網路現況公告
查詢訊息時間:~


日期

來源

內   容

2017-09-21 教育機構ANA通報平台 公告主旨 : D-Link DIR-850L AC1200雙頻Gigabit無線路由器存在多個漏洞

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201709-0051

友訊科技(D-Link)為臺灣網路設備的製造商,旗下產品包含路由器、無線網卡、
視訊鏡頭及儲存硬碟等。
南韓研究人員Pierre Kim在今年9月公開揭露,D-Link所生產之DIR-850L AC1200
雙頻Gigabit無線路由器的韌體存在多個安全漏洞(CVE-2017-14413~CVE-
2017-14430),可能導致下列多項資安風險:
1.允許攻擊者可遠端執行跨網站腳本攻擊。
2.因未使用加密傳輸協定,導致攻擊者可透過中間人攻擊方式獲取帳號密碼等資
訊。
3.攻擊者可遠端執行任意程式碼或造成阻斷服務。

[影響平台:]
D-Link 850L韌體版本小於1.14.B07版本
D-Link 850L韌體版本小於2.07.B05版本

[建議措施:]

1.請檢查所使用之韌體是否為受影響之版本,檢查方式:
(1)登入DIR-850L管理介面,
(2)點選「工具」,
(3)點選「韌體」,即可看到目前所使用之韌體版本與韌體日期資訊。

2.目前D-Link官方尚未針對此弱點釋出修復的韌體版本,若使用韌體為受影響版
本,請持續關注D-Link官方網頁釋出的韌體更新版本。

2017-09-07 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Apache Struts 2.5至2.5.12版本中的REST套件

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201709-0003
【漏洞預警】Apache Struts 2.5至2.5.12版本中的REST套件存在允許攻擊者遠
端執行任意程式碼之漏洞(CVE-2017-9805)
Apache Struts 2是一個開放原始碼的Java EE網路應用程式的Web應用框
架,REST(Representational State Transfer)則是一種全球資訊網軟體架構風
格,可便於不同軟體或程式在網路中互相傳遞資訊。

Apache Struts 2中的REST套件提供開發者可遵循REST的理念與原則進行程式開
發,該漏洞主要是在Apache Struts 2.5至2.5.12版本中,當使用REST套件之
XStream處理程序針對XML請求進行反序列化時,因未進行類型過濾,可能導致攻
擊者可傳送惡意的XML封包,進而造成遠端執行任意程式碼與控制系統。

[影響平台:]
Apache Struts 2.5至2.5.12版本
[建議措施:]
1.目前Apache官方已針對此弱點釋出修復版本,請儘速至官方網頁
(https://struts.apache.org/download.cgi#struts2513) 進行更新。

2.如無使用REST套件需求,請刪除REST套件。確認方式於WEB-INFlib目錄下是
否有 struts2-rest-plugin-2.x.jar 檔案。

3.如需在受影響平台中持續使用REST套件,可於REST套件內的
struts-plugin.xml 設定檔中,依官方網頁(https://struts.apache.org/docs
/s2-052.html) 所提供之解決方案進行內容新增,可降低此漏洞影響程度。
[參考資料:]
1.https://struts.apache.org/docs/s2-052.html

2.https://github.com/apache/struts/blob/bbd4a9e8c567265c0eb376c0f8a3445f4d9a5fdf/plugins/rest/src/main/resources/struts-plugin.xml


3.http://thehackernews.com/2017/09/apache-struts-vulnerability.html

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問
或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

2017-08-22 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Netsarang的XSHELL多種版本遭植入惡意程式

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201708-0008

技服中心近日接獲國際組織通報,貴單位所屬資訊設備疑似使用Netsarang的
XSHELL多種版本遭植入惡意程式,可能導致上傳使用者伺服器帳號密碼至特定伺
服器,進而引發進一步攻擊行為。為了有效保護個人電腦與個人資料,同時並杜
絕網路攻擊的發生,請針對該系統進行詳細檢查並加強相關防範措施。
[影響平台:]
目前已知受影響版本如下:
XshellBuild 5.0.1322
XshellBuild 5.0.1325
XmanagerEnterprise 5.0 Build 1232
Xmanager5.0 Build 1045
Xmanager5.0 Build 1048
Xftp5.0 Build 1218
Xftp5.0 Build 1221
Xlpd5.0 Build 1220
[建議措施:]
透過查看nssock2.dll版本確認是否為受影響版本,目前官方已針對此弱點釋出
修復程式 (https://www.netsarang.com/download/software.html),請進行更新。
[參考資料:]

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問
或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

2017-07-19 教育機構ANA通報平台 公告主旨 : 【漏洞預警】微軟Windows作業系統的NTLM驗證通訊協定存在允許攻擊者透過重送攻擊進而取得整個網

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201707-0035

NT LAN Manager (NTLM)驗證通訊協定是微軟的一種安全協定,根據挑戰或回應
(Challenge/Response)機制進行使用者身分驗證。研究人員發現NTLM驗證通訊協定
存在允許執行輕量型目錄存取通訊協定(LDAP)重送攻擊與遠端桌面協定(RDP)重送攻
擊之安全漏洞。

LDAP重送攻擊漏洞允許具有本機系統(SYSTEM)權限的攻擊者,利用攔截NTLM登入封
包與客製惡意封包傳送到網域控制站,可進行網域操作(如新增網域帳號),進而取得
網域控制權。只要攻擊者先行取得系統(SYSTEM)權限即可利用此漏洞取得網域控制權
限,因所有Windows都內建NTLM,所以未更新的系統都有此風險。

RDP重送攻擊漏洞是RDP在受限管理員(Restricted-Admin)模式下,允許降級使用
NTLM驗證通訊協定進行身分驗證,導致攻擊者可利用NTLM驗證通訊協定相關漏洞(如
搭配前述LDAP重送攻擊漏洞)進行攻擊,以取得網域控制權。只要在網域環境使用
NTLM身分驗證服務都有可能存在這個問題。

[影響平台:]
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1511 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1703 for x64-based Systems
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core安
裝選項)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server
Core安裝選項)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server
Core安裝選項)
Windows Server 2012
Windows Server 2012 (Server Core安裝選項)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core安裝選項)
Windows Server 2016
Windows Server 2016 (Server Core安裝選項)
[建議措施:]
目前微軟官方已針對此弱點釋出修復程式
(https://portal.msrc.microsoft.com/en-us/security-
guidance/advisory/CVE-2017-8563)
,請儘速進行更新。
[參考資料:]
1. http://thehackernews.com/2017/07/windows-ntlm-security-flaw.html
2. https://nvd.nist.gov/vuln/detail/CVE-2017-8563
3. http://www.ithome.com.tw/news/115546
4. https://blog.preempt.com/new-ldap-rdp-relay-vulnerabilities-in-
ntlm

2017-07-19 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Apache Struts 2.3.X系列版本中的Showcase應用程式存在允許攻擊者

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201707-0004

Apache Struts 2是一個開放原始碼的Java EE網路應用程式的Web應用框架。
該漏洞主要是在Apache Struts 2.3.X系列版本啟用Struts 2 Struts 1外掛
(struct2-strust1-plugin.jar)環境下,Showcase應用程式(struct2-
showcase.war)呼叫struct2-strust1-plugin時,攻擊者利用傳遞含有惡意字串的
內容,造成可遠端執行任意程式碼。


[影響平台:]
Apache Struts 2.3.X的版本
[建議措施:]
1.請確認網站主機是否使用Apache Struts 2 的Web應用框架,若有使用則可再透過
網站主機目錄中的「WEB-INFlib」資料夾內的Struts.jar檔確認當前使用的版
本。
2.請確認網站主機是否使用Apache Struts 2的Showcase應用程式,路
徑:struts2.3.xappsstruts2-showcase.war。
3.如所使用的Apache Struts為上述(2.3.X)受影響之版本,則請更新官方網頁或官
方Github所釋出最新之Apache Struts 2.5.10的版本。
4.若無使用的需求,請關閉Showcase應用程式。
[參考資料:]
1. https://cwiki.apache.org/confluence/display/WW/S2-048
2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9791

2017-06-29 教育機構資安通報應變小組 公告主旨 : [主旨說明:]【攻擊預警】近期勒索軟體Petya活動頻繁,請立即更新作業系統、Office應用程式與

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201706-0028

全球多個國家於本(106)年6月27日晚間陸續傳出遭勒索軟體Petya攻擊事件,受影響
範圍以烏克蘭、俄羅斯及東歐等地區災情最為嚴重。Petya為2016年勒索軟體Petya
變種,攻擊者主要利用社交工程郵件誘使使用者開啟附件檔案,藉由攻擊Office RTF
漏洞(CVE-2017-0199)執行惡意程式碼,以取得系統控制權,並配合微軟MS17-010
漏洞、Windows遠端管理指令Psexec或WMIC(Windows Management
Instrumentation Command-line)等方式進行內部擴散,受感染主機之作業系統開
機磁區(MBR)與檔案配置表(MFT)將被加密,導致無法進入作業系統,只會在電腦螢幕
上看到要求贖金的訊息。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
Windows XP
Windows Vista
Windows 7
Windows 8.1
Windows RT 8.1
Windows 10
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
[建議措施:]
1.確實持續更新電腦的作業系統、Office應用程式及防毒軟體等至最新版本。Petya
勒索軟體所利用之作業系統弱點與Office應用程式弱點,已分別於3月與4月釋出修復
程式,請至微軟官方網頁進行更新: (1)MS17-010:
https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx
。另外已超過維護週期之作業系統,例如XP/Server 2003等,請參考連結
(https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)下
載後進行更新。 (2)CVE-2017-0199:
https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2017-0199
2.更新電腦防毒軟體病毒碼。
3.作業系統登入密碼應符合複雜性原則,並定期變更密碼。
4.定期備份電腦上的檔案及演練資料還原程序。
5.避免開啟來路不明郵件,包含附件與連結。
[參考資料:]
1. https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2017-0199

2. https://technet.microsoft.com/zh-tw/library/security/ms17-
010.aspx

2017-05-31 教育機構資安通報應變小組 公告主旨 : 【漏洞預警】特定版本Samba軟體存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-7494

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201705-0129

Samba是一種用來使Unix/Linux作業系統與微軟Windows作業系統伺服器訊息區塊
(Server Message Block,SMB,又名網路檔案分享系統)協定進行連結的軟體,可
運用於共享檔案與網路印表機,以及扮演網域控制站(Domain Controller)角色。

研究人員發現存在超過7年之漏洞,該漏洞是Samba軟體在處理共享函式庫(share
library)時存在問題,導致遠端攻擊者只需扮演具有寫入Samba伺服器目錄權限的用
戶,並上傳惡意的共享函式庫,伺服器便會載入與執行該共享函式庫,進而在伺服器
執行任意程式碼獲得管理者權限。目前CVE對此弱點之編號為CVE 2017-7494。雖尚
未傳出實際的案例,但因實現的難度低,且不需使用者介入便可讓攻擊者取得系統權
限,因此此弱點又可被視為Linux版的SMB弱點(例如WannaCry所用),請儘速確認
Samba軟體版本並進行更新或強化。

[影響平台:]
Samba版本大於3.5.0與小於4.4.14/4.5.10/4.6.4
[建議措施:]
1.目前Samba官方已針對此弱點釋出修復之版本
(https://www.samba.org/samba/history/security.html),請將Samba軟體更
新至以下修復之版本,另請密切注意Samba官方網頁,以確認是否有相關延伸性之弱
點。
Samba >= 4.6.4
Samba >= 4.5.10
Samba >= 4.4.14

2.若現階段無法立即更新Samba軟體之版本,則可至smb.conf中的[global]區塊添
加nt pipe support = no參數,以減緩漏洞所造成的影響。

3.透過防火牆或相關防護產品,阻擋來自Internet對Samba伺服器通訊埠(TCP 445)
之連線。

[參考資料:]
1. https://www.samba.org/samba/security/CVE-2017-7494.html
2. http://thehackernews.com/2017/05/samba-rce-exploit.html

2017-05-05 教育機構資安通報應變小組 公告主旨 : 漏洞預警】特定版本Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201705-0006

英特爾(Intel)主動管理技術(Active Management Technology,AMT)是內嵌於
英特爾vPro 架構平台的一項管理功能,獨立於作業系統外運行,即使主機已經關
閉,只要主機仍與電源線和網絡相連,遠端管理人員仍可以存取Intel AMT。而服
務管理器(Intel Standard Manageability,ISM)則具有遠端關機、開機、重新
開機及監視運行的應用程式等,至於小型企業技術(Small Business
Technology,SBT),則具有本機端的軟體監控器、資料備份和復原及省電功能等。

研究人員Maksim Malyutin發現特定Intel晶片韌體中的AMT、SBT及ISM管理技術
存在安全漏洞(CVE-2017-5689),目前已知攻擊者可在未授權的情況下透過AMT管
理技術遠端或本地端獲取系統控制權限,像是開機、關機、讀取文件、檢查正執行
的程序、追蹤鍵盤/滑鼠及螢幕晝面等。


[影響平台:]
First-gen Core family: < 6.2.61.3535個系列版本
Second-gen Core family: < 7.1.91.3272個系列版本
Third-gen Core family: < 8.1.71.3608個系列版本
Fourth-gen Core family: < 9.1.41.3024個系列版本
Fourth-gen Core family: < 9.5.61.3012個系列版本
Fifth-gen Core family: < 10.0.55.3000個系列版本
Sixth-gen Core family: < 11.0.25.3001個系列版本
Seventh-gen Core family: < 11.6.27.3264個系列版本
[建議措施:]
1. 目前Intel官方已針對此弱點釋出修復韌體,請參考Intel官方網頁
(https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-
00075&languageid=en-fr),或洽詢合作之OEM廠商更新至相對應的韌體版本,詳
細修復韌體版本如下:
(1)First-gen Core family: >= 6.2.61.3535的版本
(2)Second-gen Core family: >= 7.1.91.3272的版本
(3)Third-gen Core family: >= 8.1.71.3608的版本
(4)Fourth-gen Core family: >= 9.1.41.3024的版本
(5)Fourth-gen Core family: >= 9.5.61.3012的版本
(6)Fifth-gen Core family: >= 10.0.55.3000的版本
(7)Sixth-gen Core family: >= 11.0.25.3001的版本
(8)Seventh-gen Core family: >= 11.6.27.3264的版本

2. Intel官方網頁(https://downloadmirror.intel.com/26755/eng/INTEL-
SA-00075%20Detection%20Guide-Rev%201.0.pdf)釋出之檢測韌體版本方法,詳
細檢測步驟如下:
(1)下載Intel® SCS System Discovery Utility工具
(https://downloadcenter.intel.com/download/26691/Intel-SCS-System-
DiscoveryUtility)
(2)以系統管理員啟動cmd視窗
(3)鍵入SCSDiscovery.exe SystemDiscovery /noregistry產生一份XML檔,並
檢視該份文件中的FWVersion值,確認是否為上述受影響之韌體版本
3.Intel官方網頁(https://downloadmirror.intel.com/26754/eng/INTEL-
SA-00075%20Mitigation%20Guide-Rev%201.1.pdf)釋出之關閉AMT、ISM及SBT
方法,詳細關閉步驟如下:
(1)以系統管理員權限啟動cmd視窗
(2)鍵入sc config LMS start= disabled(注意disabled前有一空格)
[參考資料:]
1. http://www.ithome.com.tw/news/113815
2. https://www.bleepingcomputer.com/news/hardware/intel-fixes-9-
year-old-cpu-flaw-that-allows-remote-code-execution/
3.
https://www.theregister.co.uk/2017/05/01/intel_amt_me_vulnerabilit
y/

2017-05-05 教育機構資安通報應變小組 公告主旨 : 【漏洞預警】印表機設備未設定或使用預設密碼,並曝露於網際網路上恐有遭受入侵及利用之疑慮。

[主旨說明:]【漏洞預警】印表機設備未設定或使用預設密碼,並曝露於網際網路上
恐有遭受入侵及利用之疑慮。
[內容說明:]
行政院國家資通安全會報技術服務中心通知尚有部份單位之印表機使用公開網際網
路位址且開放PORT 9100,未避免後續相關資訊安全問題之產生,煩請各單位確實
清查相關印表機設備。

由於相關設備皆使用於辦公室、教學等環境,請各機關盤點與檢視相關設備,並對
相關設備加強權限控管並避免使用於公開的網際網路位置,以及加強防範措施。

為協助各單位進行印表機及網路攝影機相關資安防範措施,提供二段影片供單位參
考及教育訓練使用,相關資訊於參考資料中。


[影響平台:]
多款印表機設備
[建議措施:]
1. 盤點與檢視是否有印表機相關設備。
2. 裝置上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。
3. 系統上非必要的服務程式亦建議移除或關閉。
4. 建議裝置設備不要使用公開的網際網路位置,如無法避免使用公開的網際網路位
置,建議裝置設備前端需有防火牆防護,並採用白名單方式進行存取過濾。
5. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠,若為印表機
服務務建議阻擋port 9100。
6. 印表機設備於非上班時間或不使用時,建議關閉電源。
7. 參考校園資訊安全課程影片進行相關設定

2017-04-28 教育機構資安通報應變小組 公告主旨 : 【漏洞預警】微軟伺服器訊息區塊(SMB)協定存在數個安全漏洞,允許攻擊者遠端執行任意程式碼,請儘速進

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201704-0082

微軟伺服器訊息區塊(Server Message Block,SMB)又名網路檔案分享系統,是微
軟所開發的應用層網路傳輸協定,主要功能是讓網路上的機器能夠共享檔案、印表
機、串列埠及通訊等資源。

2017年4月14日,國際上名為影子掮客(The Shadow Brokers)的駭客團體,公開
釋出新一波的網路攻擊工具,當中多款工具(EternalBlue、EternalRomance、
EternalChampion及DoublePulsar等)鎖定用於SMB協定,攻擊者可先透過
EternalBlue工具發送特製的惡意封包到未進行安全更新且啟用SMB協定的作業系統
中,並透過DoublePulsar工具執行惡意操作指令或下載其他的惡意程式等。導致攻
擊者遠端執行任意程式碼。


[影響平台:]
Windows Vista
Windows 7
Windows 8.1
Windows RT 8.1
Windows 10
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
[建議措施:]
微軟官方已針對此弱點釋出修復程式,請儘速至微軟官方網頁
(https://technet.microsoft.com/zh-tw/library/security/ms17-
010.aspx)進行更新。
[參考資料:]
1. http://www.ithome.com.tw/news/113667
2. https://twitter.com/belowzeroday/status/856066791319195648
3. http://thehackernews.com/2017/04/windows-hacking-tools.html

2017-04-18 台中區網 公告主旨 : 【漏洞預警】[再次更新建議措施 1]微軟所有Office Word版本之物件連結與嵌入(OLE)存在

內容說明:
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201704-0055

OLE(Object Linking and Embedding,物件連結與嵌入)原用於允許應用程式共
享資料或功能,如Word可直接嵌入Excel資料,且可利用Excel功能進行編輯。

該漏洞主要是Office Word的物件連結與嵌入存在零時差漏洞,攻擊者可藉由電子
郵件散佈並誘騙使用者下載特製的Word或RTF格式檔案,當使用者開啟該檔案時,
可能導致攻擊者可透過該弱點遠端執行程式碼,甚至取得受影響系統的完整控制
權。


[影響平台:]
所有版本的Office Word
[建議措施:]
1.微軟官方已針對此弱點釋出修復程式,請至微軟官方網頁
(https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2017-0199)進行更新。

2.保持良好的使用習慣,不要隨意點擊不受信任的電子郵件與附件檔案。

3.啟用Office Word的Protected View機制(檔案->選項->信任中心->信任中心設
定->受保護的檢視,確認每一個選項均已勾選)。
[參考資料:]
1. http://thehackernews.com/2017/04/microsoft-word-zero-day.html
2. https://support.office.com/en-us/article/What-is-Protected-
View-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653
3. https://securingtomorrow.mcafee.com/mcafee-labs/critical-
office-zero-day-attacks-detected-wild/
4. https://www.fireeye.com/blog/threat-
research/2017/04/acknowledgement_ofahtml
5. https://www.cybersecurity-help.cz/vdb/SB2017040901
6. http://www.ithome.com.tw/news/113340

2017-04-14 台中區網 公告主旨 : 【漏洞預警】微軟所有Office Word版本之物件連結與嵌入(OLE)存在零時差漏洞,允許攻擊者遠

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201704-0017

OLE(Object Linking and Embedding,物件連結與嵌入)原用於允許應用程式共
享資料或功能,如Word可直接嵌入Excel資料,且可利用Excel功能進行編輯。

該漏洞主要是Office Word的物件連結與嵌入存在零時差漏洞,攻擊者可藉由電子
郵件散佈並誘騙使用者下載特製的Word或RTF格式檔案,當使用者開啟該檔案時,
可能導致攻擊者可透過該弱點遠端執行程式碼,甚至取得受影響系統的完整控制
權。

[影響平台:]
所有版本的Office Word
[建議措施:]
1.目前因微軟官方尚未針對此弱點釋出修復程式,所以仍請密切注意微軟官方網頁
(https://technet.microsoft.com/en-us/security/bulletins.aspx)之更新
訊息。

2.保持良好的使用習慣,不要隨意點擊不受信任的電子郵件與附件檔案。

3.啟用Office Word的Protected View機制(檔案->選項->信任中心->信任中心設
定->受保護的檢視,確認每一個選項均已勾選)。
[參考資料:]
1. http://thehackernews.com/2017/04/microsoft-word-zero-day.html
2. https://support.office.com/en-us/article/What-is-Protected-
View-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653
3. https://securingtomorrow.mcafee.com/mcafee-labs/critical-
office-zero-day-attacks-detected-wild/
4. https://www.fireeye.com/blog/threat-
research/2017/04/acknowledgement_ofahtml
5. https://www.cybersecurity-help.cz/vdb/SB2017040901
6. http://www.ithome.com.tw/news/113340

2017-04-06 台中區網 公告主旨 : 【漏洞預警】特定版本Microsoft IIS的WebDAV服務存在緩衝區溢位弱點(CVE-2017

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0093

WebDAV(Web-Based Distributed Authoring and Versioning)是一種可與遠端
主機進行檔案或資料交換的標準,擁有權限的使用者可透過網路存取遠端目標網站
的WebDAV資料夾內的檔案。

該漏洞主要是Microsoft IIS(Internet Information Services)6.0的WebDAV
服務中,httpext.dll動態連結函式庫之ScStorageFromUrl函式存在緩衝區溢位
漏洞,讓遠端攻擊者可透過發送特製的的PROPFIND請求封包,導致可執行任意程式
碼或造成阻斷服務。

[影響平台:]
Microsoft Windows Server 2003的IIS 6.0
[建議措施:]
1. 請確認是否使用Microsoft Windows Server 2003的IIS 6.0,並啟用WebDAV
服務(可至Application Server->Internet Information Services->World
Wide Web Service->WebDAV Publishing檢視是否有勾選啟用,預設是未啟用該
服務)。
2. 如仍須使用WebDAV服務,建議將作業系統與IIS升級至最新的版本。
3. 其餘未在上述受影響之作業系統的IIS 6.0,仍請密切注意微軟官方
(https://technet.microsoft.com/en-us/security/bulletins.aspx)是否有
後續消息。
[參考資料:]
1. https://nvd.nist.gov/vuln/detail/CVE-2017-7269
2. http://www.ithome.com.tw/news/113166
3.
https://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Li
brary/IIS/3cbec1c7-e3ed-43d3-86e8-ce94e4375e70.mspx?mfr=true

2017-02-23 台中區網 公告主旨 : 針對NoSQL資料庫的勒索攻擊手法

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201702-0033

安全研究人員Victor Gevers於2016/12/27揭露針對NoSQL資料庫的勒索攻擊手
法,由
於NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,估

全球至少45,000個NoSQL資料庫內容遭駭客刪除並勒索。

技服中心接獲外部情資發現,部分會員之NoSQL資料庫暴露於網際網路中,恐遭駭客

侵之虞,請各會員盤點與檢視是否使用相關資料庫,加強權限控管並避免使用公開
的網
際網路位置,以及加強防範措施。

[影響平台:]
允許未授權外部使用者進行連線之NoSQL資料庫

[建議措施:]
1. 常見NoSQL資料庫包括Redis(6379埠口) 、CouchDB(5984埠口)、
MongoDB(27017
埠口)、Cassandra(9042或9160埠口)及ElasticSearch(9200埠口),請會員進行
內部
盤點與檢視是否使用相關NoSQL資料庫。
2. 定期備份資料庫資料
3. 資料庫建立權限控管機制,不允許非授權之使用者進行資料存取。
4. 資料庫所有帳號設定強健的密碼,非必要使用的帳號請將其刪除或停用。
5. 建議資料庫不要使用公開的網際網路位置,如無法避免使用公開的網際網路位
置,建
議資料庫前端需有防火牆防護,並採用白名單方式進行存取過濾。
6. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠。
7. 若無防火牆可考慮安裝防火牆或於 Windows 平台使用 Windows XP/7/8/2008

建之Internet Firewall/Windows Firewall或 Windows 2000 之 TCP/IP 篩
選功
能。Linux平台可考慮使用 iptables 等內建防火牆。
8. 建議將資料庫更新至最新版本

[參考資料:]
1. The Ransomware Problem: Database Security in 2017
(https://www.hurricanelabs.com/blog/ransomware-problem-database-
security-2017)
2. MongoDB Databases Held for Ransom by Mysterious
Attacker(https://www.bleepingcomputer.com/news/security/mongodb-
databases-held-for-ransom-by-mysterious-attacker/)
3. MongoDB Manual-
Security(https://docs.mongodb.com/manual/security/)
4. Elasticsearch Shield(https://www.elastic.co/products/shield)

2017-02-16 台中區網 公告主旨 : 特定IP對工業控制與環境控制設備進行掃描

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201702-0021

本中心近期執行僵屍網路調查案時,發現有特定IP對工業控制與環境控制設備進行

描,且確認部份機關所使用的環境控制設備已曝露在網際網路上,並且未設定密碼
或使
用預設帳號密碼等情況,可能有資訊外洩與遭受駭客入侵之疑慮。

由於相關控制設備可被使用於環境控制、工業控制及交通號誌等系統,主要作為電
力、
水力、溫度及消防等訊號轉換控制之使用,請各機關盤點與檢視是否使用相關設
備,對
該設備加強權限控管並避免使用公開的網際網路位置,以及加強防範措施。

若發現設備遭到入侵,請立即進行通報應變處置。

[影響平台:]
多款環境與工業控制設備
[建議措施:]
1. 盤點與檢視是否使用環境控制、工業控制及交通號誌等相關裝置。
2. 裝置上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。系統
上非
必要的服務程式亦建議移除或關閉。
3. 建議裝置設備不要使用公開的網際網路位置,如無法避免使用公開的網際網路位
置,
建議裝置設備前端需有防火牆防護,並採用白名單方式進行存取過濾。
4. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠。
5. 若無防火牆可考慮安裝防火牆或於 Windows 平台使用 Windows XP/7/8/2008

建之Internet Firewall/Windows Firewall或 Windows 2000 之 TCP/IP 篩
選功
能。Linux平台可考慮使用 iptables 等內建防火牆。
6. 建議將控制設備更新韌體至最新版本。
[參考資料:]

2017-01-12 台中區網 公告主旨 : 【漏洞預警】Zend-Mail存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10034)

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201701-0036

Zend Framework是一個使用PHP 的物件導向且開源的WEB應用程式與服務開發框架,其
中Zend-Mail為Zend Framework之電子郵件元件。

2016/12/30波蘭研究員Dawid Golunski發現2.4.11版本以前與2.5.0~2.7.1版本的
Zend-Mail 及2.4.11版本以前的Zend Framework存在未嚴格篩選郵件寄件者特殊字元
之問題,導致攻擊者可將惡意郵件寫入網頁程式碼。原因在於Zend-Mail實作支援RFC
3696所設定之特殊格式郵件信箱(郵件帳號以雙引號含括,但其中包含空白字元,例如
email address with spaces@example.com)時,並未嚴格過濾內容,導致攻擊者可
在上述郵件帳號中,利用添加反斜線與雙引號(”)方式,達到夾帶更多參數給系統上
Sendmail郵件伺服器目的(雙引號開頭與結尾代表一個參數,故透過此方式,以增加更
多參數),並藉由額外夾帶之Sendmail參數(包含-X,為Sendmail接受之參數,可將郵
件內容寫入檔案),達到將惡意PHP程式內容寫入網頁程式碼,以造成遠端執行程式碼之
弱點(弱點編號為CVE-2016-10034)。

[影響平台:]
1.Zend Framework 2.4.11前的版本
2.Zend-Mail 2.4.11前的版本與2.5.0~2.7.1的版本
[建議措施:]
請檢視Zend Framework與Zend-Mail版本,步驟如下:
1.於硬碟中搜尋ZendFramework和Zend-Mail資料夾

2.檢視ZendFramework和Zend-Mail根目錄下之CHANGELOG.md檔案(選用記事本開啟即
可)
如所使用之Zend Framework或Zend-Mail為受影響之版本,請儘速至官方網頁
(https://framework.zend.com/downloads/archives、
https://github.com/zendframework/zendframework)下載並安裝最新版本之Zend
Framework或Zend-Mail。

[參考資料:]
1. https://github.com/zendframework/zendframework
2. https://framework.zend.com/downloads/archives
3. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-10034
4. https://legalhackers.com/advisories/ZendFramework-Exploit-ZendMail-
Remote-Code-Exec-CVE-2016-10034-Vuln.html

2017-01-12 台中區網 公告主旨 : 【漏洞預警】SwiftMailer存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-1007

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201701-0007

SwiftMailer是一個用於發送電子郵件的PHP物件導向函式庫,強化PHP內建之mail函式
功能,提供透過網站介面寄發信件用途,並且廣泛被其他專案使用,例如Yii2、
Laravel及Symfony等網頁應用程式框架。

2016/12/30波蘭研究員Dawid Golunski發現5.4.5-DEV版本(含)以前的
SwiftMailer,存在未嚴格篩選郵件寄件者特殊字元之問題,導致攻擊者可將惡意郵件
寫入網頁程式碼。原因在於SwiftMailer實作支援RFC 3696所設定之特殊格式郵件信箱
(郵件帳號以雙引號含括,但其中包含空白字元,例如 email address with
spaces@example.com)時,並未嚴格過濾內容,導致攻擊者可在上述郵件帳號中,利用
添加反斜線與雙引號(”)方式,達到夾帶更多參數給系統上Sendmail郵件伺服器目的
(雙引號開頭與結尾代表一個參數,故透過此方式,以增加更多參數),並藉由額外夾帶
之Sendmail參數(包含-X,為Sendmail接受之參數,可將郵件內容寫入檔案),達到將
惡意PHP程式內容寫入網頁程式碼,以造成遠端執行程式碼之弱點(弱點編號為CVE-
2016-10074)。

[影響平台:]
SwiftMailer 5.4.5-DEV(含)前的版本。
[建議措施:]
請檢視SwiftMailer版本,步驟如下:
1.於硬碟中搜尋SwiftMailer資料夾

2.檢視SwiftMailer根目錄下之VERSION檔案(選用記事本開啟即可)
如所使用之SwiftMailer為5.4.5-DEV(含)前的版本,請儘速至官方網頁
(https://github.com/swiftmailer/swiftmailer)下載並安裝最新版本之
SwiftMailer。
[參考資料:]
1. https://legalhackers.com/advisories/SwiftMailer-Exploit-Remote-
Code-Exec-CVE-2016-10074-Vuln.html
2. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-10074
3. https://github.com/swiftmailer/swiftmailer
4. http://symfony.com/doc/current/email.html
5. https://github.com/yiisoft/yii2-swiftmailer
6. https://laravel.com/docs/5.1/mail

2017-01-05 台中區網 公告主旨 : 【漏洞預警】PHPMailer存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10033與

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201612-0018

PHPMailer是一個用於發送電子郵件的PHP函式庫,強化PHP內建之mail函式功能,提供
透過網站介面寄發信件用途,並且廣泛被其他開放源專案使用,例如WordPress、
Drupal與Joomla等。

2016/12/16波蘭研究員Dawid Golunski發現5.2.18版本以前的PHPMailer,存在未嚴
格篩選郵件寄件者特殊字元之問題,導致攻擊者可將惡意郵件寫入網頁程式碼。原因在
於PHPMailer實作支援RFC 3696所設定之特殊格式郵件信箱(郵件帳號以雙引號含括,
但其中包含空白字元,例如 email address with spaces@example.com)時,並未嚴
格過濾內容,導致攻擊者可在上述郵件帳號中,利用添加反斜線與雙引號(”)方式,達
到夾帶更多參數給系統上Sendmail郵件伺服器目的(雙引號開頭與結尾代表一個參數,
故透過此方式,以增加更多參數),並藉由額外夾帶之Sendmail參數(包含-X,為
Sendmail接受之參數,可將郵件內容寫入檔案),達到將惡意PHP程式內容寫入網頁程式
碼,以造成遠端執行程式碼之弱點(弱點編號為CVE-2016-10033)。

針對CVE-2016-10033漏洞,雖然PHPMailer官方網站已於12/24釋出5.2.18更新版本,
但因更新內容不夠完善,攻擊者仍可透過再增加單引號(‘)方式繞過其更新之過濾防護機
制(弱點編號為CVE-2016-10045漏洞)。因此請儘速將PHPMailer更新至5.2.20(12/28
釋出)以上版本。

回到最上方