【漏洞預警】微軟Windows DNS伺服器存在安全漏洞(CVE-2021-24078),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新!

教育機構ANA通報平台

發佈編號 TACERT-ANA-2021022010024848 發佈時間 2021-02-20 10:37:49
事故類型 ANA-漏洞預警 發現時間 2021-02-20 10:37:49
影響等級
[主旨說明:]【漏洞預警】微軟Windows DNS伺服器存在安全漏洞(CVE-2021-24078),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新!
[內容說明:]

轉發 行政院國家資通安全會報技術服務中心 資安訊息警訊 NISAC-ANA-202102-0954

研究人員發現微軟Windows DNS伺服器因輸入驗證不足,導致存在安全漏洞(CVE-2021-24078),遠端攻擊者可藉由發送特製封包,利用此漏洞進而執行任意程式碼。

情資分享等級: WHITE(情資內容為可公開揭露之資訊)

[影響平台:]

使用下列Windows作業系統之伺服器如啟用DNS服務,將受此漏洞影響:

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)

Windows Server, version 20H2 (Server Core Installation)

[建議措施:]

目前微軟官方已針對此漏洞釋出更新程式,請各機關聯絡設備維護廠商或參考以下網址進行更新:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24078

[參考資料:]

  1. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24078
  2. https://www.ithome.com.tw/news/142716
  3. https://www.cybersecurity-help.cz/vdb/SB2021020934
  4. https://thehackernews.com/2021/02/microsoft-issues-patches-for-in-wild-0html
  5. https://www.nccst.nat.gov.tw/VulnerabilityDetail?lang=zh&seq=1144

 

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

【漏洞預警】微軟Windows TCP/IP存在安全漏洞(CVE-2021-24074、CVE-2021-24094及CVE-2021-24086),允許攻擊者遠端執行任意程式碼或造成服務阻斷,請儘速確認並進行更新!

教育機構ANA通報平台

發佈編號 TACERT-ANA-2021021810023838 發佈時間 2021-02-18 10:08:39
事故類型 ANA-漏洞預警 發現時間 2021-02-18 10:08:39
影響等級
[主旨說明:]【漏洞預警】微軟Windows TCP/IP存在安全漏洞(CVE-2021-24074、CVE-2021-24094及CVE-2021-24086),允許攻擊者遠端執行任意程式碼或造成服務阻斷,請儘速確認並進行更新!
[內容說明:]

轉發 行政院國家資通安全會報技術服務中心 資安訊息警訊 NISAC-ANA-202102-0902

研究人員發現微軟Windows TCP/IP存在安全漏洞 CVE-2021-24074、CVE-2021-24094及CVE-2021-24086,可能遭受以下攻擊:

  1. 遠端攻擊者可發送特製封包,利用CVE-2021-24074或CVE-2021-24094執行任意程式碼。
  2. 遠端攻擊者可發送特製封包,利用CVE-2021-24086造成服務阻斷。

情資分享等級: WHITE(情資內容為可公開揭露之資訊)

[影響平台:]

受影響之Windows作業系統包含用戶端及伺服器版本,版本如下:

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server, version 2004 (Server Core installation)

Windows 10 Version 2004 for x64-based Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows Server, version 1909 (Server Core installation)

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1803 for ARM64-based Systems

Windows 10 Version 1803 for x64-based Systems

Windows 10 Version 1803 for 32-bit Systems

[建議措施:]

1.目前微軟官方已針對此漏洞釋出更新程式,請各機關聯絡設備維護廠商或參考以下建議進行更新:

(1).https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24094

(2).https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24074

(3).https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24086

2.若無法立即更新,可參考官網公告採取緩解措施,並建議經測試再做調整。

(1)CVE-2021-24074執行官網因應措施中之PowerShell指令,停用IPv4之鬆散來源路由,防止攻擊者進行弱點利用,參考連結如下:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24074

(2)CVE-2021-24086與CVE-2021-24094執行官網因應措施中之PowerShell指令,於邊界網路設備上停用IPv6分段,防止攻擊者進行弱點利用,參考連結如下:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24086

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24094

[參考資料:]

  1. https://msrc-blog.microsoft.com/2021/02/09/multiple-security-updates-affecting-tcp-ip/
  2. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24094
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24074
  4. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24086
  5. https://unit42.paloaltonetworks.com/cve-2021-24074-patch-tuesday/
  6. https://www.ithome.com.tw/news/142717
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

【資安警訊】微軟修補Microsoft Defender存在12年之久的重大風險漏洞。

(轉知) 微軟修補Microsoft Defender存在12年之久的重大風險漏洞。

研究人員發現,這個漏洞從2009年,還是Windows Defender的年代就已存在迄今而沒被發現。所幸他們沒有發現該漏洞有被開採的跡象

資安全廠商發現微軟終端安全軟體Microsoft Defender一項重大的權限擴張漏洞,可使攻擊者得以刪除檔案或接管裝置。微軟已在上周的Patch Tuesday修補本項漏洞。

這項漏洞發生在(原名Windows Defender的)Microsoft Defender的驅動程式BTR.sys。它只在Defender偵測到惡意程式時矯正時載入,負責從核心模式下刪除惡意程式建立的檔案系統及登錄檔資源。這時它會建立一個記錄其刪除行動的檔案,以及一個控制代碼(handle)。

安全廠商SentinelOne發現,漏洞出在它並未驗證這個檔案是否為一個指向其他檔案連結。因此若攻擊者丟入一個系統連結,就能使這驅動程式覆寫掉任何他指定的檔案,這就能達到刪除檔案、資料,或是執行程式碼的目的,即使不具管理員權限。

研究人員發現,這個漏洞從2009年,還是Windows Defender的年代就已存在迄今而沒被發現。所幸他們沒有發現該漏洞有被開採的跡象。

Wired報導這個漏洞若被開採後果將相當嚴重。它內建在Windows出貨到每臺PC,而且為Windows信任,也獲得微軟簽章,可讓攻擊者執行想要的攻擊行動,包括刪除重要檔案或接管系統。

安全廠商於去年11月通報微軟,微軟已於2月9日的Patch Tuesday中予以修補

 

資料來源:

https://www.ithome.com.tw/news/142749

https://www.ithome.com.tw/news/142716

【資安警訊】Google修補已遭開採的Chrome零時差漏洞

(轉知) Google修補已遭開採的Chrome零時差漏洞

外界推測Google於Chrome 88.0.4324.150修補的漏洞CVE-2021-21148,與近日北韓駭客鎖定資安社群的攻擊行動有關。

Google在周四(2/4)釋出Chrome 88.0.4324.150,以修補已遭到駭客開採的CVE-2021-21148零時差漏洞。

CVE-2021-21148為一存在於開源JavaScript引擎V8中的堆積緩衝區溢位漏洞,是由資安研究人員Mattias Buelens在1月24日所提報,Google僅說坊間已出現針對該漏洞的攻擊程式,並未描述漏洞細節或相關攻擊行動,但外界揣測它與近日北韓駭客鎖定資安社群的攻擊行動有關。

包括Google與微軟,都曾揭露這起針對資安研究人員發動的網路攻擊行動。駭客於Twitter上建立多個帳號,也打造了資安部落格,藉由高品質的資安內容來與資安研究人員建立關係,然而,由駭客寄來的檔案卻含有惡意程式,而造訪該資安部落格的研究人員也會被植入惡意程式。

根據Google的調查,被惡意程式感染的系統,都是採用最新的Windows作業系統與Chrome瀏覽器,當時Google應也懷疑駭客可能是開採了Chrome的零時差漏洞,進而鼓勵任何知道Chrome安全漏洞的研究人員向Google通報。

而微軟則說,確定有研究人員只是透過Chrome造訪駭客所掌控的部落格,就感染了惡意程式,駭客也許是利用了Chrome的零時差漏洞或是漏洞修補空窗期來展開攻擊。

Chrome 88.0.4324.150支援Windows、macOS及Linux作業系統,將在未來幾天自動部署至用戶端。

資料來源: https://www.ithome.com.tw/news/142645

資訊工作日誌(110年2月份)

資訊工作日誌】【上個月工作日誌】【智慧學習領航學校工作日誌

2月26日(五):

  • 二期校舍部份一樓教室網路不通,廠商下午至電腦機房裝上新 mini-GBIC,網路已恢復正常。
  • 五年2班李亞壎老師借用行動便利箱,結合教室內的 D 充電車上 30 台 iPad ,進行行動學習教學活動。
  • 配發 8 台重灌好的 L4630G 給教學電腦較舊的教室,並回收原教學電腦。
    • 3 台為級任教室、5 台為科任教室。
    • 回收的 L480 電腦重灌, Z430 電腦暫放於電腦維修室。
  • 清點回收的電腦及追查應繳回卻未繳回的舊行政電腦。
  • C 充電車上 有部份 iPad,APP 未推播完全,重新推播;部份 iPad 重置後,裝置名稱未改,重新更改為正確的名稱。
  • 重置禹孟潔老師 iPad、重新納管、作業系統升級至最新版、APP 重新推播。
  • 重灌 1 台 L4630G、3 台 L480。
  • 從電腦教室(二)移 12 台 17 吋 LCD 至電腦維修室,準備發放。
  • 宏碁電腦公司配員至本校回收新行政電腦的包裝紙箱。
  • 環教組長未拿到新行政電腦的讀卡機,經向各處室查找,終於在總務處大桌上找到。
  • 協助出納組長處理新行政電腦相關操作問題,並安裝印表機驅動程式。

2月25日(四):

  • 繼續整理昨日新配發的資訊組長行政電腦、持續處理未完的回收工作:
    • 重灌資訊組長舊行政電腦,準備發放給科任教室教學使用。
    • 發現新行政電腦 N4670G 若接雙螢幕,重新開機時會掛點。
  • 更換教務處公用電腦及健康中心電腦為改裝 SSD 的 L480 電腦,回收的 L480 電腦重灌。
  • 配發 2 台重灌好的 L4630G 給教學電腦較舊的班級,並回收原教學電腦。
    • 回收的 L480 電腦重灌, Z430 電腦暫放於電腦維修室。
  • 將 2 台 4 核心 L480 電腦的硬碟改裝為 240GB SSD,系統重灌,準備發放給科任教室教學使用。
  • 二期校舍部份一樓教室網路不通,廠商下午至電腦機房檢修,確認光纖網路斷訊的原因是 mini-GBIC 故障。
  • 在李櫟永老師協助下,將 5 台電腦教室(二) 17 吋 LCD 改裝成 19 吋。
  • 經李櫟永老師研究發現,可透過工具程式AOMEI Partition Assistant將以傳統 BIOS 啟動模式開機的硬碟資料整個轉成支援 UEFI 啟動模式,接著就可以 UEFI 啟動模式正常開機了。(註:防毒軟體要先暫停執行,否則硬碟資料轉換會失敗。)
    • 將 1 台以傳統 BIOS 啟動模式開機的 N4640G 硬碟資料整個轉成支援 UEFI 啟動模式。完成後,製作最新 N4640G 支援 UEFI 啟動模式的 Clonezilla 映像檔。
  • 協助人事主任移轉舊行政電腦的程式與資料至新行政電腦。
  • 回收人事主任及健康中心舊行政電腦,待重灌後,準備發放給科任教室教學使用。
  • 重置高伊蓮老師 iPad、重新納管、作業系統升級至最新版、APP 重新推播。
  • 線上填報:新北市公立中小學申請補助觸控式螢幕需求調查。

2月24日(三):

  • 整理昨日新配發的資訊組行政電腦,儘速回復正常工作。
  • 與李櫟永老師研討新行政電腦 N4670G 製作和還原 Clonezilla 映像檔的相關問題。
    • Acer N4670G 僅支援 UEFI 啟動模式。
  • 繼續處理昨日未完的回收工作。
  • 重灌 2 台 N4660G、1 台 N4640G、1 台 L4630G、7 台 L480。
  • 配發重灌好的 N4660G、N4640G、L4630G 給教學電腦較舊的班級,並回收原教學電腦。
    • 回收的 L480 電腦清潔後,系統一律重灌,集中保管於電腦機房。
    • 回收的 Z430 電腦,暫放於電腦維修室,待清潔後,集中保管於電腦教室(三)。
    • 今日共配發出去 2 台 N4660G、1 台 N4640G、5 台 L4630G 給 8 個班級。
  • 鄭佑津老師及1台學生 iPad 重置、重新納管、作業系統升級至最新版、APP 重新推播。
  • C 充電車上 30 台 iPad,增加推播 3 個新 APP。

2月23日(二):

  • 上午9:20,合志3名工程師至校安裝新一期的國中小行政電腦,至下午約 3:40 完工。
    • 多餘未裝的各種線材整理後,分類集中保管於電腦維修室。
    • 紙箱、廢材暫置於電腦教室(二),準備資源回收或請宏碁派人回收。
    • 合志工程師協助設定每一部行政電腦的IP、DNS、WINS。
    • 影印機廠商工程師,下午至校安裝所有行政電腦的影印機驅動程式。
  • 回收 16 台 L4630G、1 台 N4640G、7 台 L480。部份行政電腦因該行政人員工作未處理完畢,或有其他用途,暫留用。
    • 19 吋螢幕暫置於電腦教室(二),準備更換電腦教室(二)的電腦螢幕。
    • 其他尺寸螢幕置於電腦維修室集中保管。
    • 鍵盤、滑鼠、電源供應器、各種線材清潔、整理後分類集中保管於電腦維修室。
  • 在李櫟永老師協助下,清潔所有回收的電腦,並以最新 N4640G 電腦 Clonezilla 映像檔重灌其中 15 台 L4630G、1 台 L480。
  • 以最新 N4640G 電腦 Clonezilla 映像檔重灌教務處 1 台公用電腦(L480)。
  • 通知教學電腦較舊的班級導師,將原教學電腦資料備份好,明日將替換新重灌好的 L4630G。
  • 與校長討論教育局補助觸控螢幕的相關事宜,積極爭取議員補助款。
  • 二期校舍部份一樓教室網路不通,廠商至校檢修。確認為光纖網路斷訊,總務處處理中。

2月22日(一):

  • 開學當日上午將由市府統一辦理線上直播開學典禮,9點48分至9點57分(約10分鐘)於新北學Bar臉書專頁直播。
  • 新一期的國中小行政電腦更新案,於今日上午9:50送貨至本校、預計2月23日(二)到校安裝。
  • 四年2班教學電腦 Z430 故障,更換 1 台。
  • 以最新 N4640G 電腦 Clonezilla 映像檔重灌 L480 電腦 15 台。
  • 新任社會科任楊士萱老師領用科任辦公室教師電腦 1 套。
  • 調整 A 充電車上 30 條充電線至最佳狀況,並將其上的 iPad 逐一檢查,確認每一台  iPad 作業系統都升級至最新版、APP 都推播成功、WiFi 都設定好。
  • 許文華老師 iPad 重置、重新納管、 作業系統升級至最新版、APP 重新推播。
  • 二期校舍部份一樓教室網路不通,疑似其中1條光纖網路斷訊,報總務處及廠商維修中。
  • 【漏洞預警】微軟Windows DNS伺服器存在安全漏洞(CVE-2021-24078),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新!
  • 與五年級資訊老師謝炳睿、紀宗偉老師共同研討資訊課程,決定本學期期中考前上 Micro:bit,期中考後上 NKNU 馬達與感測器教具平台。

2月19日(五):

  • 在李櫟永、鄭佑津老師協助下,將 A、B 二輛充電車上 60 台 iPad 和 1 台教師用 iPad,重新納管並將作業系統全升級至最新版,APP 重新推播。
  • 完成「行政院國家資通安全會報資通安全作業管考系統」機關管理者帳號申請。
  • 製作最新 N4640G 電腦 Clonezilla 映像檔。

2月18(四):

2月17日(三):

2月9日(二)∶

  • 在碁峰工程師電話協助下,指導如何將iPad作業系統重灌,並對憑證、iPad納管、作業系統升級做進一步咨詢。接著開始進行漫長的iPad作業系統重灌與重新納管路程。
    • 今日將昨日作業系統升級失敗的 14 台 iPad,作業系統全數重灌完成。
    • 升級 1 台 iPad 作業系統,重新納管 F 充電車上 22 台 iPad。

2月8日(一):

  • 本校因原 APPLE MDM「裝置通訊推播通知憑證」已撤銷,在 APPLE 工程師協助下重建一個全新的憑證,經多日觀察,發現原納管的iPad都無法正常接收、回應新的裝置通訊推播通知,經碁峰工程師負責此案的工程師指導,必須將原納管的iPad一台一台「清除所有內容和設定」,重新納管。
    • iPad 教師機,可以直接在 iPad 上設定:一般→重置→選「清除所有內容和設定」。重新納管1台成功,並升級作業系統。
    • iPad 學生機,必須透過 Apple Configurator 2,在進階選項上,選「清除所有內容和設定」。重新納管2台成功,並升級作業系統。
    • 為使工作有效率,利用同步充電車,透過 Apple Configurator 2,一次升級 14 台 iPad 作業系統,結果升級至午夜仍未成功,取消作業後,作業系統得全數重灌。

2月5日(五):

2月4日(四):

  • 精彩資訊工程師於8:45至本校重配健康中心電路、網路和電話線路,並加壓條。
  • 協助新進代課老師設定校務行政系統帳號、建置班級網頁、電子郵件,並加入本校共用雲端硬碟「教務處工作區」。
  • 20201231MDM管理與應用(11.1)

2月2日(二):

  • 新北市教育局-名師線上課程不漏接
    2/2 主題:藝術無國界Google藝術與文化
    直播老師:昌福國小呂聰賢老師
    直播時間:19:00-19:50
    直播網址: https://youtu.be/Al5n2LZbrAg
  • 中午至新北市教育局(市府大樓21樓)參加教資科科務會議。

2月1日(一):