即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞

Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞 (CVE-2021-36934)。这个可提升权限的漏洞源自于系统中对于部分系统档案的过度宽松的存取政策,包括 Security Accounts Manager (SAM) 资料库,一般使用者可以透过该漏洞提升权限,以系统权限执行恶意码、查阅、更改或删除资料或建立有完整权限的新使用者帐号等。

目前受影响到的是主要 Windows 10 以及测试中的 Windows 11,不过从 Microsoft 官方发布的讯息中,看到了 Windows Server 2019 也是受影响的标的之一。这个问题需要被特别注意的是目前尚无修补程式 (Patch) 可以进行更新,短期因应可以参考官方提出的暂行方案 (workaround),例如可以删除该受影响的 Volume Shadow Copy 等作法。 (请参考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934)

如以 PCI DSS 的合规角度来看这个问题,首先,这个漏洞的 CVSS 分数,在 Base Score Metrics 是 7.8 分属于高于 7 分的高风险项目,是一个应于 30 天内进行 Patch 的项目,如没有合适的 Patch 也应寻求其他的补强方案,如果 ASV (Approved Scanning Vendor) 外部弱点扫描遇到这个问题,应该会导致外弱扫无法通过的窘境。

除了工作人员使用的个人电脑外,在机房中也常见使用 Windows 10 作为跳板机使用,由于 Windows 的跳板机,有可能配置给不同人员权限,也要注意是否会有一般使用者利用这个漏洞进行其他未受权的动作或进行攻击。

针对这个问题要如何保持合规呢? 安律信息为你提供以下建议:

  1. 先依据官方的暂行方案,限制特定的系统目录存取、删除从 Volume Shadow Copy Service (磁碟区阴影复制服务, VSS) 的复制备份。而移除阴影备份档案所造成的影响,则为无法透过ㄧ些备份/还原工具,对系统进行还原。所以这段尚未有修补程式的这段期间,就可先避免进行还原作业。
  2. 暂时性的限制 “非主机管理权限 (Administrator)” 人员登入到主机,这个弱点的问题是在于一般使用者帐号可以存取到核心的配置档案、SAM 资料库等,所以暂时性限制非主机管理权限的人员,可避免提升权限的攻击。
  3. 将内部弱点扫描工具的扫描资料库更新到最新版本,并进行扫描,以确认目前使用的工具是否能扫描到这个问题。

[/av_one_third]

Bryan Cheng

安律信息技术公司 PCI 资深合规 QSA 与 顾问 - PCI QSA and Senior Consultant
  • Payment Card Industry Security, IT Security Management, Cloud Service Management
  • 专业认证:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

安律信息技术有限公司  Secure Vectors Information Technologies Inc.

安律信息技术有限公司,Secure Vectors Information Technologies Inc., 是一个专门从事支付产业安全管理服务的公司,包含技术检测、顾问咨询以即合规审查服务。我们的服务范围包括 PCI DSS 、PCI 3DS、PCI PIN Security 支付等卡产业安全标准并提供个人资料保护及 GDPR 适法性查检与顾问服务。

安律信息技术在美国、中国、新加坡、越南、台湾等地提供服务资料点,提供完整的服务。与合规相关的产品提供认证服务(合规审查)、合规安全代管以及合规管理 平台等服务。


你可能会喜欢看

您适用哪一个 PCI DSS SAQ 类型?

/
您适用哪一个 PCI DSS SAQ 类型? PCI DSS Self-Assessment…
first time PCI DSS Compliance

【PCI DSS 过证懒人包】资安小白也能轻松达标

/
【PCI DSS 过证懒人包】资安小白也能轻松达标 2024年电商、远程工作及外送平台消费等等型态持续成长,加速跨境交易和线上支付的使用率,支付卡资讯安全变成尤其重要。为了确保消费者的个人资料不被盗取或滥用,支付卡产业安全标准协会(简称…

如何达成 PCI DSS v4.0 条文中 12.4.2 针对服务供应商的额外要求?

/
1 服务供货商 (Service Providers) 每季需依据 PCI…

Sequoia 漏洞 (CVE-2021-33909),听听 PCI DSS 专家怎么说 ?

/
資訊資訊 作业系统帐户的安全性 (PCI DSS Req.…

即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞

Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞…
PCI 3DS 驗證 3 步驟_Max

PCI 3DS 验证 3 步骤

3D 验证 (3-D Secure) 消费者 (Consumer)…

即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞

Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

八大秘诀让中小企业在疫情中保护信用卡资料

由于新冠肺炎 (COVID-19) 的冲击导致商业模式改变,中小型商店原来接受面对面交易的,纷纷移向线上电子商务的交易,因而产生信用卡资料安全保护的需求。PCI…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

支付卡营运标准的安全管理层次与精神

大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 "這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

Reddit 遭骇了,Two Factor 被破解!

由於長期以來駭客攻擊或資料洩漏的原因,過半是透過釣魚、竊取自其他來源先取得 Credential 後,才攻入目標的網站或主機,因此過去我們都稱 Two Factor Authentication 應該是防禦駭客最便宜的解決方案, 在以信用卡交易安全為標的的 PCI DSS 標準中...
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

* 如想了解更多合规服务,请您与我们联系 service@securevectors.com 我们会尽快回覆您的任何问题!

与我们联系

因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

八大秘诀让中小企业在疫情中保护信用卡资料

由于新冠肺炎 (COVID-19) 的冲击导致商业模式改变,中小型商店原来接受面对面交易的,纷纷移向线上电子商务的交易,因而产生信用卡资料安全保护的需求。PCI SSC [1] 是五大信用卡组织组成的安全委员会,特别针对中小型商店提出一些信用卡资料安全保护的小秘诀提供大家参考 (8 Tips to Help Small Merchants Protect Payment Card Data During COVID-19)

 

网络犯罪分子利用支付卡环境的快速变化采取各种行动

攻擊增加了 475%

小型企業需要支付五萬美金以上才能從資料洩漏的事件中復原

29% 的消費者表示不會在繼續使用有資料洩漏事件的小型企業

从 2020 年三月起跟 Coronavirus 有关的攻击增加了 475%,伴随着疫情,恶意攻击者藉由疫情的主题进行钓鱼或木马植入时有所闻。

依据 Bank of America 2019 年的研究显示 41% 的小型企业至少需要支付五万美金以上才能从资料泄漏的事件中复原。[2]

29% 的消费者表示不继续使用有资料泄漏事件的小型企业[3]

 

 

 

因此,PCI SSC 提出以下八个资料安全保护的小秘诀 (中小型商店适用)

  1. 减少能发现卡资料的位置:
  2. 适用强度较强的密码 (通行码):
    • 使用预设及强度低的密码是企业卡号泄漏的主要原因之一,有效的预防可以使用强度强的密码并且定期更新。小型商店泄漏资料的原因经常是因为便宜行事使用了强度低的密码以及厂商预设密码。
    • 更多的资讯可以参考: https://blog.pcisecuritystandards.org/infographic-strong-passwords
  3. 保持软体修补及最新:
    • 恶意攻击者通常会刻意寻找停止支援的软体利用这些未更新的系统的漏洞来进行攻击。因此及时进行安全修补可以降低被攻破的风险。确保做到必要的安全变更的主要方法可以透过定期弱点扫描来发现安全问题。 PCI 组织核可的 外部弱点扫描厂商 – ASV (Approved Scanning Vendors) 可以协助发现线上的支付系统、电商网站及相关系统是否有漏洞或错误的设定及如何因应,例如应该安装那些修补程式等。建议每季至少一次针对 ASV 漏洞扫描进行相关修补作业并确保你的软体更新到最新状态。
    • 更多的资讯可以参考: https://blog.pcisecuritystandards.org/infographic-patching
  4. 使用高强度加密方式:
    • 加密可以使信用卡资料在没有金钥下无法被读取,在储存或传输时受到保护。建议企业询问刷卡机的供应商是否支援点对点加密 (Point-to-Point Encryption) ,如果是一个新的网站,必须先确认购物车使用正确的加密机制,例如 TLS v1.2 来保护客户资料。
    • 更多的资讯可以参考: https://www.pcisecuritystandards.org/document_library?document=ssl&hs
  5. 使用安全的远端存取:
    • 确保最小化被攻破的风险,企业知道委外的系统供应商如何及何时存取系统是相当重要的。恶意攻击者会透过利用远端存取控制的弱点来取得对系统的存取权。因此需要限制远端存取的功能且在不使用时停止该功能。如果开放远端存取,必须要求系统供应商使用多因素认证及高强度的远端存取帐号密码,而且必须不同于该供应商使用于其他客户的帐号密码。
    • 更多的资讯可以参考: https://blog.pcisecuritystandards.org/infographic-secure-remote-access
  6. 确保防火墙已有适当的配置设定:
    • 硬体/软体式防火墙主要做为网际网路与企业系统之间的保护屏障,防火墙可以将不允许、或未授权的存取阻挡在外,以保护内部的系统。尽管有些防火墙的设定看起来可能很复杂,但适当的配置对于整体安全来说是不可或缺的,如果需要进一步的支援,可以寻找供应商或网路相关专业人员来进行协助。
    • 更多的资讯可以参考: https://blog.pcisecuritystandards.org/resource-for-small-merchants-firewall-basics
  7. 点击连结前要三思而后行:
    • 恶意攻击者常使用网路钓鱼或社交工程方式,透过看起来合法的 email 邮件或社交工具讯息来骗取使用者提供一些机密资料,如信用卡号码、特约商店的帐号密码等。小型特约商店对这类网路钓鱼或社交工程等的攻击,必须特别注意并提高警觉性。
    • 更多的资讯可以参考: https://blog.pcisecuritystandards.org/beware-of-covid-19-online-scams-and-threats
  8. 选择可信任的合作伙伴:
    • 认识服务供应商是谁,并需要问他们相关安全的问题,是非常关键重要的。这个服务供应商是否有遵守 PCI DSS 的要求? 对于线上购物的特约商店 (和一些目前正准备开始使用线上购物平台来取代实体交易的单位) 来说,选择的服务供应商,包括管理支付作业流程的服务供应商 (可能称之为 Payment Service Provider,或 PSP),通过 PCI DSS 是非常重要的。
    • 更多的资讯可以参考: https://www.pcisecuritystandards.org/pdfs/Small_Merchant_Questions_to_ Ask_Your_Vendors.pdf

文章资料原文:https://www.pcisecuritystandards.org/documents/PCI_COVID-19_Resource_Guide.pdf

[1] PCI SSC Payment Card Industry Security Standards Council https://www.pcisecuritystandards.org/

[2] https://nypost.com/2019/09/28/rise-in-data-breaches-wreaking-havoc-on-small-businesses-study/ according to Bank of America Merchant Services Third Annual Small Business Spotlight.

[3] 同上


作者简介

Bryan Cheng

安律信息技术公司 PCI 资深合规 QSA 与 顾问 - PCI QSA and Senior Consultant
  • Payment Card Industry Security, IT Security Management, Cloud Service Management
  • 专业认证:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

安律信息技术有限公司  Secure Vectors Information Technologies Inc.

安律信息技术有限公司,Secure Vectors Information Technologies Inc., 是一个专门从事支付产业安全管理服务的公司,包含技术检测、顾问咨询以即合规审查服务。我们的服务范围包括 PCI DSS 、PCI 3DS、PCI PIN Security 支付等卡产业安全标准并提供个人资料保护及 GDPR 适法性查检与顾问服务。

安律信息技术在美国、中国、新加坡、越南、台湾等地提供服务资料点,提供完整的服务。与合规相关的产品提供认证服务(合规审查)、合规安全代管以及合规管理 平台等服务。


你可能会喜欢看

您适用哪一个 PCI DSS SAQ 类型?

/
您适用哪一个 PCI DSS SAQ 类型? PCI DSS Self-Assessment…
first time PCI DSS Compliance

【PCI DSS 过证懒人包】资安小白也能轻松达标

/
【PCI DSS 过证懒人包】资安小白也能轻松达标 2024年电商、远程工作及外送平台消费等等型态持续成长,加速跨境交易和线上支付的使用率,支付卡资讯安全变成尤其重要。为了确保消费者的个人资料不被盗取或滥用,支付卡产业安全标准协会(简称…

如何达成 PCI DSS v4.0 条文中 12.4.2 针对服务供应商的额外要求?

/
1 服务供货商 (Service Providers) 每季需依据 PCI…

Sequoia 漏洞 (CVE-2021-33909),听听 PCI DSS 专家怎么说 ?

/
資訊資訊 作业系统帐户的安全性 (PCI DSS Req.…

即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞

Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞…
PCI 3DS 驗證 3 步驟_Max

PCI 3DS 验证 3 步骤

3D 验证 (3-D Secure) 消费者 (Consumer)…

即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞

Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

八大秘诀让中小企业在疫情中保护信用卡资料

由于新冠肺炎 (COVID-19) 的冲击导致商业模式改变,中小型商店原来接受面对面交易的,纷纷移向线上电子商务的交易,因而产生信用卡资料安全保护的需求。PCI…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

支付卡营运标准的安全管理层次与精神

大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 "這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

Reddit 遭骇了,Two Factor 被破解!

由於長期以來駭客攻擊或資料洩漏的原因,過半是透過釣魚、竊取自其他來源先取得 Credential 後,才攻入目標的網站或主機,因此過去我們都稱 Two Factor Authentication 應該是防禦駭客最便宜的解決方案, 在以信用卡交易安全為標的的 PCI DSS 標準中...
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

* 如想了解更多合规服务,请您与我们联系 service@securevectors.com 我们会尽快回覆您的任何问题!

与我们联系

支付卡营运标准的安全管理层次与精神

大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 “這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。

Reddit 遭骇了,Two Factor 被破解!

今天小编 ”读过”了这则新闻想起, 由于长期以来黑客攻击或数据泄漏的原因,过半是透过钓鱼、窃取自其他来源先取得 Credential 后,才攻入目标的网站或主机,因此过去我们都称 Two Factor Authentication 应该是防御黑客最便宜的解决方案, 在以信用卡交易安全为目标的 PCI DSS 标准中,也要求在远程登录 (Remote Login) CDE 所在的网络,或是 Non-Console 登入主机时均需符合多重身份验证 (multi-factor authentication)的安全要求。

但 Reddit 这个案例,可能是透过社交工程、身分数据盗窃后对电信公司进行 SIM 卡重新申请而破解了原来账号绑定的 Two Factor (SMS) 机制,这个也就需要提醒大家,其实两年前 NIST 就已经建议大家 Two-Factor 安全机制别再用 SMS (Drafted Digital Identity Guidelines, NIST,但后来有提出解释软化了原来的措辞) ,所以无论 SMS , SIM 卡是透过社交工程、数据盗窃向电信申请换卡,或是透过 SS7 可能的问题拦截到,目前均可以透过 APP 或是非 SMS 的双因认证来避开这个风险。

安律 PCI DSS 是金融支付安全产业最佳的顾问咨询及审查服务公司

 

 

来源网址:

https://www.ithome.com.tw/news/124948

https://blog.vasco.com/authentication/sms-authentication/

支付安全市场到2022年将达到246亿美元:基于需要遵守PCI DSS指南和电子商务欺诈活动的崛起

解决方案,服务,组织规模,行业垂直和地区 – 全球预测到2022年的支付安全市场

全球支付安全市场规模预计将从2017年的113.9亿美元增长到2022年的246.3亿美元,复合年增长率(CAGR)为16.7%。市场的主要增长动力包括采用数字支付模式的增加,需要遵守PCI DSS指南,以及电子商务中的欺诈活动增加。支付安全市场按照组件(解决方案和服务),组织规模,行业垂直和地区进行细分。在预测期内,市场上的解决方案部分预计将比顾问服务的市场规模更大。高增长率背后的原因在于对高阶网络攻击保护在线业务敏感交易的需求增加。

在预测期内,顾问服务预计将以更高的复合年增长率增长,市场规模最大。预计2017年大型企业的市场规模将更大。然而,预测期内中小型企业(SMEs)预计将以更高的复合年增长率增长,因为中小型企业主要采用支付安全解决方案以保护客户敏感的银行账户数据免受网络漏洞和攻击。

支付安全解决方案和顾问服务部署在各行各业,包括零售、旅游、IT和电信、卫生保健、教育、媒体和娱乐、以及其他产业。在预测期间,预计增长将达到最高的复合年增长率。不过,由于零售商正在使用各种有趣的方式,例如优惠和折扣来吸引顾客进行网上购物,因此预计零售垂直市场在2017年的市场规模最大。因此,零售行业采用支付安全解决方案的情况正在增加。

在各地区的基础上,全球支付安全市场分为北美,欧洲,亚太地区(APAC),中东和非洲(MEA)以及拉丁美洲,提供区域特定分析。预计到2017年,北美地区和欧洲将成为支付安全服务供货商的最大创收地区。在美国和加拿大的发达经济体中,高度关注从研发部门获得的创新成果(研发)和支付安全技术。亚太地区有望成为市场增长最快的地区。该地区的增长主要是由于企业内部采用先进的支付技术来进行商业交易。

 

 

 

Research and Market, dated 1 August 1, 2017
http://www.researchandmarkets.com