安全研究人员发现了至少五种 COVID-19 主题的恶意程序，其中四种设计是去破坏被感染的计算机，删除文件或覆写主引导记录，还有一种可能只是测试或恶作剧。第一种能覆写主引导的新冠恶意程序是 MalwareHunterTeam 发现的，名字就叫 COVID-19.exe；第二种则伪装成勒索软件，但其主要功能是窃取密码。MalwareHunterTeam 还报告了数据删除的新冠主题恶意程序，其中一种使用中文文件名，可能设计针对中文用户，还不清楚这种恶意程序是否广泛传播或只是测试。

安全研究员报告，流行的路由器发行版 OpenWRT 容易受到远程代码执行攻击，原因是它的更新是通过未加密渠道传输的，其数字签名验证很容易绕过。OpenWRT 被广泛用于路由器和其它嵌入式系统，安全研究员 Guido Vranken 发现它的更新和安装文件是通过 HTTP 连接传输的，容易受到中间人攻击，攻击者可以用恶意更新文件去替换合法更新文件。除此之外，它的数字签名检查和验证也很容易绕过，验证函数 checksum_hex2bin 存在 bug，在输入字符串前加空格可绕过检查，该 bug 是在 2017 年 2 月引入的。组合这两个弱点攻击者可以向设备发送恶意更新并自动安装。OpenWRT 维护者已经释出了更新部分修复了问题。

万豪发表声明，表示再次发生了客户信息泄露事故。万豪称，它在 2 月底发现了两名雇员的登陆凭证被用于访问了大量客户信息。这一活动始于 2020 年 1 月中旬，它迅速禁用相关登陆凭证，立即展开了调查。调查还在继续，目前所知有大约 520 万客户的信息泄露，泄露的信息包括了姓名、地址、电邮地址和电话号码等联络信息，账号和积分余额，以及企业、性别和生日等个人信息，客房偏好等。它没有发现账号密码或 PIN 码，支付卡信息、身份证或驾照等敏感信息泄露。万豪曾在 2018 年报告它旗下的喜达屋酒店预订系统遭到非法访问，非法访问的时间长达四年之久，多达五亿客户的信息泄露。

Google 报告，它在 2019 年向用户发出了大约 4 万次国家支持黑客攻击的警告。受到攻击的账号所有者主要为政府官员、记者、异议人士和地缘竞争对手。这一数字比 2018 年下降了约四分之一，部分原因是新的安全保护措施，而黑客则更有针对性的选择攻击对象。收到超过一千次警告的国家包括了美国、印度、巴基斯坦、韩国和日本。发动攻击的黑客被认为主要来自伊朗和朝鲜以及俄罗斯。Google 特地举了俄罗斯黑客组织 Sandworm 的例子，Sandworm 被认为发动了至今影响最严重的攻击，包括攻击乌克兰的电力设施，导致了两次严重断电事故。

最大的暗网托管商 Daniel's Hosting 再次被黑，数据库被删除，托管的 7600 个网站全部下线。它上一次被黑发生在 2018 年 11 月，这一次发生在 3 月 10 日，站长 Daniel Winzen 在一份声明中称，攻击者访问了服务的后端，删除了所有托管相关的数据库，攻击者随后还删除了 Winzen 的数据库账号，创建了一个新的账号。Winzen 是在第二天发现入侵的，但为时已晚。他的服务设计没有备份——如果有备份的话托管商可能会收到法庭的传票，如果其托管的某个网站遭到调查的话——意味着数据无法恢复。Winzen 表示他不知道黑客是如何入侵的，表示现在忙其它项目，没时间调查。

Github pages 可能遭遇中间人攻击。中国 IP 访问会显示一个无效的证书，域名所有者使用了一个腾讯的邮箱“346608453@qq.com”，Github 显然不可能会用腾讯邮箱。使用境外 IP 访问则返回了 DigiCert 签发的有效证书，使用的名字都是 GitHub。目前不清楚中间人攻击范围有多大。

Google Play 应用商店虽然会预先对应用进行安全扫描，但还有部分恶意应用能逃避检测上架供用户下载。安全公司 Check Point 的研究人员发现了 56 个应用包含有恶意程序 Tekya，其中 24 个应用是面向儿童的。Tekya 用于生成欺诈性点击。Google 在收到举办之后移除了所有 56 个应用。这些应用被下载了大约 170 万次。杀毒软件公司 Dr.Web 报告了另一个未被发现的恶意应用，它被下载了 70 多万次，包含了恶意程序 Android.Circle.1，具有广告软件和欺诈性点击功能。

微软警告黑客正在利用一个 Windows 0day 漏洞去执行恶意代码。漏洞存在于 Adobe Type Manager Library 中，这个 DLL 文件被应用广泛用于管理和渲染 Adobe Systems 的字体。它由两个代码执行漏洞构成，可以通过不正确处理 Adobe Type 1 Postscript 格式的恶意主字型触发。攻击者诱骗目标打开恶意文档或在 Windows 预览面板浏览文件来利用该漏洞。在补丁释出前，微软建议用户禁用 Windows Explorer 的 Preview Pane 和 Details Pane，或禁用 WebClient 服务，重命名 ATMFD.DLL。采用这些权益方法可能会导致其它问题。

路透社援引知情人士的消息报道，本月初精英黑客试图侵入世界卫生组织(WHO)。WHO 信息安全官员 Flavio Aggio 表示，黑客的身份尚不清楚，而且没有成功侵入。但是他警告说，在 WHO 及其伙伴忙着控制新冠疫情之际，这些黑客侵入企图升高。黑石法律集团律师、网络安全专家Alexander Urbelis 率先披露有黑客侵入 WHO。Urbelis 表示，他掌握到 3 月 13 日左右，他一直关注的一群黑客激活了一个模仿 WHO 内部电子邮件系统的恶意网站。Aggio 证实，Urbelis 发现的这个网站被用来试图窃取多个工作人员的密码。

对于黑客在暗网出售 5.38 亿微博用户信息，新浪微博的回应是，泄漏的手机号是 2019 年通过通讯录上传接口被暴力匹配的，其余公开信息都是网上抓来的，并表示这起数据泄露不涉及身份证、密码，对微博服务没有影响。社交 app 多有通过通讯录匹配好友的功能。攻击者可以伪造本地通讯录来获得手机号到微博用户账号的关联。比如先伪造通讯录有 xxxx00001 到 xxxx010000 手机号匹配好友，再伪造 xxxx010001 到 xxxx020000 手机号匹配好友，不断列举，就能关联出微博 id 到手机号的关系。新浪微博表示已经上报给司法机关，称部分用户使用了和其他平台相同账号密码，可能导致其微博账号面临被盗的风险。但黑客出售的信息包括了性别、位置等非公开信息，这些信息无法通过 API 匹配通讯录返回。这些微博用户数据究竟来自何处引发了很多担忧。

安全研究人员报告，台湾合勤（Zyxel）和利凌（LILIN）所生产 DVR 设备的高危漏洞正被攻击者利用去组建僵尸网络发动分布式拒绝服务攻击。奇虎 360 的研究人员称，从 2019 年 8 月 30 日起，多个攻击团伙使用 LILIN DVR 0-day 漏洞传播 Chalubo，FBot，Moobot 僵尸网络。LILIN 0-day 漏洞主要包括：硬编码登陆账号密码，命令注入漏洞和任意文件读取漏洞。奇虎在 2020 年 1 月 19 日联络了 LILIN，2 月 13 日 LILIN 释出了新版固件修复了漏洞。Palo Alto Networks 的研究人员报告合勤 NAS 设备预认证命令注入漏洞被利用安装 Mirai 变种 Mukashi。合勤的漏洞非常容易利用，其漏洞安全评分为 9.8/10。

因新冠疫情和旅行限制，Pwn2Own 黑客挑战赛春季版首次在虚拟环境中进行。参赛队伍提前向组织者发送漏洞利用代码，然后在所有参赛者在场的情况下组织者直播执行利用代码。在两天的比赛中，有六支团队设法入侵了 Windows、macOS、Ubuntu、Safari、Adobe Reader、Oracle VirtualBox，所有漏洞都立即报告给了相关企业。其中安全研究员 Amat Cama 和 Richard Zhu 组建的 Team Fluoroacetate 得到了九分赢得了比赛。大部分被利用的都是本地提权漏洞。

安全公司 Lookout 的研究人员披露间谍应用正在利用新冠疫情。其中一个应用叫 corona live 1.1，是合法应用 corona live 的木马版本，它内置了商业间谍软件 SpyMax，允许攻击者控制感染的设备。对该应用的分析显示，其开发还处于早期阶段，它有一个硬编码的控制服务器地址。在检查控制服务器域名时，研究人员发现它正被大约 29 个应用使用，所有这些应用都利用商业间谍软件监视终端用户。Lookout 还没有判断该应用是如何传播的，有多少设备被感染。

WordPress 作为最流行的博客平台，有着丰富的扩展和主题生态系统。然而主题和扩展也经常成为 WordPress 网站的安全隐患，原因是网站管理人员在安装扩展或主题之后就不再更新。当扩展或主题发现安全漏洞释出补丁后，很多 WordPress 网站被发现没有及时更新。现在，开发者正在为主题和扩展加入自动更新功能，一旦推送给用户，网站管理者将可以在管理面板配置主题和扩展的自动更新。WordPress core 早在 2013 年发布的 v3.7 起就引入了安全补丁自动更新机制。

本周早些时候，微软披露了 Server Message Block (SMB)v3.1.1 协议中的一个漏洞 CVE-2020-0796，允许攻击者在目标服务器和终端用户计算机上远程执行代码。SMB 服务被用于在本地和互联网上共享文件、打印机和其它资源，漏洞影响 Windows 10 v1903 和 1909，以及 Windows Server v 1903 和 1909。漏洞涉及到一个内核驱动的整数溢出和下溢，攻击者可利用特质恶意包去触发整数溢出或下溢。微软现在释出了紧急补丁 KB4551762 修复该漏洞。

微软发布安全公告，Server Message Block (SMB)v3.1.1 中的一个漏洞允许攻击者在服务器和终端用户计算机上执行代码。SMB 服务被用于在局域网本地和互联网上共享文件、打印机和其它资源。漏洞编号 CVE-2020-0796，影响 Windows 10 v1903 和 1909，以及 Windows Server v 1903 和 1909。微软尚未提供补丁，也没有透露它将何时释出补丁。微软发言人表示暂时无新信息与外界分享。微软表示，该漏洞可通过禁用压缩防止其被用于攻击 SMBv3 服务器，用户可通过 PowerShell 输入指令“Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force”关闭压缩。这并不能保护连接恶意 SMB 服务的客户端或服务器，但这一攻击将不会像蠕虫一样扩散。微软还推荐屏蔽用于发送 SMB 流量的端口 445。

杀毒软件通常以最高的系统权限运行，因此杀毒软件中的漏洞很容易影响到整个系统。捷克杀毒软件 Avast 的主进程是 AvastSvc.exe，运行权限 SYSTEM，它通过加载底层杀毒引擎去分析不能信任的数据。它的 JS 引擎被发现未沙盒化，它的任何漏洞都是高危的，很容易被远程攻击者利用。Google 安全研究员 Tavis Ormandy 在 GitHub 上公布了他的发现。他已经报告给了 Avast，但该公司至今还没有释出补丁修复，Avast 目前的应对之策是在修复前禁用了 JS 扫描功能。

研究人员披露了名叫 Load Value Injection（LVI） 的英特尔处理器新漏洞，能窃取英特尔 SGX（代表 Software Guard eXtensions）中储存的秘密信息。LVI 与 Meltdown 和 Spectre 等类似，都属于瞬态执行利用，源自于 CPU 的一项优化技术“预测执行”。与其它瞬态执行漏洞类似，LVI 只能缓解无法修复。SGX 能在内存中创建一个隔离的环境，使用强加密和硬件层的隔离确保数据和代码的安全，防止被纂改。研究人员演示了他们可以利用 LVI 漏洞窃取 SGX 保护的密钥。受影响的处理器包括了 Sandy Bridge 家族、Ivy Bridge 家族和 Haswell 家族等等，Ice Lake 不受影响。芯片巨人声称 LVI 在现实中很难利用。

安全公司火绒报告，2345 旗下“多特下载站”的下载器（高速下载）正在实施传播木马程序的恶意行为。用户下载运行该下载器后，会立即被静默植入一款名为“commander”的木马程序，该木马程序会在后台运行，并根据云控配置推送弹窗广告和流氓软件。即使用户关闭下载器，“commander”仍然会一直驻留用户系统。同时，该下载器还会释放病毒劫持用户浏览器首页，用以推广广告程序。截至目前，被“commander”木马程序静默推广的软件共有9款，包括趣压、拷贝兔、小白看图等，且这些被静默安装的软件与“commander”木马程序系同源流氓软件。它的一个模块被发现还检测当前 IP 所在城市，被检测的城市包括：北京、上海、广州、珠海、杭州、西安、马鞍山、苏州、武汉、天津、合肥。

比利时鲁汶大学和英国伯明翰大学的研究人员在汽车防盗控制器使用的加密系统中发现了漏洞。确切的说，研究人员是在丰田、现代和起亚实现的德州仪器加密系统 DST80 中发现了漏洞。黑客利用廉价的 Proxmark RFID 发射机在使用 DST80 的遥控钥匙附近可以收集到足够的信息去推断其密值，克隆遥控钥匙，关闭防盗系统启动汽车引擎。受影响的汽车型号包括丰田凯美瑞、花冠和 RAV4；起亚远舰、秀尔和锐欧；以及现代 I10、I20 和 I40。特斯拉 Tesla S 汽车也受到影响，研究人员在报告之后特斯拉已经释出了固件更新修复了漏洞。