微软周二释出的二月例行安全更新修复了 99 个漏洞，其中之一是上个月披露的 IE 0day 漏洞。另外 98 个中 11 个漏洞属于高危漏洞。大部分高危漏洞是远程代码执行和内存损坏，位于 IE 脚本引擎、Remote Desktop Protocol 远程桌面协议服务、LNK 文件、Media Foundation 组件中。Adobe 也在同一天释出了多个安全更新修复 Adobe Flash Player 等产品中的漏洞。

Emotet 是最具危险性的恶意程序之一，它能窃取银行账号，安装不同类型的其它恶意程序。最近其运营者被发现开始采用新的方法进行传播：通过相邻的 Wi-Fi 网络。它利用名为 wlanAPI 的 API 收集附近无线网络的 SSID、信号强度、加密方法如 WPA，然后使用一个常用用户名密码组合列表尝试登陆。如果成功登陆，被感染的设备会枚举所有连接到该网络的非隐藏设备，然后使用第二个密码列表去猜测连接设备的凭证。它还会尝试猜共享资源的管理员密码。如果它成功猜出连接设备的密码，那么它就会加载 Emotet 和其它恶意程序。弱密码用户最好修改密码使用强密码。

数十年来，全世界许多国家都依赖于瑞士公司 Crypto AG 制造的加密设备保护通信安全。但它们不知道的是，数十年来，Crypto AG 已被 CIA 和西德的情报机构秘密控制，控制了该公司的情报机构纂改了加密设备使他们能更容易的破解加密信息。《华盛顿邮报》和德国 ZDF 披露，这一行动先后有两个代号，分别为 Thesaurus 和 Rubicon。CIA 在其报告形容这是情报界的世界政变，外国政府甚至花更多的钱购买设备以获得优先权让它们最秘密的通信能被美国和德国阅读。从 1970 年起，CIA 和 NSA 就几乎控制了 Crypto AG 的方方面面，从招聘决策到设计技术、破坏算法和指导销售目标。之后美国和西德的间谍就坐享其成进行监听。在 1979 年人质危机期间他们监视了伊朗的毛拉，马岛战争期间向英国提供阿根廷情报，跟踪了南美独裁者的暗杀行动，抓捕对 1986 年柏林迪斯科舞厅爆炸事件进行庆祝的利比亚官员。它也有限制，苏联以及中国都没用过 Crypto AG 的设备。

安全公司 Sophos 报告，勒索软件 RobbinHood 正采用一种新颖的方法防止其在被感染设备上加密文件的操作被杀毒软件阻止。攻击者首先在受害者的网络内获得立足之地，然后安装合法的 Gigabyte 内核驱动 GDRV.SYS，这个驱动存在漏洞，攻击者能利用漏洞获得内核访问权限，利用内核访问权限攻击者临时禁用了 Windows OS 的驱动签名强制，之后安装恶意内核驱动 RBNL.SYS，使用这个驱动关闭杀毒软件或其它设备上运行的安全产品，执行 RobbinHood 加密文件。

安全公司 Armis 在思科私有的 Layer 2 网络协议 Cisco Discovery Protocol (CDP) 发现 5 个 0day 漏洞，这些漏洞允许远程攻击者完全控制设备，不需要任何用户交互。CDP 被用于发现本地连接的思科设备信息，思科的交换器、路由器、IP 电话和摄像头等几乎所有设备都使用了 CDP，并且默认启用了 CDP，漏洞影响数以百万计的设备。五个漏洞被统称为 CDPwn，其中四个是远程代码执行漏洞，第五个是拒绝服务漏洞。Armis 是在去年 8 月 29 日向思科报告了漏洞。

基于华为海思 SoC 的杭州雄迈数字录像机、网络录像机和网络摄像头设备所用的固件被发现存在漏洞或后门。存在漏洞的设备固件运行的都是 Linux 和一组 busybox 开源工具。busybox 采用的是 GPL 许可证，按许可证要求软件应该都应该提供源代码的，不提供源代码构成了对 GPL 的违反。漏洞设备会与 9530 端口进行通信，经过一系列程序可以激活 telnet daemon，使用硬编码的用户名密码组合如用户名 root 密码 xmhdipc 或 klv123、xc3511、123456、jvbzd 或 hi3518 登陆。

UNIX 和 Linux 操作系统广泛使用的工具 Sudo 又发现了一个高危漏洞，这个漏洞在启用了 pwfeedback 的系统中很容易利用。漏洞编号 CVE-2019-18634，是一个堆栈缓冲溢出 bug，影响 v1.7.1 到 1.8.25p1，能通过管理员权限触发，而在启用了 pwfeedback 的操作系统中，该漏洞让非特权用户很容易通过缓冲溢出获得 root 权限，不需要攻击者有 Sudo 使用权限。在 Sudo 上游版本中，pwfeedback 没有默认启用，但在下游发行版如 Linux Mint 和 Elementary OS 中，pwfeedback 被默认启用了。Ubuntu 不受影响。该漏洞是在 2009 年被引入到 Sudo 中的，直到 2018 年释出的 1.8.26b1，受影响的系统应尽可能快的更新到 1.8.31。

去年 12 月，安全研究员 Ibrahim Balic 披露他利用一个 Twitter Android app 漏洞匹配了 1700 万用户的手机号码。Twitter 的联络人上传功能会在上传通讯录之后返回匹配到的用户数据，也就是你可以知道一个随机生成的手机号码是否属于一位真实用户。现在，Twitter 发出警告，有第三方攻击者使用其官方 API 匹配用户名和手机号码。Twitter 称，它在调查 Ibrahim Balic 披露的安全漏洞期间发现有证据显示另外第三方也在利用该 API 漏洞，攻击者使用的部分 IP 地址与国家支持的黑客有关联。Twitter 表示，这一攻击只影响在设置页启用了“Let people who have your phone number find you on Twitter”的用户，没有提供手机号码的用户也不受影响。

路由器发行版 OpenWrt 披露了一个远程代码执行漏洞，OpenWrt opkg 包中的一个 bug 会导致包管理器忽略库索引嵌入的 SHA-256 校验和，事实上绕过了下载 .ipk 文件的完整性检查。由于 opkg 包以 root 权限运行，对整个文件系统具有读访问权限，意味着 .ipk 包嵌入的恶意负荷能执行任意代码。开发者已经释出了新版本修复了漏洞。

去年 5 月，计算机科学家披露了起名为 ZombieLoad 的 CPU 漏洞，该漏洞影响 2011 年之后发布的几乎所有英特尔处理器。和 Meltdown、Spectre  等漏洞类似，ZombieLoad 利用预测执行，去实现跨线程、权限边界和超线程的数据泄露。芯片巨人先后在去年 5 月 和 11 月释出了两次补丁去修复 Zombieload 漏洞。本周一，英特尔在安全通知中承认之前的修复并不充分，攻击者仍然能利用 Zombieload 泄露数据，它第三次释出了补丁。

ProtonMail 上周公开了旗下的 VPN 客户端 ProtonVPN 的源代码，包括了 Windows、macOS、Android 和 iOS 版本。ProtonMail 称，VPN 服务缺乏透明度和问责，是否有安全认证，是否遵守了隐私保护法律如 GDPR，公开所有应用程序的源代码是理所当然的下一步。ProtonVPN 的程序已经进过了  SEC Consult 的安全审计，Windows 版本的审计报告发现了两个低风险的漏洞；Android 版本发现了 4 个低风险漏洞，其中之一是不安全的登出；iOS 版本发现了 2 个中等风险的漏洞和 2 个低风险漏洞，最严重的漏洞是硬编码凭证和内存中包含有敏感数据。

美国国土安全部对一个 IE 漏洞发出警告，建议 IE 用户切换到 Microsoft Edge 或其它替代浏览器。该漏洞影响运行在 Windows 7、8.1 和 Windows 10 上的 Internet Explorer 9、10 和 11。微软通常要等到下月例行更新时才会释出更新修复漏洞。根据软件巨人的安全警告，这是一个远程代码执行漏洞，与脚本引擎处理 IE 内存中的对象有关，攻击者可以利用该漏洞获得与当前用户相同的用户权限，也就是如果你是以管理员账号登陆，那么攻击者将能控制受影响的系统。微软警告用户不要点击陌生人发送的链接。

微软承认，它的客户支持内部数据库因 Azure 云服务错误配置在 2019 年 12 月 5 日到 31 日之间暴露在网上。一共有五台 Elasticsearch 服务器暴露，这些服务器储存了相同的数据，彼此充当镜像。数据库含有大约 2.5 亿条记录，包含了电子邮件、IP 地址和支持案例细节。微软称，绝大部分记录不包含任何用户个人信息。微软表示它已经开始通知受影响的客户，表示没有发现数据被恶意使用。

卫报援引匿名消息来源报道，亚马逊 CEO 贝佐斯（Jeff Bezos）在 WhatsApp 上收到沙特王储的信息之后手机遭到入侵。这一事件发生在 2018 年。知情人士称，贝佐斯与沙特王储萨勒曼（Mohammed bin Salman）在 WhatsApp 上有过一段时间的“友好”交流，然后在当年的 5 月 1 日沙特王储的账号向世界首富发送了恶意文件。数字取证分析认为，对手机的入侵很可能是一则恶意视频文件触发的。知情人士称，在入侵的数小时内，有大量的信息被提取出去。贝佐斯旗下的《华盛顿邮报》报道称，视频文件嵌入了以色列 NSO 公司开发的间谍软件 Pegasus，目标点击收到的文件链接之后就会被悄悄监视。报道称，贝佐斯和萨勒曼是在洛杉矶的一次晚宴中交换了手机号码，贝佐斯据报道有意在沙特建数据中心。数字取证专家是在贝佐斯的外遇以及与情人之间的交流信息被 National Enquirer 披露之后对其手机展开调查。调查认为，在手机被入侵之后沙特访问到了贝佐斯的大量私人信息。沙特美国大使馆否认了这一报道。

日本国防承包商三菱电机表示，受大规模网络攻击影响，个人及客户等信息可能外泄。据分析，中国网络黑客组织可能参与了攻击。遭到非法访问的电脑和服务器中没有包含关于防卫及电力、铁路等基础设施运用之类机密性高的信息，这些信息没有泄露。三菱电机表示，“未确认到”网络攻击导致的“受害及影响”。去年 6 月三菱电机国内服务器等设备被发现可疑迹象。公司实施内部调查，在总部･事业总部的大部分和总公司管理部门发现非法访问现象。据称由于非法访问的手法巧妙，调查持续至近期。

一名黑客泄露了 51.5 万服务器、路由器和物联网设备的 Telnet 密码。黑客称这些数据是通过扫描设备暴露的 Telnet 端口编辑而成，黑客尝试了 1）出厂时默认的用户名和密码；2）简单的密码组合。这些密码列表是一名 DDoS booter 服务的维护者公布在网上的，这名泄露者称他升级了 DDoS 服务，从物联网僵尸网络转到租赁云服务商的高吞吐服务器。

在 NSA 警告和微软披露了 Windows CryptoAPI(Crypt32.dll) 中的一个高危漏洞之后，安全研究员 Saleem Rashid 演示了利用漏洞的概念验证攻击。被称为 CVE-2020-0601 的加密库漏洞影响 Windows 10，Windows Server 2016 和 Windows Server 2019，可被用于欺骗网站、软件更新和 VPN 等的证书验证，将假的网站或更新识别为合法的网站或更新。问题涉及到 Windows 验证使用椭圆曲线加密（ECC）证书的有效性方法，存在漏洞的 Windows CryptoAPI 只验证三个 ECC 参数，未能验证关键第四个参数。该问题是微软的 ECC 实现导致的，并非是 ECC 加密算法本身有弱点。除了 Rashid 外，Kudelski Security 的研究人员也公布了漏洞利用，你可以访问这个网站检查 Windows 系统是否仍然存在漏洞。

微软本周二将释出例行安全更新，而 KrebsOnSecurity 援引知情人士的消息报道，微软将释出补丁修复一个影响所有版本 Windows 的加密组件高危漏洞。而在例行更新释出前，微软就悄悄向美国军方机构和管理互联网基础设施的高价值客户释出了补丁，为防止漏洞信息泄露，微软还要求这些机构签署了保密协议。消息源称，漏洞存在于加密组件 crypt32.dll 中，该模块用于处理 CryptoAPI 中的证书和加密消息函数。它存在高危漏洞将会影响到许多 Windows 重要功能，包括Windows 桌面和服务器之间的验证，敏感数据保护，以及第三方应用和工具。

研究人员报告，美国政府补贴低收入用户的 Android 手机被发现预装了难以移除的恶意程序。Virgin Mobile Assurance Wireles 项目的 UMX U686CL 手机以 35 美元的价格提供给合格用户。Malwarebytes 的研究人员在手机上发现了无需用户同意就能安装广告和其它不想要应用的恶意程序 Android/Trojan.Dropper.Agent.UMX。恶意程序隐藏在系统设置应用中，普通用户事实上不太可能将其卸载。研究人员发现的另一个潜在恶意应用是用于升级的 Wireless Update，它提供了机制无需用户同意安装不想要的应用，它是 Adups 的变种。上海广升信息技术有限公司的 Adups 在 2016 年被发现悄悄收集了用户数据。

Mozilla 释出了 Firefox v72.0.1 和 ESR 68.4.1，紧急修复了一个正被利用的漏洞。该漏洞属于类型混淆，影响 IonMonkey，它是 Firefox JS 引擎 SpiderMonkey 的 JIT 编译器。该漏洞由中国安全公司奇虎 360 发现和报告，细节没有披露。该公司在一则已删除的推文中称，IE 也有一个 0day 漏洞也正被利用。这是 Mozilla 在过去一年修复的第三个 0day 漏洞。