這篇文章將為工程師解析近期出現在 ThreatsDay Bulletin 中的多項安全漏洞與攻擊手法。目前的威脅趨勢顯示,攻擊者不再僅依賴複雜的 0-day 漏洞,而是大量利用「信任鏈」的漏洞,例如偽造數位簽章、濫用 OAuth 令牌或利用社會工程學來繞過現代安全防禦。
雲端基礎設施的權限漏洞
在 Azure 環境中,研究人員發現了一個嚴重的權限提升(Privilege Escalation)漏洞。所謂權限提升,是指攻擊者利用系統缺陷,將原本低權限的帳號提升至管理員等級。
這次的問題出在 Azure Backup for AKS(Azure Kubernetes Service 的備份功能)。原本僅具有 Backup Contributor(備份貢獻者)角色的人員,在完全沒有 Kubernetes 權限的情況下,竟能直接獲取 cluster-admin(叢集管理員)的最高權限。這意味著只要攻擊者拿到一個低權限的備份帳號,就能控制整個 K8s 叢集。雖然微軟已悄悄修復此漏洞,但這提醒我們:雲端角色權限(RBAC)的設定必須遵循最小權限原則,不能假設備份角色是安全的。
繞過 MFA 的新型釣魚攻擊
許多工程師認為只要開啟了 MFA(多因素驗證,如手機驗證碼)就安全了,但 Kali365 等新型釣魚平台證明這並不正確。
Kali365 採用的是 Phishing-as-a-Service(釣魚即服務)模式,讓不懂技術的犯罪者也能透過訂閱來發動攻擊。其核心手法是利用 OAuth 令牌(OAuth Token)劫持。OAuth 是一種開放授權標準,允許應用程式在不獲知使用者密碼的情況下獲取權限。
攻擊者會誘導使用者進入偽造的微軟登入頁面,獲取 OAuth 存取令牌(Access Token)與重新整理令牌(Refresh Token)。一旦拿到這些令牌,攻擊者可以直接進入使用者的郵件或雲端環境,完全不需要密碼,更不需要攔截 MFA 驗證碼,因為令牌代表的是已經通過驗證的身份。
供應鏈攻擊與數位簽章的失效
數位簽章(Digital Signature)原本是用來證明軟體來源可靠且未被篡改的機制。然而,DAEMON Tools 與 RVTools 的案例顯示,攻擊者現在傾向於直接攻破軟體供應商的建置伺服器,或使用殼公司申請合法的簽章憑證。
當惡意軟體被合法的數位簽章簽署後,Windows SmartScreen 或許多 EDR(端點偵測與回應,一種監控電腦行為的防毒軟體)會將其視為信任軟體而放行。這告訴我們:不能單純依賴簽章來判斷軟體是否安全,行為分析(Behavioral Analysis)才是偵測此類攻擊的關鍵。
端點防禦的盲區:GhostTree 技術
一種名為 GhostTree 的新技術展示了如何讓安全掃描工具失效。它利用了 NTFS Junction(NTFS 接點,一種將資料夾路徑導向另一個位置的機制)來創造無限遞迴的檔案路徑。
當 EDR 或掃描工具嘗試遞迴掃描該資料夾時,會陷入無限循環而導致程式掛起(Hang),最終導致該路徑下的惡意檔案完全沒被掃描到。這是一種典型的利用系統底層特性來規避偵測的手段。
AI 時代的安全新工具:Claude 安全插件
面對日益複雜的漏洞,Anthropic 為 Claude AI 推出了安全指南插件(Security-Guidance Plugin)。
這個插件的作用是在 AI 撰寫程式碼的過程中,自動進行自我審查,檢查是否存在常見漏洞,例如 Injection(注入攻擊,如 SQL Injection)或不安全的反序列化(Unsafe Deserialization,一種將資料轉回物件時被植入惡意指令的漏洞)。這將安全審查的時機提前到了開發階段(Shift Left),減少人為審查的壓力。
總結與實務建議
從這些案例可以看出,攻擊者的路徑越來越簡單:偽造一個像樣的網站、利用一個被忽略的低權限角色、或者用一個合法的簽章來掩蓋惡意程式。
對於開發與運維工程師的建議: 第一,不要過度信任 MFA,應關注 OAuth 令牌的生命週期管理與異常登入偵測。 第二,嚴格審查雲端權限分配,定期清理不再需要的高權限角色。 第三,對第三方工具保持警覺,即使有數位簽章,也應在隔離環境中測試可疑軟體。 第四,建立基於行為的監控機制,而非僅依賴特徵碼或簽章比對。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。