趨勢科技ZDI發佈1,000多次揭露漏洞公告

網絡保安方案廠商趨勢科技在2023年Black Hat USA黑客大會上表示，其 Zero Day Initiative(ZDI)漏洞懸賞計劃在2023年發佈了1,000 多次非重複漏洞公告。這些漏洞一旦變成黑客的攻擊武器，將對世界帶來遠比預防成本高出10倍以上的時間與財務損失。

最新揭露Microsoft重大零時差漏洞

趨勢科技營運長Kevin Simzer表示：「我們每年投資數百萬美元來主動研究漏洞並收購漏洞情報，讓我們的客戶及整體產業節省數十億美元的復原成本。但目前一項令人憂心的趨勢是，廠商對於漏洞的揭露與修補資訊透明度不足，對數碼世界的安全造成威脅。」

趨勢科技呼籲業界放棄暗中修補漏洞的做法，因為這樣會拖慢或淡化漏洞及修補更新的公開揭露和記載。這是打擊網絡犯罪的一大障礙，但卻是主流廠商及雲服務商常見的做法。

Trend Research人員指出，暗中修補的情況在雲服務商尤為常見。這些企業經常會避免將漏洞登錄到CVE公開資料庫，然後私下釋出修補更新。

雲服務商這種不透明或不公開版本編號的做法，將阻礙風險評估，使整體社群無法獲得寶貴資訊來提升生態系的整體安全。

此外，在去年的Black Hat大會上，趨勢科技也曾提出警告，指出不完全或有缺陷的修補更新似乎越來越多，而且廠商似乎不願清晰發表有關修補更新的權威資訊。到今日這情況更加惡化，有些廠商甚至完全貶低修補更新的重要性，令客戶和業界暴露在不必要且日益提升的風險中。

業界迫切需要採取行動來將修補更新列為優先要務，同時解決漏洞並促進研究人員、資訊保安廠商及雲端服務供應商之間的合作以強化雲端服務、防止用戶遭遇潛在風險。

趨勢科技非常重視漏洞修補的透明度，並透過其ZDI漏洞懸賞計劃致力提升整體產業的資訊保安狀態。在堅持透明揭露下，趨勢科技ZDI近日發布了多項零時差漏洞公告，包括：

ZDI-CAN-20784 Github(CVSS 9.9)

• 此漏洞可能讓遠端黑客在受影響的Microsoft GitHub部署環境中提升自己的權限。攻擊這項漏洞時必須先通過認證。
• 這項漏洞存在於開發容器的配置中，應用程式並未強制落實Dev Containers配置的權限指標。黑客可利用這漏洞來提升權限，然後在虛擬化監管程式(Hypervisor)層面執行程式。

ZDI-CAN-20771 Microsoft Azure(CVSS 4.4)

1. 此漏洞可能讓遠端黑客洩露有關Microsoft Azure的敏感資訊。黑客必須有能力在目標環境執行高權限程式碼才可攻擊這漏洞。
2. 這漏洞存在於憑證的處理程序中，問題根源是資源暴露在不正確的控制體系內(control sphere)，黑客可利用此漏洞來取得系統上儲存的登入憑證，隨後入侵系統。