Linux 安全工程师 Andrey Konovalov 在本月举行的 POC 2024 安全会议上介绍了如何秘密关闭 ThinkPad 摄像头 LED 指示灯的方法。他开发的概念验证程序通过重刷 ThinkPad X230 摄像头的固件去关闭 LED 指示灯，在用户不知情下悄悄摄录像。今天大部分笔记本电脑都提供了摄像头盖子，可以在不使用时盖住摄像头。他的 Lights Out 源代码发布在 GitHub 上。

安全公司 ESET 的研究人员报告了第一个杀不死的 Linux UEFI Bootkit。该恶意程序被攻击者命名为 Bootkitty，相比 Windows 平台上的类似恶意程序，Bootkitty 相对简陋，关键底层功能不完善，主要感染 Ubuntu，感染其它 Linux 发行版的手段缺乏。安全研究人员猜测它可能是一个概念验证版本，尚未观察到实际感染证据。Bootkit 是一种感染固件的恶意程序，此类恶意程序无法通过格式化硬盘等常规方法杀死。最新发现意味着 UEFI Bootkit 不再只针对 Windows 操作系统。

美国联邦贸易委员会（FTC）的调查发现，89% 的智能设备制造商没有披露软件支持期限。调查主要针对 IoT 智能设备，没有包含笔记本电脑、PC、平板电脑和汽车。对 184 种联网设备——包括助听器、安全摄像头和门锁等——的调查发现，其中 161 种产品没有在网站上提供多长时间软件更新的信息。消费者保护局局长 Samuel Levine 表示：如果智能产品不再提供消费者想使用的功能，他们将面临巨大损失。FTC 警告制造商未能为售价超过 15 美元的保修产品提供软件更新信息可能违反了 Magnuson Moss Warranty Act。它还警告，如果企业虚假陈述其产品可用性期限，则可能违反 FTC Act。

微软最近通过 Windows Store 发布了墙纸应用 Bing Wallpaper，用 Bing 的每日图片更换用户的桌面背景。研究了该墙纸应用的开发者报告它含有类似恶意程序的功能。它会自动安装 Bing Visual Search，解密保存在其它浏览器的 cookie 代码，地理位置 Web API，它还会尝试将 Edge 设置为默认系统浏览器。如果默认浏览器不是 Edge，它会在稍后打开默认浏览器，要求启用之前安装的 Microsoft Bing Search for Chrome 扩展。

上个月《华尔街日报》报道称中国黑客入侵了美国的电信基础设施，本周《华盛顿邮报》和《纽约时报》公布了更多信息。黑客组织被称为 Salt Typhoon，他们能利用美国执法机构在电信基础设施中设置的后门去监听电话和阅读短信。黑客无法监听加密的内容，意味着支持端对端加密的应用如 Signal 和苹果的 iMessage 可能不受影响，但苹果设备和 Android 设备之间的短消息使用的端到端加密方式不同，可能容易被 Salt Typhoon 拦截。

安全公司 ESET 的研究人员发现了针对 Linux 的新后门 WolfsBane，与 APT 组织 Gelsemium aka “狼毒草”有关联。WolfsBane 被认为是 Gelsemium 使用的 Windows 后门 Gelsevirine 的 Linux 变种，Gelsemium 组织此前主要对东亚和中东的实体发动攻击。研究人员还发现了另一个 Linux 后门 FireWood，Gelsemium 此前使用过一个与之有关联的后门 Project Wood。

Ubuntu Linux 默认使用的 needrestart 工具发现了 5 个本地提权漏洞，该漏洞是在 2014 年 4 月释出的 needrestart v0.8 中引入的，刚刚释出的 v3.8 修复了漏洞。漏洞允许本地访问的攻击者将权限提升到 root。五个漏洞分别编号为 CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224 和 CVE-2024-11003。Needrestart 被用于识别包更新后需要重新启动的服务，确保服务运行最新版本的共享库。

在披露严重远程代码执行(RCE) 漏洞后，友讯（D-Link）建议旧型号 VPN 路由器的用户淘汰和更换其设备。CVE 编号尚未分配，漏洞细节尚未披露，因为公开细节可能会导致漏洞被广泛利用。目前所知的是该漏洞属于缓冲溢出漏洞，会导致未经身份验证的远程代码执行。友讯警告，如果客户继续使用受影响的产品，连接路由器的设备也会面临安全风险。受影响设备包括：DSR-150（2024 年 5 月终止支持)，DSR-150N (同上)，DSR-250(同上)，DSR-250N(同上)，DSR-500N (2015 年 9 月终止支持) 和 DSR-1000N (2015 年 10 月终止支持)。

间谍软件公司如何运营其业务？向客户出售间谍软件之后就置身事外，还是客户提供了监视目标之后由该公司植入恶意程序窃取情报之后交给客户？根据 WhatsApp 诉 NSO Group 案件本周公布的文件，间谍软件的运营完全由该公司而不是其客户完成。Meta 旗下的消息应用 WhatsApp 在 2019 年对以色列公司 NSO Group 提起诉讼，指控它在 2019 年 4 月 29 日到 5 月 10 日之间利用 WhatsApp 服务漏洞帮助客户入侵了至少 1400 名用户的手机。NSO 的客户包括了沙特阿拉伯、迪拜、印度、墨西哥、摩洛哥和卢旺达等国。WhatsApp 控诉的一个核心依据是运营间谍软件的是 NSO 而不是其政府客户。NSO 则坚称它不知道客户的目标，其产品旨在预防严重犯罪和恐怖主义，客户有义务不滥用间谍软件。根据 NSO 员工的证词，客户只需输入目标的电话号码，其余则由系统自动完成。换句话说，间谍软件的运行不是客户操作的。通过设计和持续更新其间谍软件 Pegasus，NSO 独自决定了访问 WhatsApp 服务器窃取目标手机上的信息。

2022 年 4 月，哈萨克斯坦政府暴力镇压全国抗议活动四个月后，网络安全研究人员发现当局在智能手机上部署间谍软件去窃听公民。间谍软件不是由哈萨克斯坦政府开发的，也不是来自以色列，而是来自于意大利公司 RCS Labs。根据 Wikileaks 在 2015 年公开的文件，RCS 与巴基斯坦、智利、蒙古、孟加拉国、缅甸、越南和土库曼斯坦的军方和情报机构打过交道。安全专家称，意大利有六家大型的间谍软件供应商，以及很多小型的相关企业。以色列间谍软件公司如 NSO Group 以开发先进的零点击间谍软件闻名，意大利公司则专注于廉价工具，因此不那么引人注目。因缺乏监管，意大利的间谍软件便宜且使用频率高。意大利记者 Riccardo Coluccini 称，当局最近几年执行了数千次间谍软件行动。

亚马逊证实在第三方供应商发生安全事故后其员工信息遭到泄露。亚马逊表示它以及 AWS 是安全的，没有发生安全事故。亚马逊称它收到通知，其物业管理供应商发生了安全事故，影响亚马逊在内的多个客户，泄露的员工信息与工作相关，如工作电邮地址、办公桌电话号码和建筑位置。敏感信息如社会安全号码或财务信息未受影响。此前有黑客在论坛 BreachForums 发帖称拥有逾 280 万行从亚马逊窃取的数据，这些数据是在去年的 MOVEit Transfer 安全事件期间盗取的。

友讯（D-Link）证实不会修复旧型号 NAS 设备的高危漏洞，它称已停止制造 NAS 设备，相关设备都已经终止支持。受影响的型号包括 DNS-320 Version 1.00、DNS-320LW Version 1.01.0914.2012、DNS-325 Version 1.01 和 Version 1.02，以及 DNS-340L Version 1.08。编号为 CVE-2024-10914 的漏洞是一个命令注入漏洞，风险等级 9.2/10，存在于 cgi_user_add 命令中，其 name 参数的数据清洗处理不充分。通过向设备发送特制 HTTP GET 请求，攻击者能利用漏洞注入任意 shell 命令。搜索显示有逾 6 万台联网友讯 NAS 设备受到该漏洞影响。友讯建议退役这些设备或者将其脱离公网。

英特尔工程师 Dave Hansen 递交了一则 RFC 补丁，建议内核维护一个针对每个英特尔 CPU 系列的最新微码列表，如果 CPU 运行旧版本的微码，那么将会被视为存在漏洞而对用户发出警告，但这并不会阻止旧版本微码的 CPU 继续工作。微码通常被用于缓解 CPU 问题，其中很大一部分问题与安全相关。Hansen 认为如果系统运行旧版本的微码，那么你就无法相信系统是安全的，所以运行旧版本微码的系统就被视为存在漏洞。

法国施耐德电气公司证实正在调查一起网络安全事件，而勒索组织 Hellcat 宣称它窃取了逾 40 GB 的压缩数据，要求该公司以法棍支付 12.5 万美元赎金，否则其敏感的客户和运营信息将被泄露。施耐德拒绝置评与法棍或加密货币支付赎金的相关报道，只声明其产品和服务未受影响。Hellcat 组织称它是通过施耐德的 Atlassian Jira 系统访问了其基础设施。这是施耐德电气在不到两年时间内第三次遭到入侵。

Windows 10 即将于 2025 年 10 月 14 日终止支持，之后微软不再提供安全更新。根据 Statcounter 的统计，截至 2024 年 10 月，Windows 10 仍然是市场占有率最高的 Windows 版本，Windows 10 占 60.97%，之后是 Win11 35.55%，Win7 2.62%，Win8.1 0.31%，WinXP 0.28%，Win8 0.19%。Windows 10 的份额在逐月下降，但到明年 10 月它的用户群仍然会十分庞大，大部分不太可能会升级到 Windows 11（该版本提升了硬件需求）。对于这些用户，微软将向他们提供一次性的为期一年的扩展安全更新，费用为 30 美元。

微软警告，俄罗斯情报机构正利用远程桌面协议(RDP)发动大规模钓鱼攻击。这一攻击最早是在 10 月 22 日发现的，其目标是政府、非政府组织、学界和国防机构。攻击者被命名为 Midnight Blizzard aka APT29 和 Cozy Bear，被认为隶属于俄罗斯对外情报局(SVR)。攻击者向 100 多个组织的数千人发送了钓鱼邮件，邮件附件包含了 RDP 配置文件。一旦受害者运行配置文件，会建立与 Midnight Blizzard 所控制系统的 RDP 连接，攻击者可利用配置文件窃取大量信息。

X.Org 项目披露了两个安全漏洞，其中之一的 CVE-2024-9632 是一个本地提权漏洞，在代码库中已存在 18 年之久。CVE-2024-9632 是于 2006 年在 X.Org Server 1.1.1 版本中引入的，影响 X.Org Server 和 XWayland。通过向 X.Org Server 提供一个修改的位图，可能会诱发堆缓冲溢出提权。问题存在于 _XkbSetCompatMap() 中，源于未能正确更新堆大小，如果 X.Org Server 以 root 运行或通过 SSH 用 X11 进行远程代码执行，可能导致本地提权。

微软资深安全工程师 Ross Bevington 在 BSides Exeter 信息安全会议上分享了该公司利用现已退役的 code.microsoft.com 创建蜜罐，大规模欺骗钓鱼者，消耗钓鱼者的时间，跟踪钓鱼者使用的策略。Bevington 的团队创建了信息足以以假乱真的数千蜜罐账号，根据 Defender 识别的钓鱼域名主动访问钓鱼网站，输入蜜罐账号，然后观察钓鱼者登录蜜罐账号，用日志记录其一举一动。他们收集的情报包括 IP 地址、浏览器、位置、行为模式、是否使用 VPN 或 VPS，以及依赖的网络钓鱼工具包等。这种欺骗技术会消耗攻击者 30 天的时间，然后对方才会意识到入侵了虚假环境。收集的情报可用于创建更好的防御策略。

在四起车祸其中包括一次致命车祸之后，汽车安全监管机构美国国家公路交通安全管理局(NHTSA)开始调查特斯拉的 Full Self-Driving（FSD）软件。Full Self-Driving 并不是其名字意义上的全自动驾驶软件，它仍然是辅助驾驶软件，且其在功能上受限于使用的硬件（它主要依赖于摄像头而没有使用激光雷达等其它传感器）。NHTSA 表示，四起车祸中 FSD 都启用了，事故发生时天气处于太阳眩光、雾或灰尘等低能见度状况下。2023 年 11 月，亚利桑那州 Rimrock 市的一名行人在被一辆 2021 年型号的特斯拉 Model Y 撞倒后死亡。另一起正在调查的车祸据报发生了受伤状况。

中国网络空间安全协会发表了一篇文章《漏洞频发、故障率高 应系统排查英特尔产品网络安全风险》，列举了英特尔产品的多个问题，包括 CPU 侧信道漏洞，第 13、14 代高端酷睿桌面处理器不稳定性问题，IPMI（智能平台管理接口），ME（管理引擎）等等，建议对英特尔在华销售产品启动网络安全审查，切实维护中国国家安全和中国消费者的合法权益。英特尔官方微信发表声明，作为一家在华经营近 40 年的跨国公司，英特尔严格遵守业务所在地适用的法律和法规。“英特尔始终将产品安全和质量放在首位，一直积极与客户和业界密切合作，确保产品的安全和质量。我们将与相关部门保持沟通，澄清相关疑问，并表明我们对产品安全和质量的坚定承诺。”