最新揭露 Microsoft 重大零時差漏洞
香港 – Media OutReach – 2023年8月18日 – 全球網絡保安方案領導廠商趨勢科技(東京證券交易所股票代碼:4704 )在 2023 年 Black Hat USA 黑客大會上表示,其 Zero Day Initiative(ZDI)漏洞懸賞計劃在 2023 年發佈了 1,000 多次非重複漏洞公告。這些漏洞一旦變成黑客的攻擊武器,將對世界帶來遠比預防成本高出 10 倍以上的時間與財務損失。
趨勢科技營運長 Kevin Simzer 表示:「我們每年投資數百萬美元來主動研究漏洞並收購漏洞情報,讓我們的客戶及整體產業節省數十億美元的復原成本。但目前一項令人憂心的趨勢是,廠商對於漏洞的揭露與修補資訊透明度不足,對數碼世界的安全造成威脅。」
趨勢科技呼籲業界放棄暗中修補漏洞的做法,因為這樣會拖慢或淡化漏洞及修補更新的公開揭露和記載。這是打擊網絡犯罪的一大障礙,但卻是主流廠商及雲服務商常見的做法。
Trend Research 人員指出,暗中修補的情況在雲服務商尤為常見。這些企業經常會避免將漏洞登錄到 CVE 公開資料庫,然後私下釋出修補更新。
雲服務商這種不透明或不公開版本編號的做法,將阻礙風險評估,使整體社群無法獲得寶貴資訊來提升生態系的整體安全。
此外,在去年的 Black Hat 大會上,趨勢科技也曾提出警告,指出不完全或有缺陷的修補更新似乎越來越多,而且廠商似乎不願清晰發表有關修補更新的權威資訊。到今日這情況更加惡化,有些廠商甚至完全貶低修補更新的重要性,令客戶和業界暴露在不必要且日益提升的風險中。
業界迫切需要採取行動來將修補更新列為優先要務,同時解決漏洞並促進研究人員、資訊保安廠商及雲端服務供應商之間的合作以強化雲端服務、防止用戶遭遇潛在風險。
趨勢科技非常重視漏洞修補的透明度,並透過其 ZDI 漏洞懸賞計劃致力提升整體產業的資訊保安狀態。在堅持透明揭露下,趨勢科技 ZDI 今日發布了多項零時差漏洞公告,包括:
ZDI-CAN-20784 Github(CVSS 9.9)
- 此漏洞可能讓遠端黑客在受影響的 Microsoft GitHub 部署環境中提升自己的權限。攻擊這項漏洞時必須先通過認證。
- 這項漏洞存在於開發容器的配置中,應用程式並未強制落實 Dev Containers 配置的權限指標。黑客可利用這漏洞來提升權限,然後在虛擬化監管程式(Hypervisor)層面執行程式。
ZDI-CAN-20771 Microsoft Azure(CVSS 4.4)
- 此漏洞可能讓遠端黑客洩露有關 Microsoft Azure 的敏感資訊。黑客必須有能力在目標環境執行高權限程式碼才可攻擊這漏洞。
- 這漏洞存在於憑證的處理程序中,問題根源是資源暴露在不正確的控制體系內 (control sphere),黑客可利用此漏洞來取得系統上儲存的登入憑證,隨後入侵系統。
趨勢科技 ZDI 已發佈的漏洞公告:https://www.zerodayinitiative.com/advisories/published/
趨勢科技 ZDI 是漏洞市場的先驅,致力透過合法收購漏洞研究並在公開揭露之前預先通報給受影響廠商,藉此阻斷黑客攻擊。