漏洞/資安訊息通告

國家資通安全會報 技術服務中心

漏洞/資安訊息警訊

發布編號	ICST-ANA-2009-0001	發布時間	2009/01/08 19:05:26
事件類型	攻擊活動預警	發現時間	2009/01/06
警訊名稱	WordPad文字轉換程式弱點零時差攻擊手法通告
內容說明	技服中心近期發現駭客新型態的攻擊手法，透過微軟WordPad 文字轉換程式的弱點，可能會允許遠端執行程式碼，成功利用此弱點的攻擊者可以取得與本機使用者相同的使用者權限。 此類攻擊之檔案類型可能為 .doc 或 .rtf ，系統會預設使用Microsoft Office Word進行開啟文件，因此不會遭受此弱點之影響。但攻擊者可以重新命名惡意檔案以 Windows Write (.wri) 為副檔名，使系統仍會使用 WordPad開啟檔案，請各單位多加留意。
影響平台	Windows 2000 Service Pack 4、Windows XP Service Pack 2、Windows Server 2003 Service Pack 1 和 Windows Server 2003 Service Pack 2
影響等級	高
建議措施	1. 請勿開啟未受確認之電子郵件附件檔案。 2. 此弱點目前尚待廠商提供修補程式。
參考資料	微軟安全性公告資訊網址： http://www.microsoft.com/taiwan/technet/security/advisory/960906.mspx

 

 

漏洞/資安訊息通告

國家資通安全會報 技術服務中心

漏洞/資安訊息警訊

發布編號	ICST-ANA-2008-0014	發布時間	2008/12/18 16:14:47
事件類型	漏洞預警	發現時間	2008/12/18
警訊名稱	微軟安全性漏洞更新通知
內容說明	國家資通安全會報技術服務中心於分析惡意電子郵件時，發現政府單位近期遭受針對性攻擊，駭客利用發送夾帶惡意連結之信件，當使用者點擊惡意連結時，將透過微軟 Internet Explorer網頁瀏覽器7.0(Windows)所存在的弱點進行攻擊。除針對性攻擊外，網際網路上亦有不少惡意網頁利用此弱點，攻擊發生時尚無官方修補程式。 微軟已於12/17 公布1 則緊急安全性公告(MS08-078)，並針對Internet Explorer網頁瀏覽器 5.01、6、及7釋出修補程式。為防堵此一攻擊規模的擴大，技術服務中心呼籲 所有使用微軟作業系統之使用者儘速安裝更新程式以進行漏洞修補及採取防禦措施。
影響平台	微軟Windows 2000, Windows XP, Windows Server 2003, Windows Vista and Windows Server 2008
影響等級	高
建議措施	技術服務中心建議所有相關單位： 1.儘速安裝更新程式，對 MS08-078進行漏洞修補。 2.建議使用者可利用 Microsoft/Windows Update 及設定「自動更新」功能定時進行漏 洞修補程式下載及安裝，並且開啟 Windows 防火牆設定。 3.請勿開啟未受確認之電子郵件內的超連結及附件檔案。
參考資料	微軟安全性公告資訊網址 https://www.microsoft.com/technet/security/bulletin/ms08-078.mspx http://support.microsoft.com/kb/960714

 

 

漏洞/資安訊息通告

國家資通安全會報 技術服務中心

漏洞/資安訊息警訊

 

發布編號	ICST-ANA-2008-0013	發布時間	2008/12/10 21:58:21
事件類型	攻擊活動預警	發現時間	2008/12/10
警訊名稱	微軟IE 7.0 XML弱點零時差攻擊手法通告
內容說明	技服中心近期發現駭客新型態的攻擊手法，透過微軟Internet Explorer網頁瀏覽器7.0(Windows)中SDHTML在處理XML時的弱點，對網頁瀏覽者進行攻擊，由於此攻擊手法極具威脅性，請各單位嚴加注意與防範。 駭客發現IE在處理XML內嵌img src資料時，會引發SDHTML發生跳脫原執行路徑的弱點，此弱點於2008年10月間被中國大陸駭客揭露並於黑市中販售，而相關的攻擊也已經在網際網路上大量出現。此弱點至今尚未修補，尚屬零時差攻擊，各單位需提高警覺。 傳統上利用該弱點的攻擊手法，多半是經由寄送夾帶超連結之惡意電子郵件，誘騙使用者點閱開啟超連結。駭客也可以將惡意的網頁當成電子郵件的附件寄送給使用者，然而使用者對於電子郵件附件是網頁的堤防心態不高，也使得這類攻擊手法的成功率相當的高。 在實際的攻擊案例上，駭客在攻擊程式中所使用的惡意程式僅有少數的防毒軟體能夠偵測得到。使用者僅依靠防毒軟體來防堵此一攻擊的效果是極低的，因此未來不排除可能會發生大規模的利用此弱點進行攻擊的手法出現，請各單位嚴加注意。
影響平台	執行於Windows XP、Windows Server 2003及Windows Vista所有的版本 (既使已經安裝到最新的更新patch依然有弱點)
影響等級	高
建議措施	1. 請勿開啟未受確認之電子郵件附件檔案。 2. 請勿開啟未受確認之電子郵件內的超連結。 3. 暫時停用IE，改用其他瀏覽器瀏覽網頁。 4. 此弱點目前尚待廠商提供修補程式。
參考資料

 

 

 

漏洞/資安訊息通告

國家資通安全會報 技術服務中心

漏洞/資安訊息警訊

發布編號	ICST-ANA-2008-0013	發布時間	2008/12/10 21:58:21
事件類型	攻擊活動預警	發現時間	2008/12/10
警訊名稱	微軟IE 7.0 XML弱點零時差攻擊手法通告
內容說明	技服中心近期發現駭客新型態的攻擊手法，透過微軟Internet Explorer網頁瀏覽器7.0(Windows)中SDHTML在處理XML時的弱點，對網頁瀏覽者進行攻擊，由於此攻擊手法極具威脅性，請各單位嚴加注意與防範。 駭客發現IE在處理XML內嵌img src資料時，會引發SDHTML發生跳脫原執行路徑的弱點，此弱點於2008年10月間被中國大陸駭客揭露並於黑市中販售，而相關的攻擊也已經在網際網路上大量出現。此弱點至今尚未修補，尚屬零時差攻擊，各單位需提高警覺。 傳統上利用該弱點的攻擊手法，多半是經由寄送夾帶超連結之惡意電子郵件，誘騙使用者點閱開啟超連結。駭客也可以將惡意的網頁當成電子郵件的附件寄送給使用者，然而使用者對於電子郵件附件是網頁的堤防心態不高，也使得這類攻擊手法的成功率相當的高。 在實際的攻擊案例上，駭客在攻擊程式中所使用的惡意程式僅有少數的防毒軟體能夠偵測得到。使用者僅依靠防毒軟體來防堵此一攻擊的效果是極低的，因此未來不排除可能會發生大規模的利用此弱點進行攻擊的手法出現，請各單位嚴加注意。
影響平台	執行於Windows XP、Windows Server 2003及Windows Vista所有的版本 (既使已經安裝到最新的更新patch依然有弱點)
影響等級	高
建議措施	1. 請勿開啟未受確認之電子郵件附件檔案。 2. 請勿開啟未受確認之電子郵件內的超連結。 3. 暫時停用IE，改用其他瀏覽器瀏覽網頁。 4. 此弱點目前尚待廠商提供修補程式。
參考資料

 

 

 

漏洞/資安訊息通告

國家資通安全會報 技術服務中心

漏洞/資安訊息警訊

發布編號	ICST-ANA-2008-0012	發布時間	2008/11/30 10:41:45
事件類型	攻擊活動預警	發現時間
警訊名稱	點閱綁架(Clickjacking)攻擊暨漏洞修補通知
內容說明	近期出現了一種新型態的瀏覽器攻擊手法，駭客透過精巧設計的惡意網頁誘騙使用者做滑鼠點擊(click)動作，在使用者不知情的情況下，這些點擊動作會連串成對為對使用者不友善的行為，如導致個人資料外洩。 此類攻擊手法利用HTML語法所支援的某些特殊內嵌物件來試圖混淆使用者進行滑鼠點擊動作，並導致使用者觸發執行隱藏於Javascript、CSS、Iframe等網頁物件的惡意指令或程式。 近期出現大量利用點閱綁架攻擊方式之網站，提醒尚未修補弱點之使用者儘快進行修補。
影響平台	Flash及各平台之瀏覽器
建議措施	1. 建議使用者將Adobe Flash Player升級至最新版本10.0.12.36，或直接使用產品自動更新方式來升級。 2. 避免於瀏覽器中自動執行iframe與Javascript。
參考資料	Adobe http://www.adobe.com/support/security/advisories/apsa08-08.html CVE http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4503 US-CERT http://www.us-cert.gov/reading_room/securing_browser/

 

 

 

漏洞/資安訊息通告

國家資通安全會報 技術服務中心

 

漏洞/資安訊息警訊

 

發布編號	ICST-ANA-2008-0011	發布時間	2008/10/24 18:23:21
事件類型	漏洞預警	發現時間	2008/10/24
警訊名稱	微軟安全性漏洞更新通知
內容說明	微軟於10/23 公布1 則緊急安全性公告(MS08-067)及其修補程式。漏洞涵蓋微軟Windows 2000, Windows XP, Windows Server 2003, Windows Vista and Windows Server 2008系統，此漏洞可讓惡意使用者經由網路從遠端進行攻擊而取得系統控制權，並藉此執行任意程式碼與植入惡意程式，因而達到入侵系統的目的，利用此漏洞的攻擊程式已在網路上流傳。 技術服務中心呼籲所有使用微軟作業系統之使用者儘速安裝更新程式以進行漏洞修補及採取防禦措施。
影響平台	微軟Windows 2000, Windows XP, Windows Server 2003, Windows Vista and Windows Server 2008
影響等級	高
建議措施	技術服務中心建議所有相關單位： 1.儘速安裝更新程式，對 MS08-067進行漏洞修補。 2.建議使用者可利用 Microsoft/Windows Update 及設定「自動更新」功能定時進行漏洞修補程式下載及安裝，並且開啟 Windows 防火牆設定
參考資料	微軟安全性公告資訊網址： http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-067.mspx http://blogs.technet.com/msrc/archive/2008/10/23/ms08-067-released.aspx

 

 

 

漏洞/資安訊息通告

國家資通安全會報 技術服務中心

緊急事件警訊

發布編號	ICST-ALT-2008-0002	發布時間	2008/10/15 16:14:41
事件主旨	請加強防範駭客假冒行政院國家資通安全會報綜合規劃組 及 行政院科技顧問組資通安全小組發送之惡意電子郵件
事件描述	國家資通安全會報技術服務中心於分析惡意電子郵件時，發現有駭客假冒「行政院國家資通安全會報綜合規劃組」及「行政院科技顧問組資通安全小組」名義，發送夾帶惡意程式附檔之信件，當使用者開啟郵件附檔後，即會被植入後門程式。 經調查，駭客大量寄發經特殊設計的電子郵件，顯示此次大規模入侵事件並非個案。 目前已發現的信件特徵如下，若有收到類似不明信件，請勿開啟： 寄件者:schiulong@gmail.com 主旨：請速陳報資訊人力資料（附呈報表格） 附件名稱：呈報格式.doc 惡意程式相關資訊如下： 系統登錄變動資訊 HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components,,,C:\WINDOWS\System32:service.exe 相關域名資訊 www.adobeupdating.com
因應對策	建議所有相關單位： 1.請阻擋並監控以下惡意網域。 www.adobeupdating.com 2.國家資通安全會報技術服務中心呼籲各使用者，若近期使用者獲類似以「行政院國家資通安全會報綜合規劃組」及「行政院科技顧問組資通安全小組」名義寄送含有Office 附檔之信件至各政府機關。信件，請勿隨意開啟，同時亦不要開啟不明來源信件的附檔，以防被植入後門程式。 3.提醒收件者提高警覺，勿任意開啟任何可疑信件，如發現可疑信件請通報技服中心處理。
參考資料

 

 

 

漏洞/資安訊息通告

國家資通安全會報 技術服務中心

漏洞/資安訊息通告

發布編號	ICST-ANA-2008-0010	發布時間	2008/08/06 14:42:05
事件類型	其他	發現時間	2008/08/05
通告名稱	新型態惡意程式攻擊手法通告--磁碟MBR惡意程式
內容說明	技術服務中心近日發現新型態惡意程式，此類惡意程式藏身於磁碟主啟動磁區(Master Boot Record, MBR)之中，可能導致傳統電腦清除還原程序無法有效清除惡意程式。 此類惡意程式修改磁碟主啟動磁區啟動程式，於開機階段即取得控制權並在作業系統啟動後執行惡意程式，此手法與傳統惡意程式於作業系統下取得控制權的模式不同。 由於磁碟主啟動磁區於磁碟格式化(Format)時不會被更動，因此使用磁碟格式化無法清除此類惡意程式。另外，目前許多單位在發現電腦遭惡意程式感染時採用Ghost工具進行還原，例如使用「分割區還原 (Image to Partition)」等方式進行系統還原，由於此還原模式只會針對指定分割區進行資料還原，並不會更動到磁碟主啟動磁區，所以若感染此類惡意程式，可能在磁碟還原後仍無法清除惡意程式，導致重新開機後惡意程式再次感染作業系統的狀況。 清除此類惡意程式必須重建主啟動磁區，因此技術服務中心強烈建議各單位在電腦還原標準程序中新增「重建主啟動磁區」的步驟。 重建主啟動磁區可利用以下兩種方式： 1. 利用微軟公用程式FDISK，使用磁片開機後執行「FDISK /MBR」指令進行重建。 2. 利用微軟Windows開機光碟開機，並進入修復主控台，執行「fixmbr」指令進行重建。
影響平台	Microsoft Windows 95/98/2000//ME/XP/2003/Vista
影響等級	高
建議措施	請修改惡意程式清除還原標準程序，新增重建磁碟主啟動磁區(MBR)之步驟。
參考資料	無

 

 

漏洞/資安訊息通告

國家資通安全會報 技術服務中心

漏洞/資安訊息通告

發布編號	ICST-ANA-2008-0007	發布時間	2008/07/30 09:09:39
事件類型	攻擊活動預警	發現時間	2008/07/29
通告名稱	網域名稱伺服器快取毒害(DNS cache poisoning)攻擊暨漏洞修補通知
內容說明	DNS (Domain Name System)是相當重要的網路服務之一，主要用於將使用者容易記憶之域名(如www.icst.org.tw)對應到數字型式之 IP address(如163.29.186.10)。 由於 DNS 設計上的缺陷，駭客可利用其弱點進行 DNS 快取毒害攻擊(Cache Poisoning Attack)，將偽造的惡意紀錄加入有弱點之 DNS。此舉將造成使用者雖然使用正常域名存取網路服務，卻因受害 DNS 將正常域名對應至惡意 IP，而造成使用者被導引至惡意網站。 近日已有針對此 DNS 弱點之攻擊程式(exploit)於網路上流傳，提醒有建置 DNS 而尚未修補者儘快進行修補。
影響平台	各家網域名稱伺服器，包括 Windows Server 2003、Windows 2000 及 Windows XP 內建之 DNS 服務，及大部分 UNIX/Linux 使用之 ISC BIND。
影響等級	高
建議措施	儘早至各 DNS 官方網站下載並安裝更新軟體 1. 使用微軟 DNS 者建議直接使用 Microsoft Update 進行更新，若欲單獨更新則安裝 MS08-037 安全修補程式。 2. 使用 ISC BIND 者建議更新至 9.5.0-P1 版本，若因故使用較舊版本者請更新至9.4.2-P1 或 9.3.5-P1 版本，注意有 -P1 之版本才是此次更新之版本，更舊之版本已不支援故不會提供更新，不建議使用。 3. 使用 RedHat 或 Fedora linux 者可透過 yum update 更新套件。 4. 若 貴單位使用其他廠牌之 DNS，請尋求原始廠商協助。
參考資料	CVE http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447 US-CERT http://www.kb.cert.org/vuls/id/800113 ISC bind http://www.isc.org/index.pl?/sw/bind/bind-security.php Microsoft MS08-037 - addresses a vulnerability in DNS (Windows)(KB 953230) http://www.microsoft.com/technet/security/bulletin/ms08-037.mspx