布的 YouTube 影片和已上傳至 Google 相簿的相片),但系統不會刪除這些內容。
  • 使用者的品牌帳戶遭到停權後,在某些情況下,使用者可能會無法管理 Google 我的商家資訊,但仍可查看這些商家資訊。使用者可以藉由以下情形判斷 Google 我的商家資訊是否由品牌帳戶管理:(1) 這個頁面在「您的品牌帳戶」標題下方列出使用者用來管理商家資訊的帳戶,以及 (2) 點選畫面上列出的品牌帳戶後,使用者發現「以 <品牌帳戶名稱> 的身分使用下列產品」部分顯示「Google 我的商家」標誌。
  • 當品牌帳戶遭到停權時,使用者將無法透過這個帳戶使用「下載您的資料」工具,也不能針對該品牌帳戶指派任何新的擁有者或管理員。

我們會將相關異動以及可以選擇的做法,分別通知擔任品牌帳戶擁有者或管理員的使用者。您也可以參閱這篇支援文章。請參考附件的使用者名單,瞭解貴機構目前有哪些人是品牌帳戶的擁有者或管理員。在 2019 年 7 月 2 日前獲得延期的使用者,其電子郵件地址旁會標示星號 (*)。

如果有任何問題,請與 Google 支援小組聯絡,聯絡時請附上問題編號 130821290。

祝一切順心!

G Suite 小組敬上

資安預警情報(發布編號:NTUSOC-EWA-201909-2197)

資安聯絡人您好:
此為資安預警情報,請您協助確認資安預警事件(EWA)是否確實發生。
並登入資安通報平台後,於資安預警事件中完成通報作業,作業說明如下:
(如需相關佐證資料,登入通報平台後於事件附檔下載中依發佈編號即可取得。)
(1) 誤判:
經確認後設備相關記錄無符合項目,選擇「誤判」選項後,於「原因」處填寫說明。
(2) 確實事件:
經確認後確實發生資安事件,請先於自行通報中完成事件通報應變後,取得事件單編號後。選擇「確實事件」選項後,於右側填入自行通報事件單編號。
(3) 無法判斷:
經確認後,部份資料符合或設備相關記錄已不存在,選擇「無法判斷」選項後,於「原因」處填寫說明。如果您對此事件單內容有疑問或有關於此事件之建議,歡迎與本單位連絡。

原發布編號 NTUSOC-EWA-201909-2197 原發布時間 2019-09-26 08:10:09
事件類型 可疑連線 原發現時間 2019-09-26 05:49:21
事件主旨 教育部資安事件通告-新北市三重區碧華國民小學[163.20.169.33]主機疑似進行惡意程式連線(MALWARE-CNC DNS suspicious .bit dns query)
事件描述 入侵偵測防禦系統偵測到來源IP(163.20.169.33),包含疑似惡意程式連線行為特徵之封包,對目標IP(192.203.230.10)進行連線。此事件來源 PORT (58857),目標 PORT (53)。
手法研判 請檢視來源IP該連線行為是否已得到合法授權。 若來源IP該連線為異常行為,可先利用掃毒軟體進行全系統掃描,並利用ACL暫時阻擋該可疑IP。同時建議管理者進行以下檢查: a.請查看來源IP有無異常動作(如:新增帳號、開啟不明Port、執行不明程式)。 b.確認防毒軟體的病毒碼已更新為最新版本,並進入系統安全模式下行進行全系統掃描作業、系統是否已安裝相關修正檔,或關閉不使用的應用軟體與相關通訊埠。 若來源IP為DNS server、NAT主機或IP分享器等設備IP時, 表示有內部主機透過這些設備向外連線時而觸發偵測規則, 則需先請設備管理者透過事件單所附之資訊(目的地IP、時間、來源port), 來協助查找內部觸發偵測規則之主機, 再依前述建議處理措施進行作業。
建議措施 NULL
如果此事件需要進行通報,請 貴單位資安聯絡人登入資安通報應變平台進行通報應變作業
如果您對此通告的內容有疑問或有關於此事件的建議,歡迎與我們連絡。

本校處理情形:

  • 研判:誤判
  • 原因:163.20.169.33為本校校內DNS伺服器,此為正常連線行為。

【漏洞預警】Microsoft Windows遠端桌面服務存在安全漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222及CVE-2019-1226),允許攻擊者遠端執行任意程式碼

教育機構ANA通報平台

發佈編號 TACERT-ANA-2019092008094646 發佈時間 2019-09-20 08:40:48
事故類型 ANA-漏洞預警 發現時間 2019-09-19 09:57:15
影響等級
[主旨說明:]

【漏洞預警】Microsoft Windows遠端桌面服務存在安全漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222及CVE-2019-1226),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新。

[內容說明:]

轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201909-0110

Microsoft Windows遠端桌面服務(Remote Desktop Services),亦即在Windows Server 2008及更早版本中所稱之終端服務(Terminal Services),該服務允許使用者透過網路連線來遠端操作電腦或虛擬機。

研究人員發現遠端桌面服務存在安全漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222及CVE-2019-1226),可讓未經身分驗證的遠端攻擊者,透過對目標系統的遠端桌面服務發送特製請求,在不需使用者進行任何操作互動之情況下,達到遠端執行任意程式碼之危害。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

Windows 7

Windows 8.1

Windows 10

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

Windows Server 2019

[建議措施:]

Microsoft官方已針對此弱點釋出修補程式,並包含於8月份例行性累積更新中,各機關可聯絡設備維護廠商或參考各CVE對應的安全性公告,進行Windows更新

[參考資料:]

  1. https://thehackernews.com/2019/08/windows-rdp-wormable-flaws.html
  2. https://www.ithome.com.tw/news/132413
  3. https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/312890cc-3673-e911-a991-000d3a33a34d
  4. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222
  5. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226
  6. https://www.nccst.nat.gov.tw/VulnerabilityNewsDetail?lang=zh&seq=1441

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。

教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

Synology NAS 網站維運(1080822)

Synology NAS Server 系統更新:

版本: 6.2.2-24922-3


(2019-08-21)

新功能

  1. 升級 Let’s Encrypt 協定至 ACME V2 以加強註冊流程的穩定性。

問題修正

  1. 修正在第一次安裝可能無法安裝套件的問題。
  2. 修正當手動更改 smb.conf 檔案來使用 Final Cut Pro X 時,可能會造成共用資料夾無法透過 SMB 存取。
  3. 降低 CPU 的使用率來改善 Synology NAS 加入網域時的 SMB 效能。
  4. 修正整合式 Windows 驗證 (IWA) 在停用後,可能導致該服務無法再次運作的問題。
  5. 修正 RS4017xs+ 與 RS2818RP+ 硬碟 LED 指示燈無法正常閃爍的問題。
  6. 調整通知機制以符合最新的 Gmail API。
  7. 修正日誌中心可能會重複紀錄相同登入事件的問題。
  8. 修正在個人設定套用非預設日期格式時,可能會顯示多餘日期資訊的問題。
  9. 修正將 Synology NAS 裝置加入 CMS 主機時,可能會停滯在「確認中」狀態並無法成功加入裝置的問題。
  10. 修正當既有的儲存空間與對應的 SSD 快取被移轉到新的 Synology NAS 後,可能無法擴充其存儲容量的問題。