安全研究人员分析了廉价的中国产路由器 Jetstream、Wavlink 和 Winstar 等品牌，其中 Jetstream 由沃尔玛独家销售，他们发现路由器内置了后门，能远程控制，路由器甚至还运行了一个脚本列出附近的 wifi 网络并且能够连接那些网络。研究人员还发现攻击者正在积极利用后门，将存在漏洞的设备加入到 Mirai 僵尸网络。这些路由器看起来来自不同的中国公司，但由于三种路由器有着相同的利用链，以及根据雇员在 LinkedIn 上的信息，研究人员相信它们都来自同一家公司或来自同一家母公司。

在 Google 和 Mozilla 之后，Microsoft Edge 扩展商店也发现了假的恶意扩展。Edge 用户过去几天报告，他们用 Google 搜索时被重定向到其它网站，调查之后他们发现安装了伪装成合法扩展的假扩展，这些假扩展包括 NordVPN、Adguard VPN、TunnelBear VPN、The Great Suspender 和 Floating Player — Picture-in-Picture Mode。他们的名字和合法扩展相同，但并非由合法扩展的开发商发布到 Edge 扩展商店的。微软表示正对此展开调查，相关扩展已经从商店里移除。合法扩展开发商发现，除了在 Edge 商店发现冒牌扩展，他们在 Chrome Web Store 里也发现了冒牌货。

一组学者描述了被称为 LidarPhone（PDF） 的攻击，方法是将智能吸尘器转变成记录附近对话的麦克风。攻击原理是智能真空吸尘器内置的 Lidar（激光雷达）导航组件能转变成激光麦克风。研究人员在不同条件下对这项技术进行了测试，重点在于数据恢复的准确性。研究人员称他们设法达到了 90% 的精度。他们认为这项技术还可以根据其性别识别说话的人，甚至根据新闻节目播放的音乐判断政治倾向。这种攻击主要是理论上，实际应用需要很多前提条件，相比复杂的 LidarPhone 攻击有很多更简单的方法可以监视用户，比如手机上安装的恶意程序。

从去年发布的 macOS Catalina 起，苹果将 50 个应用加入到了防火墙的豁免名单中，即它们的网络流量不会路由经过防火墙。这一豁免直到防火墙在 Big Sur 中重写实现该变动才生效。安全研究人员对此提出了安全方面的担忧。安全研究人员 Patrick Wardle 演示了恶意程序如何利用这一机制绕过防火墙的流量屏蔽：防火墙屏蔽所有外出流量，但恶意程序可以设法与列入豁免中的应用进行交互去实现与外界继续通信。苹果还没有给出豁免这些应用的理由，它目前也尚未对此事发表声明。

赛门铁克发表报告，披露了一个中国黑客组织使用现成和定制工具在全球范围内发动攻击，但主要目标是日本公司。赛门铁克安全研究人员使用代码的名字将该组织命名为 Cicada，其它安全公司曾将该组织命名为 APT10、Stone Panda 和 Cloud Hopper。黑客大量使用 DLL side-loading 技术，用恶意版本替代 Windows DLL 文件，向合法进程注入恶意程序躲避安全软件的监测。黑客还使用了微软最近修复的一个安全漏洞 Zerologon。赛门铁克是根据恶意程序和攻击代码中发现的数字指纹将针对不同公司和机构的攻击关联到 Cicada。黑客使用的第三阶段 DLL 有一个输出命名为 FuckYouAnti，它还使用了一个开源后门工具叫 QuasarRAT。

HardenedLinux 写道 "近日Intel官方公开了CSME安全白皮书，这本手册中对于CSME的硬件SoC，软件，PCH内部fabric结构，密钥管理，代码模块，CSMEv14/v15中的安全特性以及相关Intel官方使用的标准化术语有更多的描述，这是自这个曾经被称为"RING -3世界的恶魔”问世14年以来Intel官方第一次正式公开CSME相关的文档，以前要获取类似文档需要签署冗长的NDA条款，虽然目前公开的材料已经无法阻止自由固件黑客和安全人员的研究，但本手册一定程度上增加了CSME的透明度。Intel ME历史悠久，AMT作为第一个Intel ME代码模块于2006年的Core 2系列引入，自从2008年开始的所有x86机型的PCH都运行着至少一种Intel ME实现并且无法关闭，多年来自由固件社区的黑客们没有停止过对Intel ME的研究，由于缺乏透明度，IME的研究工作只能通过黑盒测试和逆向工程进行，虽然这对研究工作的进展产生了极大的障碍，但持续长达数年之久的猎杀暗影行动还是发挥了超乎Intel预期的影响，在包含ME代码模块最小化，HAP以及INTEL-SA-00086等漏洞的曝光后，Intel正式给ME命名为Converged Security and Management Engine( CSME)，此后Intel以色列团队在BlackHat 2019上分享了CSMEv12的部分信息，这也是Intel团队唯一一次关于CSME的公开演讲。Intel ME自从问世以来就威胁到了用户的固件自由和隐私，其本身的设计和实现缺陷也被证实，从安全性的角度，虽然CSMEv14/v15对于自身防护有加强（注：CET的启用程度需要逆向工程后才能确认），但其闭源且不可审计依然威胁用户的固件自由。"

本月初日本知名游戏发行商 Capcom 透露第三方未经授权访问了它的内部系统，表示目前没有迹象显示客户信息泄露。本周一，Capcom 发表声明，证实遭到了勒索软件攻击，至多 35 万用户个人信息泄露，包括现雇员和前雇员，求助的客户，网站商店客户，电竞队成员，股东和应聘者。信息包括了名字、电话号码、地址和电邮地址，前和现雇员的护照信息等等。Capcom 称信用卡信息是由第三方处理的，应该是安全的。攻击 Capcom 的黑客组织自称 Ragnar Locker，它要求支付赎金以解密数据和防止信息外泄。该组织在其暗网网站上称，Capcom 没有做出正确的决定。这意味着 Capcom 决定拒绝支付赎金。

微软上周五称，俄罗斯和朝鲜政府黑客以研发新冠状疫苗的公司为攻击目标，部分攻击取得了成功。微软负责安全的副总裁 Tom Burt 称，有 7 家知名公司成为攻击目标，其中包括多家疫苗制造商其新冠疫苗正处于不同临床试验阶段，一家参与试验的临床研究组织，以及一家新冠检测测试的开发商。攻击目标位于美国、加拿大、法国、印度和韩国。发动攻击的一个黑客组织是俄罗斯的 Strontium，该组织尝试通过暴力破解密码的方式攻击储存有登陆凭证的服务器。两个朝鲜黑客组织 Zinc 和 Cerium 则使用钓鱼邮件发动钓鱼攻击。

两位安全研究人员披露了 TCL 制造的 Android 智能电视的两个漏洞，TCL 已通过遥测方法在 11 月初修复了这些漏洞。其中一个漏洞编号 CVE-2020-27403 允许邻近网络的攻击者通过运行在 7989 端口的 web server 访问和下载敏感文件，包括大部分系统文件、照片、个人数据和连接应用的安全令牌。另一个漏洞编号 CVE-2020-28055 位于 TCL 软件中，允许本地非特权用户读写文件系统内的重要供应商资源目录，其中包括升级文件夹。受影响的 TCL 智能电视多达数百万。

微软在周二释出了 11 月例行安全更新，修复了 112 个安全漏洞，其中 17 个为高危级。15 个微软产品受到影响，其中包括 Microsoft Windows、Office、Internet Explorer、Edge (EdgeHTML 和 Chromium 版)、ChakraCore、Exchange Server、Dynamics、Windows Codecs Library、Azure Sphere、Windows Defender、Teams、Azure SDK、Azure DevOps 和 Visual Studio。修复的一个漏洞是 Google 安全团队 Project Zero 在上月底披露的 Windows Kernel Cryptography Driver 漏洞(CVE-2020-17087)，该提权漏洞据信正被利用，因此 Google 提前进行披露。

研究人员找到了新方法远程窃取英特尔 CPU 的密钥，即使 CPU 启用了 SGX（software guard extensions）。最新的攻击被称为 PLATYPU，能通过 Running Average Power Limit（RAPL）远程利用发动旁路攻击。RAPL 是英特尔的接口，用于监控通过 CPU 和内存的能流。研究人员发现，利用 RAPL 能获得有关指令和数据流的足够多线索，从而推断出 CPU 加载的值，泄露 SGX 保管的加密密钥，挫败 ASLR（地址空间布局随机化），建立一个秘密通道悄悄窃取数据。英特尔始于 Sandy Bridge 架构的 CPU 都存在该漏洞。

中国白帽子黑客被限制参加国外的安全挑战赛如 Pwn2Own，于是他们创办了一个国内的比赛去展现自己的技艺。这个比赛叫天府杯，2018 年举办了第一届，第三届于上周末举行。在这次安全挑战赛上，运行在 iPhone 11 Pro 上的 iOS 14 、三星 Galaxy S20、Windows 10 v2004、Ubuntu、Chrome、Safari、Firefox、Adobe PDF Reader、Docker (Community Edition)、VMWare EXSi、QEMU、VirtualBox、普联和华硕的路由器等成功遭到攻陷。360政企安全漏洞研究院获得了最佳产品破解奖一等奖，蚂蚁安全光年实验室基础研究小组获得二等奖。

安全公司卡巴斯基发现了 Windows 勒索软件 RansomEXX 的 Linux 版本。这是首次一种规模比较大的 Windows 勒索软件被发现移植到 Linux 平台。RansomEXX 是一种较新的勒索软件，是在今年 6 月最早发现的，主要针对能支付大额赎金的目标。它的受害者包括了得州交通部、柯尼卡美能达、政府承包商 Tyler Technologies，蒙特利尔公交系统和巴西法院系统。RansomEXX 背后的运营者创建 Linux 版本是因为今天的许多企业其内部系统运行在 Linux 而不是 Windows 上。

隐私活动人士 Resynth1943 声称 GitHub 的源代码泄露。但 GitHub CEO Nat Friedman 迅速回应否认网站源代码泄露。Friedman 解释说，源代码意外公开的是 GitHub Enterprise Server，并非网站本身，虽然两者共享了一部分代码，但区别也很大。Friedman 称，它通常以混淆格式向客户提供 GitHub Enterprise Server 的源代码，但几个月前不小心向客户提供了非混淆的 GitHub Enterprise Server 代码。

Google 释出了 Chrome 的安全更新，修复了 10 个安全 bug，其中包括一个正被利用的 0day 漏洞。编号为 CVE-2020-16009 的漏洞是 Google 安全团队 Threat Analysis Group (TAG)发现的。漏洞位于 Chrome 的 JS 引擎 V8 中，Google 没有披露更多细节。它建议用户尽快升级到 v86.0.4240.183 版本。这是 Google 两周内修复的第二个 0day 漏洞，上次是在 10 月 20 日修复了 FreeType 字体渲染库的漏洞 CVE-2020-15999。

Google 安全团队 Project Zero 披露了一个正被利用的 Windows 0day 漏洞。因为该漏洞正被利用，Google 安全研究人员给了微软 7 天时间去修复，而微软可能需要等到 11 月例行安全更新时才可能修复漏洞。编号为 CVE-2020-117087 的漏洞位于 Windows Kernel Cryptography Driver (cng.sys)，是一个整数溢出漏洞，可用于提权，攻击者正组合该漏洞和另一个已修复的 Chrome FreeType 字体渲染库漏洞入侵存在漏洞的系统。微软发言人表示没有证据显示该漏洞正被广泛利用，该漏洞并不能影响加密功能。

Adobe Flash 将于 2020 年 12 月 31 日终止支持，微软释出了更新 KB4577586 永久性移除 Adobe Flash，在移除之后用户将无法再重新安装。该更新尚未通过 Windows Server Update Service (WSUS) 推送给用户，而是需要通过 Microsoft Update Catalog 下载和安装。该补丁将在 2021 年初通过 WSUS 提供给用户。微软在 Adobe Flash 终止支持前提供卸载补丁的一个目的是让企业级用户测试在 Windows 系统移除 Flash 对企业应用的影响。

研究人员提取出英特尔 CPU 微码更新的密钥。CPU 的微码更新主要用于修复安全漏洞和其它类型的 bug。拥有解密微码更新的密钥将允许黑客逆向工程，了解微码更新修复了哪些漏洞。它还可以允许攻击者创造恶意的微码更新，然后加载到 CPU 上，但由于缺乏签名，这种恶意微码更新在重启之后就会失效。独立研究员 Maxim Goryachy 与安全公司 Positive Technologies 的两名研究员 Dmitry Sklyarov 和 Mark Ermolov 合作完成了这一壮举，Goryachy 称这是英特尔处理器历史上第一次你可以执行你的微码和对微码更新进行分析。

美国俄勒冈州 Klamath Falls 市的一家医院 Sky Lakes Medical Center 在勒索软件攻击之后关闭了计算机系统。这是最新一起医院遭到勒索软件攻击的事件。在这之前，FBI、DHS 和美国卫生和人类服务部对医院和医疗机构面临大规模勒索软件攻击发出了警告。网络情报公司 Hold Security 的创始人 Alex Holden 声称他看到与俄罗斯勒索软件黑帮 Ryuk 有关联的犯罪分子在在线通信中透露他们计划对 400 多家美国医院发动勒索软件攻击。网络安全事故响应公司 Mandiant 称被称为 UNC1878 的黑客组织正在策划部署 Ryuk 勒索软件。

勒索软件攻击者入侵了芬兰提供心理和精神治疗的公司 Vastaamo，窃取了其客户数据库。攻击者索要价值 45 万欧元的比特币，如果 Vastaamo 不支付赎金它威胁公开患者的心理健康数据。勒索者从几天前开始在暗网网站以每天 100 人的速度公开数据，在公开了 200 多人之后它删掉了数据，很有可能是因为 Vastaamo 支付了赎金。对于支付赎金的询问 Vastaamo 拒绝证实或否认。