網路現況公告
查詢訊息時間:~


日期

來源

內   容

2017-11-28 教育機構ANA通報平台 公告主旨 : 特定Intel處理器中的ME、SPS及TXE管理技術存在多個安全漏洞,允許攻擊者遠端執行任意程式碼

]【漏洞預警】特定Intel處理器中的ME、SPS及TXE管理技術存在多個安全漏洞,
允許攻擊者遠端執行任意程式碼,或本地端進行提權與執行任意程式碼
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201711-0033

研究人員發現Intel管理引擎(Management Engine,ME)、受信任的執行引擎
(Trusted Execution Engine,TXE)及伺服器平台服務(Server Platform
Services,SPS)存在多個安全漏洞。

當中管理引擎(ME)包含CVE-2017-5705、CVE-2017-5708、CVE-2017-5711及CVE-
2017-5712安全漏洞,受信任的執行引擎(TXE)包含CVE-2017-5707與CVE-
2017-5710安全漏洞,伺服器平台服務(SPS)包含CVE-2017-5706與CVE-2017-5709
安全漏洞。其中部分漏洞允許攻擊者於本地用戶的目標系統進行提權與執行任意
程式碼。

[影響平台:]
處理器版本:
6th, 7th, and 8th generation Intel Core Processor Family
Intel Xeon Processor E3-1200 v5 and v6 Product Family
Intel Xeon Processor Scalable Family
Intel Xeon Processor W Family
Intel Atom C3000 Processor Family
Apollo Lake Intel Atom Processor E3900 series
Apollo Lake Intel Pentium Processors
Intel Celeron N and J series Processors
韌體版本:
Intel Manageability Engine韌體版本:8.x、9.x、10.x、11.0.x.x、
11.5.x.x、11.6.x.x、11.7.x.x、11.10.x.x、11.20.x.x
Intel Server Platform Services韌體版本:4.0.x.x
Intel Trusted Execution Engine韌體版本:3.0.x.x
[建議措施:]
1.目前Intel官方已針對該弱點成立專區(https://www.intel.com/content/www
/us/en/support/articles/000025619/software.html) ,並彙整各家受影響廠
商的技術支援連結,請持續關注或洽詢合作之OEM廠商更新至相對應的韌體版
本,詳細修復韌體版本如下:

6th Generation Intel Core Processor Family大於Intel ME 11.8.50.3425的版本
6th Gen X-Series Intel Core Processor大於Intel ME 11.11.50.1422的版本
7th Generation Intel Core Processor Family大於Intel ME 11.8.50.3425的版本
7th Gen X-Series Intel Core Processor大於Intel ME 11.11.50.1422的版本
8th Generation Intel Core Processor Family大於Intel ME 11.8.50.3425的版本
Intel Xeon Processor E3-1200 v5 Product Family大於Intel ME 118.50.3425
與Intel SPS 4.1.4.054的版本
Intel Xeon Processor E3-1200 v6 Product Family大於Intel ME 118.50.3425
與Intel SPS 4.1.4.054的版本
Intel Xeon Processor Scalable Family大於Intel ME 11.21.50.1424與Intel
SPS 4.0.04.288的版本
Intel Xeon Processor W Family大於Intel ME 11.11.50.1422的版本
Intel Atom C3000 Processor Family大於Intel SPS 4.0.04.139的版本
Apollo Lake Intel Atom Processor E3900 series大於Intel TXE Firmware
3.1.50.2222的版本
Apollo Lake Intel Pentium大於Intel TXE Firmware 3.1.50.2222的版本
Celeron N series Processors大於Intel TXE Firmware 3.1.50.2222的版本
Celeron J series Processors大於Intel TXE Firmware 3.1.50.2222的版本

2.Intel官方網頁釋出之檢測工具,詳細檢測步驟如下:
(1)下載Intel SCS System Discovery Utility工具
(https://downloadcenter.intel.com/download/27150)
(2)Windows:執行Intel-SA-00086-GUI.exe程式
(3)Linux:執行intel_sa00086.py程式
[參考資料:]
1.https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr


2.https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問
或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

2017-11-27 行政法人國家資通安全科技中心 資安訊息警訊 NCCST-AN 公告主旨 : 【漏洞預警】英飛凌TPM晶片存在RSA缺陷漏洞(CVE-2017-15361)

英飛凌(Infineon Technologies)是一間位於德國的半導體製造商,主力提供半
導體與系統解決方案。可信賴平台模組(Trusted Platform Module, TPM)是由可
信賴運算組織(Trusted Computing Group, TCG)所發展的安全晶片規格,用以儲
存如密碼、憑證或加密金鑰等重要資料,目前廣泛應用於筆記型電腦、路由器或
物聯網裝置的主機板上。

研究人員發現英飛凌公司的加密智能卡、安全令牌(Security Tokens)及其他安
全硬體等,其基於TCG規範1.2與2.0版所生產的TPM晶片存在RSA缺陷漏洞(CVE-
2017-15361),攻擊者可透過因數分解攻擊(Factorization Attack)計算出私密
金鑰(Private Key),進而導致攻擊者可偽冒合法使用者以獲取機敏資訊。

[影響平台:]
基於TCG規範1.2與2.0版所生產之TPM晶片
[建議措施:]
目前英飛凌官網(https://www.infineon.com/cms/en/product/promopages/tpm-
update/?redirId=59160) 已彙整各廠商所提供技術支援連結,各機關可自行參
考廠商提供的受影響產品與更新檔進行修復。

- HP (https://support.hp.com/us-en/document/c05792935)
- Lenovo (https://support.lenovo.com/tw/zh/product_security/len-15552)
- Fujitsu (http://support.ts.fujitsu.com/content/InfineonTPM.asp)
- Panasonic (http://pc-dl.panasonic.co.jp/itn/info/osinfo20171026.html)
- Toshiba (https://support.toshiba.com/sscontent?contentId=4015874)
- Chrome OS
(https://sites.google.com/a/chromium.org/dev/chromium-os/tpm_firmware_update)

[參考資料:]
1.https://crocs.fi.muni.cz/public/papers/rsa_ccs17#detection_tools_mitigation_and_workarounds


2.https://www.ithome.com.tw/news/117518

3.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170012


4.http://www.securityweek.com/tech-giants-warn-crypto-flaw-infineon-chips
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問
或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

2017-11-21 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Android.Congur資安事件頻傳,建議各學校優先封鎖連線的惡意目的IP

發佈編號
TACERT-ANA-2017112109115454
發佈時間
2017-11-21 09:30:57
事故類型 ANA-漏洞預警 發現時間 2017-11-21 09:30:57
影響等級 中
[內容說明:]
從106年5月開始在學術網路中發生陸續發生Android. Congur資安事件,偵測規
則為Android.Congur.Botnet或MALWARE-CNC Andr.Trojan.Congur variant
outbound connection detected,根據TACERT團隊觀察,該類型資安事件的觸發
率有逐漸升高之趨勢,而該類型資安事件單的中毒裝置並非只有手機,有安裝
Android 模擬器的電腦也有可能中毒。

經TACERT團隊檢測,當使用者於Android系統玩一款來自韓國的手機遊戲時,會
出現連至中國IP:123.56.205.151:6280之連線行為,此IP目前被Fortinet公司和
AlienVault公司視為惡意IP,並列入黑名單,建議各學校遇到此類資安事件時,
優先封鎖此惡意IP,封鎖該IP不影響該遊戲之使用。
[影響平台:]
所有的Android作業系統版本
[建議措施:]
1.確實使用Android平台提供的基本手機防護。
2.盡量避免使用Wi-Fi自動連線功能。
3.在下載來自第三方應用程式商店的APP前請審慎考慮。
4.當有程式或網頁請求授權時,請詳細閱讀其請求授權的內容。
5.安裝具有信譽且有效的智慧型手機防毒軟體。
6. 請各學校封鎖連線的惡意目的IP:123.56.205.151:6280。
[參考資料:]
1.個案分析-校園Android手機感染Congur病毒事件分析報告
https://portal.cert.tanet.edu.tw/docs/pdf/2017112004115757990146989190715.pdf
如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

2017-10-25 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Adobe Flash Player存在嚴重漏洞(CVE-2017-11292)

發佈編號
TACERT-ANA-2017102502102222
發佈時間
2017-10-25 14:08:23
事故類型 ANA-漏洞預警 發現時間 2017-10-20 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Adobe Flash Player存在嚴重漏洞(CVE-
2017-11292),允許攻擊者在受害系統上執行任意程式碼,進而獲取系統控制權
限,請儘速確認並進行更新
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201710-0035

Adobe Flash Player是一個被廣泛使用的多媒體程式播放器。

防毒廠商卡巴斯基的研究人員(Anton Ivanov)於分析用戶受害情形時,發現駭客
組織(BlackOasis)利用Adobe Flash Player之零時差漏洞(漏洞編號為CVE-
2017-11292)進行攻擊,駭客利用其中含有Flash攻擊代碼之ActiveX物件的惡意
Word文件進行攻擊,當開啟該惡意Word文件後,即可取得系統控制權限,導致可
在受害系統上執行任意程式碼,並且發現該漏洞已被利用來散布FinSpy等間諜惡
意軟體,進行APT攻擊用途。

[影響平台:]
Adobe Flash Player Desktop Runtime小於(含)27.0.0.159之前的版本
Adobe Flash Player for Google Chrome小於(含)27.0.0.159之前的版本
Adobe Flash Player for Microsoft Edge小於(含)27.0.0.130之前的版本
Adobe Flash Player for Internet Explorer 11小於(含)27.0.0.130之前的版本
[建議措施:]
1.各單位可至Adobe Flash Player官網(http://get.adobe.com/tw/flashplayer
/about/)提供的連結,確認當前使用之版本。
如所使用的版本為上述受影響的Adobe Flash Player 版本,請至Adobe Flash
Player官網(https://helpx.adobe.com/security/products/flash-player
/apsb17-32.html)下載最新版本進行更新

2.定期檢視系統/應用程式更新紀錄,避免駭客利用系統/應用程式安全性漏洞進
行入侵行為,並更新防毒軟體病毒碼以加強防護
[參考資料:]
1.https://www.kaspersky.com/about/press-releases/2017_kaspersky-lab-discovers-adobe-flash-zero-day

2.https://www.ithome.com.tw/news/117524

3.https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero-day-exploit/82732/
如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

2017-10-18 教育機構ANA通報平台 公告主旨 : 【漏洞預警】WPA2加密協議存在嚴重漏洞,所有含有WPA2加密協議之裝置均可能受影響

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201710-0011

WPA 全稱為 Wi-Fi Protected Access,有 WPA 和 WPA2 兩個標準,是一種保護
無線網路安全的加密協議。
比利時研究人員發現WPA2(Wi-Fi Protected Access 2)加密協議中存在嚴重漏洞,
包含CVE-2017-13077、CVE-2017-13078、CVE-2017-13079、CVE-2017-13080、
CVE-2017-13081、CVE-2017-13082、CVE-2017-13084、CVE-2017-13086、CVE-
2017-13087及CVE-2017-13080等。
攻擊者可在含有漏洞的WiFi裝置的有效覆蓋範圍內,攔截使用者傳送的檔案、電子郵
件及其他資料等。甚至,特定情況下,攻擊者可以竄改、偽造傳輸的資料,或在正常
網頁中植入惡意連結。


[影響平台:]
所有含有WPA2加密協議之裝置
[建議措施:]
1.請各機關密切注意各家廠商更新訊息,或參考美國Cert/CC官網
(http://www.kb.cert.org/vuls/byvendor?
searchview&Query=FIELD+Reference=228519&SearchOrder=4) 提供之受影響廠
商名單,並儘速安裝更新韌體或軟體
2.減少在公共場合使用WiFi服務,減少受害機會
3.使用WPA2之WiFi連線時,應避免於HTTP連線時傳送機敏資料,盡可能使用HTTPS連
線作為機敏資訊傳送
4.建議變更WiFi AP之SSID(例如手機所分享之WiFi AP),避免存在容易讓人識別身
分之名稱,以減少遭鎖定攻擊機會
5.可以的話,建議使用有線網路取代無線網路以強化安全
6.WiFi服務為區域性連線使用,因此具備良好安全觀念,以及留意安全議題與使用方
式,此問題影響程度有限,不須過於恐慌
[參考資料:]
1.https://www.ithome.com.tw/news/117515
2.https://www.inside.com.tw/2017/10/17/wpa2breaking
3.https://www.krackattacks.com/

2017-09-27 教育機構ANA通報平台 公告主旨 : 特定考勤門禁系統存在資安漏洞,恐遭利用進行虛擬貨幣挖礦或對外攻擊

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201709-0082

技服中心發現特定考勤門禁系統存在以下漏洞:
1.使用公開的網際網路位址,且對外開啟多個服務如SSH、Telnet及Web。
2.未變更系統預設帳號密碼,使外部人員得以取得管理者身分進行系統操作。
3.外部人員可針對相關服務漏洞進行探測攻擊亦或使用工具進行暴力破解行為。
4.設備系統Web服務未做網址路徑限制存取設定,使外部使用者無須身分驗證,
即可透過連線特定網址路徑進行系統操作,如:開啟門禁、修改設備網際網路位
址、新增、列舉及刪除使用者帳號資訊。
5.設備系統存在SQL Injection漏洞,造成系統敏感資訊洩漏,如使用者帳密、
內部人員出勤紀錄及系統設定參數等。

上述系統漏洞可能會造成相關資安風險如下:
1.設備系統連線至外部虛擬貨幣挖礦主機,進行虛擬貨幣挖礦行為。
2.設備系統遭植入惡意程式,並對外進行漏洞探測與攻擊行為。
3.設備系統遭入侵成為殭屍網路成員,並對外進行阻斷式服務攻擊行為。

[影響平台:]
具聯網功能之臉型或指紋辨識之門禁考勤系統
[建議措施:]
1.盤點與檢視是否使用相關考勤門禁系統
2.相關設備系統應置於防火牆後端並設置防火牆規則,將內網與外網做分隔以防
外部非法人士登入。
3.關閉系統上不必要的網路服務,以防遭漏洞探測。
4.系統上所有帳號需設定強健的密碼並定期更換,非必要使用的帳號請將其刪除
或停用。
5.若確認該設備已遭入侵,建議聯繫相關設備廠商重新安裝系統,並注意須安裝
至最新修補程式。若暫時未發現異常行為,建議持續觀察一個星期左右。
6.建議透過防火牆紀錄持續觀察與監控相關設備是否有異常活動行為,例如:外
部探測攻擊、密碼暴力破解及阻斷式服務攻擊等。

2017-09-21 教育機構ANA通報平台 公告主旨 : D-Link DIR-850L AC1200雙頻Gigabit無線路由器存在多個漏洞

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201709-0051

友訊科技(D-Link)為臺灣網路設備的製造商,旗下產品包含路由器、無線網卡、
視訊鏡頭及儲存硬碟等。
南韓研究人員Pierre Kim在今年9月公開揭露,D-Link所生產之DIR-850L AC1200
雙頻Gigabit無線路由器的韌體存在多個安全漏洞(CVE-2017-14413~CVE-
2017-14430),可能導致下列多項資安風險:
1.允許攻擊者可遠端執行跨網站腳本攻擊。
2.因未使用加密傳輸協定,導致攻擊者可透過中間人攻擊方式獲取帳號密碼等資
訊。
3.攻擊者可遠端執行任意程式碼或造成阻斷服務。

[影響平台:]
D-Link 850L韌體版本小於1.14.B07版本
D-Link 850L韌體版本小於2.07.B05版本

[建議措施:]

1.請檢查所使用之韌體是否為受影響之版本,檢查方式:
(1)登入DIR-850L管理介面,
(2)點選「工具」,
(3)點選「韌體」,即可看到目前所使用之韌體版本與韌體日期資訊。

2.目前D-Link官方尚未針對此弱點釋出修復的韌體版本,若使用韌體為受影響版
本,請持續關注D-Link官方網頁釋出的韌體更新版本。

2017-09-07 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Apache Struts 2.5至2.5.12版本中的REST套件

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201709-0003
【漏洞預警】Apache Struts 2.5至2.5.12版本中的REST套件存在允許攻擊者遠
端執行任意程式碼之漏洞(CVE-2017-9805)
Apache Struts 2是一個開放原始碼的Java EE網路應用程式的Web應用框
架,REST(Representational State Transfer)則是一種全球資訊網軟體架構風
格,可便於不同軟體或程式在網路中互相傳遞資訊。

Apache Struts 2中的REST套件提供開發者可遵循REST的理念與原則進行程式開
發,該漏洞主要是在Apache Struts 2.5至2.5.12版本中,當使用REST套件之
XStream處理程序針對XML請求進行反序列化時,因未進行類型過濾,可能導致攻
擊者可傳送惡意的XML封包,進而造成遠端執行任意程式碼與控制系統。

[影響平台:]
Apache Struts 2.5至2.5.12版本
[建議措施:]
1.目前Apache官方已針對此弱點釋出修復版本,請儘速至官方網頁
(https://struts.apache.org/download.cgi#struts2513) 進行更新。

2.如無使用REST套件需求,請刪除REST套件。確認方式於WEB-INFlib目錄下是
否有 struts2-rest-plugin-2.x.jar 檔案。

3.如需在受影響平台中持續使用REST套件,可於REST套件內的
struts-plugin.xml 設定檔中,依官方網頁(https://struts.apache.org/docs
/s2-052.html) 所提供之解決方案進行內容新增,可降低此漏洞影響程度。
[參考資料:]
1.https://struts.apache.org/docs/s2-052.html

2.https://github.com/apache/struts/blob/bbd4a9e8c567265c0eb376c0f8a3445f4d9a5fdf/plugins/rest/src/main/resources/struts-plugin.xml


3.http://thehackernews.com/2017/09/apache-struts-vulnerability.html

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問
或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

2017-08-22 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Netsarang的XSHELL多種版本遭植入惡意程式

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201708-0008

技服中心近日接獲國際組織通報,貴單位所屬資訊設備疑似使用Netsarang的
XSHELL多種版本遭植入惡意程式,可能導致上傳使用者伺服器帳號密碼至特定伺
服器,進而引發進一步攻擊行為。為了有效保護個人電腦與個人資料,同時並杜
絕網路攻擊的發生,請針對該系統進行詳細檢查並加強相關防範措施。
[影響平台:]
目前已知受影響版本如下:
XshellBuild 5.0.1322
XshellBuild 5.0.1325
XmanagerEnterprise 5.0 Build 1232
Xmanager5.0 Build 1045
Xmanager5.0 Build 1048
Xftp5.0 Build 1218
Xftp5.0 Build 1221
Xlpd5.0 Build 1220
[建議措施:]
透過查看nssock2.dll版本確認是否為受影響版本,目前官方已針對此弱點釋出
修復程式 (https://www.netsarang.com/download/software.html),請進行更新。
[參考資料:]

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問
或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

2017-07-19 教育機構ANA通報平台 公告主旨 : 【漏洞預警】微軟Windows作業系統的NTLM驗證通訊協定存在允許攻擊者透過重送攻擊進而取得整個網

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201707-0035

NT LAN Manager (NTLM)驗證通訊協定是微軟的一種安全協定,根據挑戰或回應
(Challenge/Response)機制進行使用者身分驗證。研究人員發現NTLM驗證通訊協定
存在允許執行輕量型目錄存取通訊協定(LDAP)重送攻擊與遠端桌面協定(RDP)重送攻
擊之安全漏洞。

LDAP重送攻擊漏洞允許具有本機系統(SYSTEM)權限的攻擊者,利用攔截NTLM登入封
包與客製惡意封包傳送到網域控制站,可進行網域操作(如新增網域帳號),進而取得
網域控制權。只要攻擊者先行取得系統(SYSTEM)權限即可利用此漏洞取得網域控制權
限,因所有Windows都內建NTLM,所以未更新的系統都有此風險。

RDP重送攻擊漏洞是RDP在受限管理員(Restricted-Admin)模式下,允許降級使用
NTLM驗證通訊協定進行身分驗證,導致攻擊者可利用NTLM驗證通訊協定相關漏洞(如
搭配前述LDAP重送攻擊漏洞)進行攻擊,以取得網域控制權。只要在網域環境使用
NTLM身分驗證服務都有可能存在這個問題。

[影響平台:]
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1511 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1703 for x64-based Systems
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core安
裝選項)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server
Core安裝選項)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server
Core安裝選項)
Windows Server 2012
Windows Server 2012 (Server Core安裝選項)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core安裝選項)
Windows Server 2016
Windows Server 2016 (Server Core安裝選項)
[建議措施:]
目前微軟官方已針對此弱點釋出修復程式
(https://portal.msrc.microsoft.com/en-us/security-
guidance/advisory/CVE-2017-8563)
,請儘速進行更新。
[參考資料:]
1. http://thehackernews.com/2017/07/windows-ntlm-security-flaw.html
2. https://nvd.nist.gov/vuln/detail/CVE-2017-8563
3. http://www.ithome.com.tw/news/115546
4. https://blog.preempt.com/new-ldap-rdp-relay-vulnerabilities-in-
ntlm

2017-07-19 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Apache Struts 2.3.X系列版本中的Showcase應用程式存在允許攻擊者

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201707-0004

Apache Struts 2是一個開放原始碼的Java EE網路應用程式的Web應用框架。
該漏洞主要是在Apache Struts 2.3.X系列版本啟用Struts 2 Struts 1外掛
(struct2-strust1-plugin.jar)環境下,Showcase應用程式(struct2-
showcase.war)呼叫struct2-strust1-plugin時,攻擊者利用傳遞含有惡意字串的
內容,造成可遠端執行任意程式碼。


[影響平台:]
Apache Struts 2.3.X的版本
[建議措施:]
1.請確認網站主機是否使用Apache Struts 2 的Web應用框架,若有使用則可再透過
網站主機目錄中的「WEB-INFlib」資料夾內的Struts.jar檔確認當前使用的版
本。
2.請確認網站主機是否使用Apache Struts 2的Showcase應用程式,路
徑:struts2.3.xappsstruts2-showcase.war。
3.如所使用的Apache Struts為上述(2.3.X)受影響之版本,則請更新官方網頁或官
方Github所釋出最新之Apache Struts 2.5.10的版本。
4.若無使用的需求,請關閉Showcase應用程式。
[參考資料:]
1. https://cwiki.apache.org/confluence/display/WW/S2-048
2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9791

2017-06-29 教育機構資安通報應變小組 公告主旨 : [主旨說明:]【攻擊預警】近期勒索軟體Petya活動頻繁,請立即更新作業系統、Office應用程式與

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201706-0028

全球多個國家於本(106)年6月27日晚間陸續傳出遭勒索軟體Petya攻擊事件,受影響
範圍以烏克蘭、俄羅斯及東歐等地區災情最為嚴重。Petya為2016年勒索軟體Petya
變種,攻擊者主要利用社交工程郵件誘使使用者開啟附件檔案,藉由攻擊Office RTF
漏洞(CVE-2017-0199)執行惡意程式碼,以取得系統控制權,並配合微軟MS17-010
漏洞、Windows遠端管理指令Psexec或WMIC(Windows Management
Instrumentation Command-line)等方式進行內部擴散,受感染主機之作業系統開
機磁區(MBR)與檔案配置表(MFT)將被加密,導致無法進入作業系統,只會在電腦螢幕
上看到要求贖金的訊息。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
Windows XP
Windows Vista
Windows 7
Windows 8.1
Windows RT 8.1
Windows 10
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
[建議措施:]
1.確實持續更新電腦的作業系統、Office應用程式及防毒軟體等至最新版本。Petya
勒索軟體所利用之作業系統弱點與Office應用程式弱點,已分別於3月與4月釋出修復
程式,請至微軟官方網頁進行更新: (1)MS17-010:
https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx
。另外已超過維護週期之作業系統,例如XP/Server 2003等,請參考連結
(https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)下
載後進行更新。 (2)CVE-2017-0199:
https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2017-0199
2.更新電腦防毒軟體病毒碼。
3.作業系統登入密碼應符合複雜性原則,並定期變更密碼。
4.定期備份電腦上的檔案及演練資料還原程序。
5.避免開啟來路不明郵件,包含附件與連結。
[參考資料:]
1. https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2017-0199

2. https://technet.microsoft.com/zh-tw/library/security/ms17-
010.aspx

2017-05-31 教育機構資安通報應變小組 公告主旨 : 【漏洞預警】特定版本Samba軟體存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-7494

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201705-0129

Samba是一種用來使Unix/Linux作業系統與微軟Windows作業系統伺服器訊息區塊
(Server Message Block,SMB,又名網路檔案分享系統)協定進行連結的軟體,可
運用於共享檔案與網路印表機,以及扮演網域控制站(Domain Controller)角色。

研究人員發現存在超過7年之漏洞,該漏洞是Samba軟體在處理共享函式庫(share
library)時存在問題,導致遠端攻擊者只需扮演具有寫入Samba伺服器目錄權限的用
戶,並上傳惡意的共享函式庫,伺服器便會載入與執行該共享函式庫,進而在伺服器
執行任意程式碼獲得管理者權限。目前CVE對此弱點之編號為CVE 2017-7494。雖尚
未傳出實際的案例,但因實現的難度低,且不需使用者介入便可讓攻擊者取得系統權
限,因此此弱點又可被視為Linux版的SMB弱點(例如WannaCry所用),請儘速確認
Samba軟體版本並進行更新或強化。

[影響平台:]
Samba版本大於3.5.0與小於4.4.14/4.5.10/4.6.4
[建議措施:]
1.目前Samba官方已針對此弱點釋出修復之版本
(https://www.samba.org/samba/history/security.html),請將Samba軟體更
新至以下修復之版本,另請密切注意Samba官方網頁,以確認是否有相關延伸性之弱
點。
Samba >= 4.6.4
Samba >= 4.5.10
Samba >= 4.4.14

2.若現階段無法立即更新Samba軟體之版本,則可至smb.conf中的[global]區塊添
加nt pipe support = no參數,以減緩漏洞所造成的影響。

3.透過防火牆或相關防護產品,阻擋來自Internet對Samba伺服器通訊埠(TCP 445)
之連線。

[參考資料:]
1. https://www.samba.org/samba/security/CVE-2017-7494.html
2. http://thehackernews.com/2017/05/samba-rce-exploit.html

2017-05-05 教育機構資安通報應變小組 公告主旨 : 漏洞預警】特定版本Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201705-0006

英特爾(Intel)主動管理技術(Active Management Technology,AMT)是內嵌於
英特爾vPro 架構平台的一項管理功能,獨立於作業系統外運行,即使主機已經關
閉,只要主機仍與電源線和網絡相連,遠端管理人員仍可以存取Intel AMT。而服
務管理器(Intel Standard Manageability,ISM)則具有遠端關機、開機、重新
開機及監視運行的應用程式等,至於小型企業技術(Small Business
Technology,SBT),則具有本機端的軟體監控器、資料備份和復原及省電功能等。

研究人員Maksim Malyutin發現特定Intel晶片韌體中的AMT、SBT及ISM管理技術
存在安全漏洞(CVE-2017-5689),目前已知攻擊者可在未授權的情況下透過AMT管
理技術遠端或本地端獲取系統控制權限,像是開機、關機、讀取文件、檢查正執行
的程序、追蹤鍵盤/滑鼠及螢幕晝面等。


[影響平台:]
First-gen Core family: < 6.2.61.3535個系列版本
Second-gen Core family: < 7.1.91.3272個系列版本
Third-gen Core family: < 8.1.71.3608個系列版本
Fourth-gen Core family: < 9.1.41.3024個系列版本
Fourth-gen Core family: < 9.5.61.3012個系列版本
Fifth-gen Core family: < 10.0.55.3000個系列版本
Sixth-gen Core family: < 11.0.25.3001個系列版本
Seventh-gen Core family: < 11.6.27.3264個系列版本
[建議措施:]
1. 目前Intel官方已針對此弱點釋出修復韌體,請參考Intel官方網頁
(https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-
00075&languageid=en-fr),或洽詢合作之OEM廠商更新至相對應的韌體版本,詳
細修復韌體版本如下:
(1)First-gen Core family: >= 6.2.61.3535的版本
(2)Second-gen Core family: >= 7.1.91.3272的版本
(3)Third-gen Core family: >= 8.1.71.3608的版本
(4)Fourth-gen Core family: >= 9.1.41.3024的版本
(5)Fourth-gen Core family: >= 9.5.61.3012的版本
(6)Fifth-gen Core family: >= 10.0.55.3000的版本
(7)Sixth-gen Core family: >= 11.0.25.3001的版本
(8)Seventh-gen Core family: >= 11.6.27.3264的版本

2. Intel官方網頁(https://downloadmirror.intel.com/26755/eng/INTEL-
SA-00075%20Detection%20Guide-Rev%201.0.pdf)釋出之檢測韌體版本方法,詳
細檢測步驟如下:
(1)下載Intel® SCS System Discovery Utility工具
(https://downloadcenter.intel.com/download/26691/Intel-SCS-System-
DiscoveryUtility)
(2)以系統管理員啟動cmd視窗
(3)鍵入SCSDiscovery.exe SystemDiscovery /noregistry產生一份XML檔,並
檢視該份文件中的FWVersion值,確認是否為上述受影響之韌體版本
3.Intel官方網頁(https://downloadmirror.intel.com/26754/eng/INTEL-
SA-00075%20Mitigation%20Guide-Rev%201.1.pdf)釋出之關閉AMT、ISM及SBT
方法,詳細關閉步驟如下:
(1)以系統管理員權限啟動cmd視窗
(2)鍵入sc config LMS start= disabled(注意disabled前有一空格)
[參考資料:]
1. http://www.ithome.com.tw/news/113815
2. https://www.bleepingcomputer.com/news/hardware/intel-fixes-9-
year-old-cpu-flaw-that-allows-remote-code-execution/
3.
https://www.theregister.co.uk/2017/05/01/intel_amt_me_vulnerabilit
y/

2017-05-05 教育機構資安通報應變小組 公告主旨 : 【漏洞預警】印表機設備未設定或使用預設密碼,並曝露於網際網路上恐有遭受入侵及利用之疑慮。

[主旨說明:]【漏洞預警】印表機設備未設定或使用預設密碼,並曝露於網際網路上
恐有遭受入侵及利用之疑慮。
[內容說明:]
行政院國家資通安全會報技術服務中心通知尚有部份單位之印表機使用公開網際網
路位址且開放PORT 9100,未避免後續相關資訊安全問題之產生,煩請各單位確實
清查相關印表機設備。

由於相關設備皆使用於辦公室、教學等環境,請各機關盤點與檢視相關設備,並對
相關設備加強權限控管並避免使用於公開的網際網路位置,以及加強防範措施。

為協助各單位進行印表機及網路攝影機相關資安防範措施,提供二段影片供單位參
考及教育訓練使用,相關資訊於參考資料中。


[影響平台:]
多款印表機設備
[建議措施:]
1. 盤點與檢視是否有印表機相關設備。
2. 裝置上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。
3. 系統上非必要的服務程式亦建議移除或關閉。
4. 建議裝置設備不要使用公開的網際網路位置,如無法避免使用公開的網際網路位
置,建議裝置設備前端需有防火牆防護,並採用白名單方式進行存取過濾。
5. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠,若為印表機
服務務建議阻擋port 9100。
6. 印表機設備於非上班時間或不使用時,建議關閉電源。
7. 參考校園資訊安全課程影片進行相關設定

2017-04-28 教育機構資安通報應變小組 公告主旨 : 【漏洞預警】微軟伺服器訊息區塊(SMB)協定存在數個安全漏洞,允許攻擊者遠端執行任意程式碼,請儘速進

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201704-0082

微軟伺服器訊息區塊(Server Message Block,SMB)又名網路檔案分享系統,是微
軟所開發的應用層網路傳輸協定,主要功能是讓網路上的機器能夠共享檔案、印表
機、串列埠及通訊等資源。

2017年4月14日,國際上名為影子掮客(The Shadow Brokers)的駭客團體,公開
釋出新一波的網路攻擊工具,當中多款工具(EternalBlue、EternalRomance、
EternalChampion及DoublePulsar等)鎖定用於SMB協定,攻擊者可先透過
EternalBlue工具發送特製的惡意封包到未進行安全更新且啟用SMB協定的作業系統
中,並透過DoublePulsar工具執行惡意操作指令或下載其他的惡意程式等。導致攻
擊者遠端執行任意程式碼。


[影響平台:]
Windows Vista
Windows 7
Windows 8.1
Windows RT 8.1
Windows 10
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
[建議措施:]
微軟官方已針對此弱點釋出修復程式,請儘速至微軟官方網頁
(https://technet.microsoft.com/zh-tw/library/security/ms17-
010.aspx)進行更新。
[參考資料:]
1. http://www.ithome.com.tw/news/113667
2. https://twitter.com/belowzeroday/status/856066791319195648
3. http://thehackernews.com/2017/04/windows-hacking-tools.html

2017-04-18 台中區網 公告主旨 : 【漏洞預警】[再次更新建議措施 1]微軟所有Office Word版本之物件連結與嵌入(OLE)存在

內容說明:
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201704-0055

OLE(Object Linking and Embedding,物件連結與嵌入)原用於允許應用程式共
享資料或功能,如Word可直接嵌入Excel資料,且可利用Excel功能進行編輯。

該漏洞主要是Office Word的物件連結與嵌入存在零時差漏洞,攻擊者可藉由電子
郵件散佈並誘騙使用者下載特製的Word或RTF格式檔案,當使用者開啟該檔案時,
可能導致攻擊者可透過該弱點遠端執行程式碼,甚至取得受影響系統的完整控制
權。


[影響平台:]
所有版本的Office Word
[建議措施:]
1.微軟官方已針對此弱點釋出修復程式,請至微軟官方網頁
(https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2017-0199)進行更新。

2.保持良好的使用習慣,不要隨意點擊不受信任的電子郵件與附件檔案。

3.啟用Office Word的Protected View機制(檔案->選項->信任中心->信任中心設
定->受保護的檢視,確認每一個選項均已勾選)。
[參考資料:]
1. http://thehackernews.com/2017/04/microsoft-word-zero-day.html
2. https://support.office.com/en-us/article/What-is-Protected-
View-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653
3. https://securingtomorrow.mcafee.com/mcafee-labs/critical-
office-zero-day-attacks-detected-wild/
4. https://www.fireeye.com/blog/threat-
research/2017/04/acknowledgement_ofahtml
5. https://www.cybersecurity-help.cz/vdb/SB2017040901
6. http://www.ithome.com.tw/news/113340

2017-04-14 台中區網 公告主旨 : 【漏洞預警】微軟所有Office Word版本之物件連結與嵌入(OLE)存在零時差漏洞,允許攻擊者遠

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201704-0017

OLE(Object Linking and Embedding,物件連結與嵌入)原用於允許應用程式共
享資料或功能,如Word可直接嵌入Excel資料,且可利用Excel功能進行編輯。

該漏洞主要是Office Word的物件連結與嵌入存在零時差漏洞,攻擊者可藉由電子
郵件散佈並誘騙使用者下載特製的Word或RTF格式檔案,當使用者開啟該檔案時,
可能導致攻擊者可透過該弱點遠端執行程式碼,甚至取得受影響系統的完整控制
權。

[影響平台:]
所有版本的Office Word
[建議措施:]
1.目前因微軟官方尚未針對此弱點釋出修復程式,所以仍請密切注意微軟官方網頁
(https://technet.microsoft.com/en-us/security/bulletins.aspx)之更新
訊息。

2.保持良好的使用習慣,不要隨意點擊不受信任的電子郵件與附件檔案。

3.啟用Office Word的Protected View機制(檔案->選項->信任中心->信任中心設
定->受保護的檢視,確認每一個選項均已勾選)。
[參考資料:]
1. http://thehackernews.com/2017/04/microsoft-word-zero-day.html
2. https://support.office.com/en-us/article/What-is-Protected-
View-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653
3. https://securingtomorrow.mcafee.com/mcafee-labs/critical-
office-zero-day-attacks-detected-wild/
4. https://www.fireeye.com/blog/threat-
research/2017/04/acknowledgement_ofahtml
5. https://www.cybersecurity-help.cz/vdb/SB2017040901
6. http://www.ithome.com.tw/news/113340

2017-04-06 台中區網 公告主旨 : 【漏洞預警】特定版本Microsoft IIS的WebDAV服務存在緩衝區溢位弱點(CVE-2017

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0093

WebDAV(Web-Based Distributed Authoring and Versioning)是一種可與遠端
主機進行檔案或資料交換的標準,擁有權限的使用者可透過網路存取遠端目標網站
的WebDAV資料夾內的檔案。

該漏洞主要是Microsoft IIS(Internet Information Services)6.0的WebDAV
服務中,httpext.dll動態連結函式庫之ScStorageFromUrl函式存在緩衝區溢位
漏洞,讓遠端攻擊者可透過發送特製的的PROPFIND請求封包,導致可執行任意程式
碼或造成阻斷服務。

[影響平台:]
Microsoft Windows Server 2003的IIS 6.0
[建議措施:]
1. 請確認是否使用Microsoft Windows Server 2003的IIS 6.0,並啟用WebDAV
服務(可至Application Server->Internet Information Services->World
Wide Web Service->WebDAV Publishing檢視是否有勾選啟用,預設是未啟用該
服務)。
2. 如仍須使用WebDAV服務,建議將作業系統與IIS升級至最新的版本。
3. 其餘未在上述受影響之作業系統的IIS 6.0,仍請密切注意微軟官方
(https://technet.microsoft.com/en-us/security/bulletins.aspx)是否有
後續消息。
[參考資料:]
1. https://nvd.nist.gov/vuln/detail/CVE-2017-7269
2. http://www.ithome.com.tw/news/113166
3.
https://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Li
brary/IIS/3cbec1c7-e3ed-43d3-86e8-ce94e4375e70.mspx?mfr=true

2017-02-23 台中區網 公告主旨 : 針對NoSQL資料庫的勒索攻擊手法

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201702-0033

安全研究人員Victor Gevers於2016/12/27揭露針對NoSQL資料庫的勒索攻擊手
法,由
於NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,估

全球至少45,000個NoSQL資料庫內容遭駭客刪除並勒索。

技服中心接獲外部情資發現,部分會員之NoSQL資料庫暴露於網際網路中,恐遭駭客

侵之虞,請各會員盤點與檢視是否使用相關資料庫,加強權限控管並避免使用公開
的網
際網路位置,以及加強防範措施。

[影響平台:]
允許未授權外部使用者進行連線之NoSQL資料庫

[建議措施:]
1. 常見NoSQL資料庫包括Redis(6379埠口) 、CouchDB(5984埠口)、
MongoDB(27017
埠口)、Cassandra(9042或9160埠口)及ElasticSearch(9200埠口),請會員進行
內部
盤點與檢視是否使用相關NoSQL資料庫。
2. 定期備份資料庫資料
3. 資料庫建立權限控管機制,不允許非授權之使用者進行資料存取。
4. 資料庫所有帳號設定強健的密碼,非必要使用的帳號請將其刪除或停用。
5. 建議資料庫不要使用公開的網際網路位置,如無法避免使用公開的網際網路位
置,建
議資料庫前端需有防火牆防護,並採用白名單方式進行存取過濾。
6. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠。
7. 若無防火牆可考慮安裝防火牆或於 Windows 平台使用 Windows XP/7/8/2008

建之Internet Firewall/Windows Firewall或 Windows 2000 之 TCP/IP 篩
選功
能。Linux平台可考慮使用 iptables 等內建防火牆。
8. 建議將資料庫更新至最新版本

[參考資料:]
1. The Ransomware Problem: Database Security in 2017
(https://www.hurricanelabs.com/blog/ransomware-problem-database-
security-2017)
2. MongoDB Databases Held for Ransom by Mysterious
Attacker(https://www.bleepingcomputer.com/news/security/mongodb-
databases-held-for-ransom-by-mysterious-attacker/)
3. MongoDB Manual-
Security(https://docs.mongodb.com/manual/security/)
4. Elasticsearch Shield(https://www.elastic.co/products/shield)

回到最上方