即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞
/在: 新闻, 知识 /通过: arthur.liMicrosoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞 (CVE-2021-36934)。这个可提升权限的漏洞源自于系统中对于部分系统档案的过度宽松的存取政策,包括 Security Accounts Manager (SAM) 资料库,一般使用者可以透过该漏洞提升权限,以系统权限执行恶意码、查阅、更改或删除资料或建立有完整权限的新使用者帐号等。 目前受影响到的是主要 Windows 10 以及测试中的 Windows 11,不过从 Microsoft 官方发布的讯息中,看到了 Windows Server 2019 也是受影响的标的之一。这个问题需要被特别注意的是目前尚无修补程式 (Patch) 可以进行更新,短期因应可以参考官方提出的暂行方案 (workaround),例如可以删除该受影响的 Volume Shadow Copy 等作法。 (请参考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934) 如以 PCI DSS 的合规角度来看这个问题,首先,这个漏洞的 CVSS 分数,在 Base Score Metrics 是 7.8 分属于高于 7 分的高风险项目,是一个应于 30 天内进行 Patch 的项目,如没有合适的 Patch 也应寻求其他的补强方案,如果 ASV […]
八大秘诀让中小企业在疫情中保护信用卡资料
/在: 新闻 /通过: arthur.li由于新冠肺炎 (COVID-19) 的冲击导致商业模式改变,中小型商店原来接受面对面交易的,纷纷移向线上电子商务的交易,因而产生信用卡资料安全保护的需求。PCI SSC [1] 是五大信用卡组织组成的安全委员会,特别针对中小型商店提出一些信用卡资料安全保护的小秘诀提供大家参考 (8 Tips to Help Small Merchants Protect Payment Card Data During COVID-19) 网络犯罪分子利用支付卡环境的快速变化采取各种行动 因此,PCI SSC 提出以下八个资料安全保护的小秘诀 (中小型商店适用) 减少能发现卡资料的位置: 最佳防御资料泄漏的方法就是完全不储存卡资料。由于疫情的关系,许多小商店接受「来店自取」或「电话付款」来因应疫情的管制,要记得纸笔写下信用卡相关的资料,建议直接输入信用卡交易的系统或终端以避免更多的地方可能出现卡号。 更多的资讯可以参考: https://blog.pcisecuritystandards.org/industry-guidance-on-accepting-telephone-payments-securely 适用强度较强的密码 (通行码): 使用预设及强度低的密码是企业卡号泄漏的主要原因之一,有效的预防可以使用强度强的密码并且定期更新。小型商店泄漏资料的原因经常是因为便宜行事使用了强度低的密码以及厂商预设密码。 更多的资讯可以参考: https://blog.pcisecuritystandards.org/infographic-strong-passwords 保持软体修补及最新: 恶意攻击者通常会刻意寻找停止支援的软体利用这些未更新的系统的漏洞来进行攻击。因此及时进行安全修补可以降低被攻破的风险。确保做到必要的安全变更的主要方法可以透过定期弱点扫描来发现安全问题。 PCI 组织核可的 外部弱点扫描厂商 – ASV (Approved Scanning Vendors) 可以协助发现线上的支付系统、电商网站及相关系统是否有漏洞或错误的设定及如何因应,例如应该安装那些修补程式等。建议每季至少一次针对 ASV 漏洞扫描进行相关修补作业并确保你的软体更新到最新状态。 更多的资讯可以参考: https://blog.pcisecuritystandards.org/infographic-patching 使用高强度加密方式: 加密可以使信用卡资料在没有金钥下无法被读取,在储存或传输时受到保护。建议企业询问刷卡机的供应商是否支援点对点加密 (Point-to-Point Encryption) […]