这两个缓解措施均是可被绕过的，VED 目前的版本是基于 LKRG 实现的，检查的完整性与性能的平衡是需要考虑的。更加严密的 msg 是可能的，但是 kprobe 的检查点数量，计算量需要多的多。另外则是虽然这两个缓解措施均可被绕过，但是叠加两者，由于其中的检查是相互交叉的，比方说完整性检查包含的 struct msg_msgseg *next, size_t m_ts，和越界检查。这使得漏洞利用需要依赖于原代码路径来实现堆喷，和更依赖同类型的 object 之间的污染，使得 msg 的漏洞利用困难程度上升。当然这些专门的绕过对资深的内核黑客来说不会是多大的问题。VED 也在探索更加完整并且平衡性能损耗的方案。" 查看全文

微软认为俄罗斯军方情报部门是上个月针对波兰和乌克兰运输物流部门的勒索软件攻击的幕后发起者。发起网络攻击的黑客组织被称为 Sandworm，而微软则将其命名为 Iridium，被认为是最有才华和最具有破坏性的黑客组织之一，被普遍认为得到了俄罗斯军事情报总局的支持。Sandworm 与 2017 年的 NotPetya 网络攻击有关，这次网络攻击在全球造成了百亿美元的损失。Sandworm 还与对乌克兰电网的物理攻击有关。微软上个月称，波兰和乌克兰运输物流部门遭到此前未知的勒索软件 Prestige 的攻击。本周四微软在对该勒索软件的分析取证之后表示，Prestige 与 Iridium 有关联。

澳洲保险公司 Medibank 上个月证实在最近发生的勒索软件攻击中黑客访问了所有客户的个人信息和部分索赔数据，其中包含了它的所有国际学生客户。Medibank 是澳大利亚最大的私营健康保险公司之一。黑客本周四在暗网发表声明，要求以每位客户一美元的费用支付赎金，共有 970 万用户受到影响，赎金将接近 1 千万美元。Medibank CEO David Koczkar 诅咒黑客的行动是可耻的，同时再次向客户道歉，该公司拒绝支付赎金。

联想更新了 25 款笔记本电脑的固件，修复允许攻击者禁用 UEFI Secure Boot 然后安装恶意固件植入永久性后门的漏洞，受影响的笔记本型号包括 ThinkPads、Yoga Slims 和 IdeaPads。UEFI 位于主板的闪存芯片上，它是安全链的首个环节，它被感染了恶意代码是很难检测和移除，它会在系统一次次重新安装之后仍然存在。安全公司 ESET 的研究人员报告了三个漏洞 CVE-2022-3430、CVE-2022-3431 和 CVE-2022-3432。

希腊政府表示将立法禁止销售间谍软件。在这之前，总理 Kyriakos Mitsotakis 的政府被指使用 Cytrox 公司开发的间谍软件 Predator 对数十名知名政治家、记者和商人进行监控。Mitsotakis 周一称这一指控是“最不可信的谎言”，他表示希腊将成为首个制定立法，明确禁止在国内销售此类软件的国家。社会主义反对派领导人 Nikos Androulakis 在今年七月向最高检察官提起诉讼，指控有人尝试用间谍软件入侵其手机。Mitsotakis 否认对黑客攻击知情，表示永远不会批准此类行动。

微软本周二释出了 11 月的例行安全更新，修复了 6 个正被利用的 0day。其中两个 CVE-2022-41040 和 CVE-2022-41082 位于 Exchange 服务器中，属于高危漏洞，黑客组合利用这两个漏洞能在服务器上执行恶意代码。漏洞被统称为 ProxyNotShell，Shodan 搜索显示在漏洞公开之际有大约 22 万个服务器存在该漏洞，微软上个月称使用简体中文的黑客正在利用该漏洞。第三个 0day 是 Windows 高危漏洞 CVE-2022-41128，能被攻击者远程执行恶意代码，它是 Google 的 Threat Analysis Group 安全研究人员发现的。另外两个 0day 属于提权漏洞，其中 CVE-2022-41073 位于微软的打印后台服务中，CVE-2022-41125 位于 Windows CNG Key Isolation Service 中。最后一个 0day CVE-2022-41091 允许黑客创建恶意文件躲避 Mark of the Web。微软本月的安全更新共修复了 68 个漏洞，11 个为高危漏洞。

HardenedVault 写道 "中国，德国和美国的政府部门在关键基础设施供应链安全的推进的方式还是有所不同，美国自从EO 14028以来都是以技术指南为中心，这为企业在技术评估和操作层面提供了参考。欧洲设定了最低的技术要求作为强制性合规，但考虑到其他的合规比如GDPR基于风险合规的因素，企业不达到行业最佳实践的水平下实际上会带来更高的合规风险。中国的策略不同于美国和欧洲，关键信息基础设施安全保护要求中包含了技术范围和目标，具体的实际操作层面应该有其他的技术指南进行参考。在全球高级威胁防护的大趋势下，基础架构及平台固件属于整体防御中核心的环节之一，从上面的公开信息来看也是未来合规的一部分，CISO应该在繁杂的应用安全和边界安全中抽身花一点时间去考虑如何应对未来的各国合规要求，一些不依赖合规驱动的行业比如crypto custody/exchange则需要基于下一代数据中心安全方案这类更激进的策略去面对现在和未来的风险和威胁。"

Python 软件包仓库 PyPI 的自动化风险检测平台发现了数十个新发布的恶意软件包。攻击者拷贝了现有的合法软件包，然后注入恶意的 __import__ 声明，试图植入恶意程序 W4SP Stealer。拷贝合法软件包的好处是因为 PyPI 软件包的登录页是根据 setup.py 和 README.md 生成的，除非仔细检查，恶意软件包的登录页乍一看会被认为是合法的。攻击者使用了有意思的策略防止开发者在阅读代码时发现注入的恶意声明，方法是在代码中留了大量的空格，在编辑器的显示窗口上你需要拉到最右边才可能发现恶意注入。正常声明和恶意声明之间留了 318 个空格。

匿名读者 写道 "智利时间十月 29 日早晨 6:14，阿塔卡马亚毫米波干涉阵望远镜遭受严重网络攻击。阿塔卡马大型毫米波/亚毫米波干涉阵望远镜（ALMA）是世界上规模最大，海拔最高，最灵敏的毫米波/亚毫米波干涉阵，位于智利的阿塔卡马沙漠。ALMA 也是目前国际上投入最多的地面望远镜，由 66 个观测天线组成。攻击造成 ALMA 停止科学观测，位于智利的网站全部下线。攻击并为造成天线或观测数据库受损，且目前网络威胁已得到控制。但 ALMA 仍未恢复正常运行。"

备受瞩目的 OpenSSL 3 漏洞补丁释出，漏洞等级从之前被认为与 Heartbleed 漏洞相当的“高危”降为“高”。最新释出的 OpenSSL version 3.0.7 修复了两个缓冲溢出漏洞 CVE-2022-37786 和 CVE-2022-3602，两个漏洞影响所有 OpenSSL 3.x 系列版本，但不太可能导致远程代码执行。包括 Fedora 在内的 Linux 发行版因该漏洞而推迟发布。在所有 OpenSSL 版本中，OpenSSL 1.1.1 仍然处于长期支持阶段，OpenSSL 3.x 的普及度还不高。

北非的一家小零售商，北美的一家电信供应商，两个不同宗教组织。它们有什么共同点？它们都运行着有配置问题的微软服务器，被用于放大 DDoS 攻击。DDoS 放大攻击非常受网络罪犯的欢迎，它可以大幅减少发动攻击所需的计算资源。最早的放大攻击是利用错误配置的 DNS 服务器，能将攻击流量放大 54 倍。最新的这起放大攻击利用的是衍生自微软的 Connectionless Lightweight Directory Access Protocol（CLDAP）协议，使用 UDP 数据包。DDoS 攻击者从 2017 年开始利用该协议将攻击流量放大 56-70 倍。当时暴露在公网中有 CLDAP 服务器有数万台。安全研究人员跟踪了其中 4 台服务器，发现最具破坏性的一台属于身份未知的宗教组织，从 7 月到 9 月，它四次产生的攻击流量超过 10Gbps，一次接近 17Gbps。

内部文件泄露了伊朗是如何跟踪和控制抗议者的手机的。伊朗使用名叫 SIAM 的蜂窝网络计算机系统，为手机运营商提供了一系列远程命令去改变、破坏和监视客户如何使用其手机。这些工具可以减缓网络连接速度，破解呼叫加密、跟踪个人或大群体的移动，提供了详细的元数据揭示谁何时何地和谁通话。SIAM 的内部文件来自于手机运营商 Ariantel，由一位自称入侵了 Ariantel 公司的黑客提供，鉴于目前正在发生的抗议活动，这位黑客认为公开文件符合公众利益。

VMware 修补了一个影响其 VMware Cloud Foundation 和 NSX Manager 产品的高危漏洞，该漏洞允许未经授权的黑客以最高的系统权限执行恶意代码。该漏洞编号为 CVE-2021-39144，危险等级 9.8/10，存在于 Cloud Foundation 个 NSX Manager 依赖的 XStream 开源库中，因为危险是如此之高，VMware 不同寻常的为不再支持的版本发布了补丁。该漏洞是由 Source Incite 的安全研究员 Sina Kheirkhah 和 Steven Seeley 发现的，他们同时发布了漏洞利用的 POC 代码。

Google 释出了紧急更新修复了一个正被利用的 Chrome 桌面浏览器 0day。该高危漏洞编号为 CVE-2022-3723，位于 Chrome V8 Javascript 引擎中，属于类型混淆漏洞。Avast 的安全研究人员向 Google 报告了这一漏洞。Google 没有披露漏洞细节，它建议用户立即更新到版本 107.0.5304.87/88。它要等待大部分用户都更新之后才会披露细节。这是今年内 Google 修复的第 7 个 0day——前 6 个是 2 月 14 日的 CVE-2022-0609、3 月 25 日的 CVE-2022-1096、4 月 14 日的 CVE-2022-1364、7 月 4  日的 CVE-2022-2294 、8 月 17 日的 CVE-2022-2856 和 9 月 2 日的 CVE-2022-3075。

UC Irvine 的三位研究人员在 arXiv 上发表了一篇预印本，描述了一种扩散致命病原体的新颖攻击。为了防止致命病原体泄露，生物实验室或传染病控制医院会要求使用名为负压室（Negative Pressure Room 或 简写 NPR）的设备，其内部维持负压，将微生物控制在 NPR 内部。实验室或医院会使用差压传感器（DPS）去监视和控制 NPR 的负压。研究人员报告，他们可以利用流行音乐在 DPS 中制造共振导致其读数超标，使其负压变成正压，导致潜在致命的病原体从 NPR 设备中泄露出来。研究人员在一个未具名的生物研究机构演示了他们的攻击。

澳洲保险公司 Medibank 证实在最近发生的勒索软件攻击中黑客访问了所有客户的个人信息和部分索赔数据，其中包含了它的所有国际学生客户。Medibank 是澳大利亚最大的私营健康保险公司之一，有逾 370 万客户。10 月 12 日它检测到了勒索软件攻击并立即关闭了部分系统。它最初发表声明称黑客在加密系统前就被阻止了，没有证据表明客户数据被盗。但在数天之后勒索软件黑帮联络该公司，表示窃取了 200 GB 的数据并提供了 100 个文件样本作为证据。在随后的调查中 Medibank 发现所有客户个人数据都被访问了。

伊朗原子能机构周日指控黑客组织入侵了一家子公司的网络，访问了电邮系统。同一天一个匿名黑客组织宣称对攻击负责，要求伊朗释放最近因为抗议而逮捕的政治犯。这个自称 Black Reward 的黑客组织称它泄露了 50GB 的内部电邮、合同和与位于 Bushehr 的核电站相关的施工计划。它通过其 Telegram 频道上分享了文件。暂时还不清楚其中是否包含机密材料。

卡塔尔世界杯将于 2022 年 11 月 20 日至 12 月 19 日举行，期间前往卡塔尔的人都需要下载安装两个应用—— Ehteraz 和 Hayya，Ehteraz 是 covid-19 追踪应用，Hayya 是世界杯官方应用，用于跟踪比赛门票和访问免费地铁。Ehteraz 和 Hayya 都被指存在安全隐私问题，被认为是间谍软件。Ehteraz 要求访问读取、删除或更改手机所有内容的权限，连接 WiFi 和蓝牙、覆盖其他应用和防止手机进入睡眠模式的权限。Hayya 索要的权限没有那么多，但也要求几乎不受限制的分享个人信息，以及定位和防止睡眠等权限。

赛门铁克的研究人员披露黑客组织 Winnti 入侵香港政府机构的网络长达一年时间。黑客使用了 Spyder Loader 后门的不同变种攻击目标，在感染的早期阶段 Spyder Loader 会加载 AES 加密的数据块创造下一阶段的有效负荷 wlbsctrl.dll。攻击者渗透之后还会部署窃取密码的恶意程序 Mimikatz 以更深入挖掘受害者的网络。研究人员认为攻击者的主要目标是收集情报。

名叫 YoWhatsApp 的 WhatsApp 非官方应用的新版本被发现会窃取用户账号的访问密钥。卡巴斯基研究人员发现，YoWhatsApp v2.22.11.75 会将用户的访问密钥发送到攻击者的服务器上。攻击者利用密钥可以接管账号、窃取私密通信信息和冒充用户。YoWhatsApp 主要通过视频下载器 Snaptube 做广告宣传。安全研究人员还发现了另一个 YoWhatsApp 克隆 WhatsApp Plus 通过 VidMate app 传播，包含有相同的恶意功能。虽然不是所有 WhatsApp 非官方应用都是恶意的，但尽量使用官方应用是更明智的做法。