【關於 CVE-2020-0852】

在微軟的 Office Word 中存在一個遠端任意程式碼執行的漏洞，這個漏洞在記憶體未能適當處理物件時可被觸發。攻擊者可特製一個檔案來針對當下的使用者進行攻擊，比方該檔案可利用登入使用者的權限來執行某些動作。

要觸發這個漏洞，被攻擊者要先以存有此漏洞的 Office 版本開啟一個特製的攻擊 Word 文件檔案。用於電子郵件的攻擊場景，攻擊者可直接寄送這個檔案予攻擊目標，再透過社交工程的手法誘騙目標開啟；當然也可以透過誘騙目標點擊惡意超連結，再連接至特製或被入侵的網站，誘騙目標下載並開啟惡意文件。需要特別注意的是：這個漏洞可以透過 Outlook 的預覽面板觸發。

>>詳細漏洞資訊與更新修補檔案，請參考此處


【關於 CVE-2020-0796】

Windows 10 Version 1903, Windows Server Version 1903 (Server Core Installation), Windows 10 Version 1909, 以及 Windows Server Version 1909 與啟用 SMBv3 的 Windows 8 與 Windows Server 2012 皆受本漏洞影響。攻擊者可透過特製的封包攻擊帶有此漏洞並啟用 SMBv3 服務的伺服器，以獲取伺服器的完整控制權。此外，CVE-2020-0796 是可蠕蟲化攻擊的漏洞。

在微軟釋出修補之前，建議使用防火牆功能關閉、限縮 SMBv3 及通訊埠 445 的使用。

>>詳細漏洞資訊與緩和措施，請參考此處

中華數位與 ASRC研究中心觀察發現，從去年年底開始，離線釣魚攻擊有大幅增長的趨勢，而且沒有產業針對性。然而，一波未平一波又起，2020年似乎顯得格外艱難。在世界各地傾力對抗疫情的同時，駭客卻利用大眾對疫情的關注趁火打劫！

隨著疫情擴散，犯罪集團持續利用疫情來操作網路釣魚與詐騙等惡意活動。世界衛生組織（World Health Organization，WHO）曾公開提醒大眾，小心提防與疫情議題有關的釣魚郵件。這些釣魚郵件偽裝為來自 WHO，要求使用者提供帳號密碼等機敏資訊，或誘導使用者打開惡意連結、惡意附檔，以進行下一步攻擊。WHO 強調只有 @who.int才是世衛組織的郵件網域，而非@who.com、@who.org或其它網域。

最近，美國國土安全部旗下的CISA（網路安全及基礎設施安全局, Cybersecurity and Infrastructure Security Agency，CISA）也表示，犯罪集團可能會傳送以肺炎疫情為主旨的惡意郵件，誘導受害者提供機密資訊或捐款到偽造的慈善團體。

ASRC 研究中心在 2 月初就收集到假冒 CDC 疾病管制與預防中心名義進行斂財的詐騙郵件，如下圖。

這封英文郵件鼓勵收件者捐出至少 10 元協助防疫，並提供收款的比特幣錢包位址。然而，在這裡捐款並不能真正幫助防疫，只會飽了攻擊者的口袋。

面對釣魚與詐騙郵件，中華數位與 ASRC 建議：

1. 不要輕易打開來歷不明的電子郵件連結或附件。
2. 若已開啟釣魚郵件連結或附件，請及時聯繫網路安全技術人員，以評估風險。
3. 安裝防毒軟體，並及時更新病毒碼。
4. 使用合適的郵件防禦機制，例如 SPAM SQR 可防禦釣魚與詐騙郵件攻擊。
5. 加強人員安全意識，面對來信要求填寫機敏資料、要求登入認證的郵件時，應保持高度懷疑的心態。
6. 捐款前務必確認慈善機構的真實性。

SPAM SQR 以多層過濾機制對抗入侵，其新型態攻擊郵件防護特色：

• 惡意滲透分析，郵件及附檔內文惡意連結全防禦
• 置換可疑超連結，避免使用者好奇或誤觸風險
• 防禦詐騙郵件，內寄示警外寄防偽
• 威脅統計報表與社交工程防禦機制，指出內部高風險族群
• 支援 SPF、DKIM 及 DMARC 等郵件驗證機制，避免郵件偽冒
• ADM 進階防禦模組，深層防禦 APT、BEC 詐騙等新型態郵件攻擊

勒索病毒攻擊型態轉變，FBI 日前示警攻擊事件鎖定特定目標、勒索金額高、手法高明的現象日益明顯。根據FBI特別探員Joel DeCapua的統計，最賺錢的勒索病毒 Ryuk、Cysis/Dharma、Bitpaymer、SamSam及 Sodinokibi，在過去6年間收到的贖金，少則6百萬、多則高達6千萬美元。勒索病毒初期較常見鎖定個人攻擊，加密後勒索要求支付比特幣；為了加速獲利的目的，攻擊的目標已轉向鎖定企業、組織、機構攻擊。

在 2019 年下半，台灣的醫療機構發生大規模勒索病毒攻擊事件：駭客透過健保 VPN 網路入侵，一次行動便成功感染多個醫療機構。所幸大部份的醫療機構都有備份資料，才能在這次災情中迅速復原運作。但位於美國內布拉斯加州的綜合醫院 Great Plains Health 就沒有那麼幸運，去年 11/25 遭到勒索病毒攻擊，加密了院內的系統檔案，使得員工無法存取部份網路，只能被迫取消了許多非緊急的門診及手術。

疫情期間的勒索病毒防禦
面對勒索病毒的攻擊，若能定期確實的執行異地、離線備份，的確可防止企業營運中斷的風險，但進化中的勒索病毒，為了迫使受害者支付贖金，則改以先下載資料，再將系統加密；若遭到受害者拒付贖金，就改以恐嚇公布機密資料來加以威脅！最好，還是能在初期就避免、防範勒索病毒滲入企業。

疫情期間，不少企業組織為了防止專才人力遭到感染或隔離而帶來的組織營運問題，紛紛採取分點、遠端工作等措施。在實行這樣的策略同時，要考慮遠端工作電腦本身的安全配置，及遠端存取是否存在洩資、漏洞的可能，以防止資安攻擊或發生意外的資安事故。


中華數位 SPAM SQR 以多層過濾機制對抗勒索病毒入侵
．ASRC 威脅特徵、指紋庫及附件辨識技術，分級分類惡意郵件
．防毒引擎結合自動指紋辨識與 ASRC 病毒特徵，提高攔截效果
．ADM 進階防禦模組，深層防禦 APT、BEC、勒索病毒等新型態郵件攻擊
．動態沙箱整合，可疑附檔拆離傳送至沙箱進行比對提高分析效能
．威脅郵件行為控管，降低誤點擊不當惡意網站或是執行惡意程式的風險

根據ASRC 研究中心 (Asia Spam-message Research Center) 與中華數位科技的觀察，2019 年垃圾郵件與病毒郵件的數量呈現均勻分布，但是相較於 2018 年，數量稍有成長。郵件量爆發、詐騙郵件與釣魚攻擊在 2019 年第四季消費旺季時達到全年高峰；BEC詐騙郵件的數量雖然降低，並不表示 BEC 詐騙的風險跟著下降了，相反的，BEC 詐騙郵件顯得更有策略性。CVE-2014-4114、CVE-2018-0802、CVE-2017-11882這三個 Microsoft Office 文件漏洞利用全年可見；2019 第一季被揭露的 WinRAR 漏洞 (包含CVE-2018-20250、CVE-2018-20251、CVE-2018-20252與CVE-2018-20253)，皆被用於APT攻擊或是滲透測試、紅隊演練。

BEC 詐騙郵件數量減少，不代表風險跟著降低
2019年 BEC 詐騙與 419 詐騙郵件總量相較 2018 年的總量下降；雖然 BEC 詐騙郵件下降的幅度高於 419 詐騙，並不表示 BEC 詐騙的風險跟著下降了。相反的，BEC 詐騙郵件顯得更有策略性，駭客不會過早介入商談中的交易，也減少接觸不必要收到 BEC 郵件的人員，以提高 BEC 詐騙的成功機率。

信任來源飽受挑戰，熟知的網域連結、熟人的郵件都可能隱藏惡意攻擊
電子郵件的可信度不斷的受到挑戰，在 BEC 事件頻傳的情況下，對於郵件中提及異常的變更事項，都需要特別留意，尤其是匯款帳號變更，一定要透過電子郵件以外的管道再次進行確認。
其次，需要特別注意的是在電子郵件內的超連結。並非超連結帶有可信賴的網域名稱就不會有威脅，也不是所有惡意的超連結都必然會下載惡意程式，或需要被攻擊者配合輸入帳號密碼相關資料，畢竟，並非所有人使用網路服務都會隨手登出。在 2017 年開始出現釣魚郵件結合 Google OAuth，就是企圖蒙騙收信人透過點擊一個共享文件的連結，授與攻擊者存取 Google App 的權限，如今類似的手法也開始出現在 Office 365。
最後，白名單一定要慎用，看似來自熟知的同事、供應商的郵件，也有可能隱藏惡意攻擊。供應鏈攻擊是國家級資助的 APT 攻擊常用的手段。攻擊者的主要目標可能具備了很高的警戒意識與防護能力，因此攻擊者可從主要目標的合作對象下手，之後再透過主要目標對合作對象的信任，直接穿過各種防護措施進行攻擊。

合法域名空間遭到濫用的實例

釣魚郵件與詐騙郵件氾濫，在第四季消費旺季達到高峰
2019 年帶有惡意連結的電子郵件數量，約是 2018 年的 2.8 倍。釣魚郵件為了取信收件者點擊，多半會使用一些在地化用語及社交工程的手法。由於釣魚郵件主要目的是騙取網路服務的帳號密碼或其他機敏資料，因此多半在點擊之後，會透過瀏覽器連往一個收集這些機敏資料的釣魚網站或釣魚表單，再誘騙受害者輸入其機敏資料。
瀏覽器的開發商也注意到類似的問題，於是紛紛在網址列加入了檢查與提醒的功能，希望能藉此保護使用者。然而攻擊者也改變了做法，在電子郵件中直接夾入一個惡意的靜態 HTML 頁面，誘騙收信人填入機敏資料，但是這個頁面透過瀏覽器打開時，網址列顯示的是本地端的儲存位址而非遠端的釣魚網站。當收信人填完資料按下送出後，瀏覽器即以 POST 搭配加密連線的方式，將機敏資料送往釣魚網站，這樣的釣魚手段能略過多數的瀏覽器保護措施。這類型的攻擊郵件，在 2019 年第四季消費採購高峰期大量出現。

惡意的靜態HTML釣魚檔案

Office 文件漏洞經典穩定，駭客依舊愛用
經典穩定的 Office 文件檔漏洞，一直是攻擊者愛用的武器之一。除了作業人員、防毒軟體對文件型檔案的警覺性較低外，許多人所使用的 Office 不會經常性的更新。據 ASRC 統計，2018 年最常見的郵件漏洞利用攻擊為 OLE 漏洞 (CVE-2014-4114) 與方程式漏洞 (CVE-2017-11882)。2019 年，CVE-2014-4114 仍持續被利用，且在第三季爆發相當大量的攻擊樣本，主要目標產業為電子、食品、醫療相關產業；CVE-2018-0802 則做為 CVE-2017-11882 其後續的衍生變形攻擊持續存在。2020 年初甫被披露的 CVE-2020-0674 及其後續影響力，也需持續關注。

2020年將是5G基礎建設部署、成熟加速的一年，隨著整體網速的加快，行動應用服務將更趨複雜化，因此，個人資訊遭到刺探、洩資的速度與規模、攻擊的速度及頻率，都會跟著大幅提高；而惡意程式也可以不必再拘泥檔案大小的限制，更可朝向功能完備的方向作發展；加上量子電腦、雲端運算的推波助瀾，資安事故的發生與危害程度可能是過去難以想像的。電子郵件仍會是網路攻擊重要的入侵管道，單純的帳號密碼防護力漸趨薄弱，多因素驗證已是勢在必行。以適當的安全作業流程搭配郵件安全防禦設備，減少人員接觸問題郵件的機會才能有效避免攻擊事件的發生。中華數位 SPAM SQR 及其 ADM 進階防禦機制，可協助企業攔截各種新型態攻擊郵件，歡迎來電申請免費試用 02-2543-2000。

>> ASRC 2019 年電子郵件安全回顧完整報告