过去几天，黑客利用了两个最近披露的 Salt 漏洞入侵了 LineageOS、Ghost 和 DigiCert 的服务器。Salt 是是一个监视和更新服务器状态的开源配置工具。上周安全公司 F-Secure 的研究人员披露了两个漏洞 CVE-2020-11651 和 CVE-2020-11652，允许远程攻击者绕过身份验证和授权控制，以 root 权限执行命令，它们是最高危的漏洞，CVSS 评分 10/10。负责 Salt 开发的 SaltStack 已在上周释出了补丁修复了漏洞。LineageOS 是一个非常受欢迎的 Android 社区发行版，开发者表示对其服务器的攻击发生在周六晚上八点左右（美太时间），在攻击者未进行任何破坏前就被发现，源代码以及相关构建未受影响。与主基础设施隔离储存的签名钥匙也未受影响。

安全研究员 Gabi Cirlig 半开玩笑的说小米手机是带手机功能的后门。他发现小米公司在该公司生产的手机上收集了惊人的数据，这些数据被发送到小米在世界各地租用的服务器上。小米手机默认的小米浏览器会记录用户访问的所有网站，通过 Google 或 DuckDuckGo 的所有搜索查询词，在新闻源浏览的所有条目，即使使用隐身模式小米仍然会跟踪用户。手机还会记录用户打开的文件夹，切换的屏幕，包括状态栏和设置页。另一位网络安全专家 Andrew Tierney 展开了更进一步的调查，发现小米通过 Google 官方应用商店发布的浏览器 Mi Browser Pro 和 Mint Browser 会收集相同的数据。Cirlig 认为这是一起严重的隐私事件，有数以百万计的用户受到影响。小米的设备以低价但高配置著称，但用户付出的代价是隐私。对于这一发现，小米公司回应声称不真实。该公司发言人承认浏览器会收集数据，但表示数据是匿名收集的。

安全公司卡巴斯基报告，专业黑客组织至少从 2016 年就潜入到 Google Play，利用官方应用商店传播具有后门功能的恶意程序，悄悄窃取用户的敏感信息。 卡巴斯基识别了 8 个可上溯到 2018 年的应用，存档搜索和其它方法显示黑客组织至少从 2016 年起就潜入了 Google Play。恶意程序使用的指令控制服务器域名是在 2015 年注册的，代码和指令控制服务器与黑客组织 OceanLotus (aka APT32、APT-C-00 和 SeaLotus)有关联，因此研究人员相信这些恶意程序是专业黑客组织的作品。攻击者利用了多种方法避开 Google 的安全检查。一种方法是最初被接受的版本没有恶意功能，但后续的更新加入了后门。甚至最初的版本不需要权限，但利用隐藏的代码索要权限。Google 在收到报告之后已将这些应用移除。

安全公司 ZecOps 发表报告称，苹果设备的默认 iOS 邮件应用存在严重漏洞，已被黑客利用发动攻击。ZecOps CEO Zuk Avraham 表示，他发现证据显示，这一漏洞至少在六起网络入侵事件中被利用。苹果发言人承认，iOS 邮件应用存在漏洞，该公司已经开发了一个修复程序，将在即将发布的更新中推出。研究显示，漏洞可以远程触发，在对高端用户的黑客攻击中已经被利用。Avraham 表示，黑客需要先通过邮件应用程序向受害者发送一封表面看空白的电子邮件，强制设备崩溃并重置。这样的崩溃就为黑客窃取设备上照片和联系人详细信息等其他数据打开了大门。

安全公司 QuoIntelligence 报告，中国黑客组织尝试入侵《仙境传说》开发商韩国重力社的内部网络。攻击发生在今年初，尚不清楚是否成功。发动攻击的黑客组织被称为 Winnti (aka APT41、BARIUM、Blackfly)。安全公司称，他们从恶意程序中提取出的配置文件里发现了字符串 0x1A0: GRAVITY。安全研究人员认为这针对的是韩国《仙境传说》开发商重力社（Gravity Co., Ltd.）。Winnti 此前还对其它游戏公司发动过攻击。安全公司认为中国黑客组织是在空闲时间攻击游戏公司搞副业。

OpenSSL 项目发布安全公告，披露了一个影响 OpenSSL v1.1.1d、1.1.1e 和 1.1.1f 的高危漏洞。该漏洞可被用于发动拒绝服务攻击。开发者称，在 TLS 1.3 握手期间或之后调用 SSL_check_chain() 函数的服务器或客户端应用可能会发生崩溃，原因是不正确处理 signature_algorithms_cert 扩展导致的空指针引用。受影响的 OpenSSL 1.1.1 版本需要尽可能快的升级到 1.1.1g。该漏洞是 Bernd Edlinger 发现的，他在 4 月 7 日报告给 OpenSSL 项目。两周内释出补丁称得上很迅速了。

边界网关协议 BGP 是互联网核心基础设施的组成部分，但过去几年 BGP 发生过许多次严重的路由泄漏，导致一个网络的流量被重定向路由经过其它网络。BGP 路由泄露有可能是失误造成的，但也有的因为频繁发生而被认为潜在具有恶意。BGP 的问题在于它过于信任收到的路由广播通告。名为 Resource Public Key Infrastructure (RPKI) 的安全系统试图解决这个问题，通过 RPKI 来确保路由通告是合法的。但有多少 ISP 部署了 RPKI？云服务商 Cloudflare 发布了名叫 Is BGP safe yet? 的在线工具测试 ISP 是否部署 RPKI。举例来说，测试显示，中国电信 AS4134 没有使用 RPKI，因此这个工具会显示 BGP 不安全。它还建议用户透过社交网络公布测试结果，通过“公开羞辱”的方式督促 ISP 采取行动确保 BGP 安全。Cloudflare 的做法不是所有人都认同。

ReversingLabs 的安全研究人员披露，他们在官方的 RubyGems 仓库中发现了 725 个 Ruby 库，包含了恶意程序去劫持用户的剪切板，然后设法窃取用户的数字货币。这一阴谋没有得逞，攻击者留下的钱包地址没有发生一笔交易。恶意文件是在 2 月 16 日到 25 日之间由两个账号 JimCarrey 和 PeterGibbons 上传到 RubyGems 仓库中的，在 ReversingLabs 团队通知 RubyGems 安全团队之后这些恶意文件在 2 月 27 日移除。 725 个 Ruby 库在命名上模仿了合法的库，都植入了名为 aaa.png 的文件，它不是图像而是一个 Windows PE 可执行文件。

《英雄联盟》开发商 Riot Games 的多人竞技新作《Valorant》吸引了广泛关注。竞技或多人游戏面临的一大难题是反作弊，《Valorant》是如何反作弊的？根据官方博客和 《Valorant》反作弊团队负责人在 reddit 上的回复，游戏安装了一个内核驱动，这个驱动在系统启动时就会运行，负责人声称驱动只在游戏运行时进行扫描，不会与服务器通信，不会收集或向 Riot Games 发送计算机信息。这名负责人表示，你必须相信他们，称驱动的安全性经过了多个内部团队的评估。然而类似 rootkit 的反作弊系统被认为是一大安全隐患，尤其是 Riot Games 还是腾讯旗下的公司。

在本周二释出的例行更新中，微软修补了三个正被利用执行恶意代码或提权的 0day 漏洞。其中两个 CVE-2020-1020 和 CVE-2020-0938 存在于 Adobe Type Manager Library 中，在非 Windows 10 系统中，成功利用漏洞的攻击者能远程执行代码；在 Windows 10 中，攻击者能在 AppContainer 沙盒中运行代码，虽然权限有限制，但仍然能创建账号，使用完整的用户权限安装程序，浏览、修改或删除数据。另一个 0day 漏洞 CVE-2020-1027，利用了 Windows 内核处理内存对象的漏洞进行提权。微软未提供利用漏洞进行攻击的细节。

从一家航空航天行业承包商窃取的内部机密文件被勒索软件攻击者泄露到网上。DoppelPaymer Windows 勒索软件感染了 Visser Precision 的计算机，窃取并加密了文件，索要赎金，当该公司未能在截至日期前支付赎金后，攻击者上传了窃取到的部分机密文件。Visser 的客户包括了很多业内知名公司如洛克希德马丁、波音、SpaceX、特斯拉、霍尼韦尔、Blue Origin 等等。泄露的内部文件与洛克希德马丁、波音、SpaceX 和特斯拉相关，其中包括了洛克希德马丁设计的军用天线规格，以及供应商信息、数据分析报告，账单和支付表格等。洛克希德马丁发言人表示它已知道这一情况。

安全公司报告，国内下载站西西软件园提供的开源编辑器 Notepad++ 被发现捆绑了恶意代码，而这个恶意脚本代码与勒索软件 WannaRen 有关联，该勒索软件可能通过国内下载站进行传播。在中文搜索引擎百度搜索 Notepad++，排在前几位的都是下载站，而不是官网 notepad-plus-plus.org，如果下载站的版本存在恶意代码，那么可能会有很多中国用户受到影响。

安全研究人员再次对难以删除的恶意程序 xHelper 发出警告。过去一年，xHelper 主要通过第三方应用商店在俄罗斯、欧洲和西南亚运行 Android 6 和 7 的设备上传播。一旦安装它就难以卸载了，即使设备恢复到出厂设置也无法清除它。当它伪装成合法应用安装到设备上之后，它会通过互联网下载一个木马收集信息，然后下载另一个木马，再利用一组漏洞利用代码获得设备的 root 权限。这组漏洞利用代码主要针对中国制造的 Android 6 和 7 的设备。获得 root 权限之后，恶意程序会挂载到启用写访问的操作系统分区，改变 mount() 函数代码，防止其遭到删除。要彻底删除 xHelper 可能需要完全抹掉设备上的文件，重新安装一个干净的版本，恢复出厂设置无法消灭它。

台湾行政院发布公告，要求限制使用 Zoom，原因是存在安全隐忧。提供远程会议服务的 Zoom 因疫情风行世界，但其安全问题也引起关注。台湾政府在公告中，如果因业务需求必须召开远程视频会议，不应使用有全疑虑的产品如 Zeom，优先使用国内产品。如果国际交流需要非本国产品，那么可以选择 Google 和微软的相关同类产品，在疫情期间这些产品都免费提供给用户使用。

微软以未披露的价格从 Mike O’Connor 手中收购了 Corp.com 域名。今年二月，O’Connor 以起售价 170 万美元拍卖 Corp.com 域名，引发了安全方面的担忧，原因是命名空间冲突——即内网使用的域名在外网能被正常解析。基于 Windows 的企业内网通过 Active Directory 进行集中式目录管理服务，其中一项叫 DNS name devolution 的功能允许内网机器通过简写访问其他机器或服务器上的资源。举例来说，一共享硬盘的完整名称是 drive1.internalnetwork.example.com，内网设备可输入 drive1 即可访问该硬盘，不用输入完整名称。Corp.com 的问题在于 Windows 早期版本的默认或示例 Active Directory 路径是 corp，很多企业没有修改就直接采用了这个设置。在机器普遍为台式机的时代，这么做没什么问题。但在企业普遍使用笔记本电脑的时代，这就产生了安全方面的问题，因为雇员可能会在外网使用公司的笔记本电脑。在连接外网的情况下，笔记本上的部分资源可能会尝试访问内网的 corp 域名，而 Windows 的 DNS name devolution 工作方式会导致它寻求访问 Corp.com 上的资源。谁控制了 Corp.com 域名就可以被动拦截许多企业计算机的私密通信。收购该域名的微软表示这可以更好的保护客户。

奇虎 360 安全博客披露，政府支持的黑客组织 DarkHotel 利用深信服 SSL VPN 服务器 0day 漏洞入侵了中国政府机构。有 200 多台深信服服务器遭到入侵，一百多台位于政府机构的网络内。攻击者入侵服务器之后，劫持了用户的更新程序，用嵌入后面的版本替换了合法版本。后门版本的 SangforUD.exe 使用了伪装成深信服的签名。位于意大利、英国、巴基斯坦、吉尔吉斯斯坦、印尼、泰国、阿联酋、亚美尼亚、朝鲜等地的中国海外机构遭到攻击。四月初，攻击扩大到了北京和上海的政府机构。

深信服发表声明，证实其 VPN 设备存在漏洞，攻击者正利用漏洞欺骗设备下载恶意的更新包。深信服称，它的 SSL VPN 设备 Windows 客户端升级模块签名验证机制存在缺陷。攻击者如果利用其它已知漏洞或弱密码控制设备之后可以纂改升级配置文件，将升级包下载指向攻击者控制的恶意文件和对应文件 MD5。当客户端检测到更新启动下载之后它会下载恶意的更新包，执行安装在设备上植入木马。深信服称受影响的版本为 M6.3R1 和 M6.1。

安全研究人员发现了至少五种 COVID-19 主题的恶意程序，其中四种设计是去破坏被感染的计算机，删除文件或覆写主引导记录，还有一种可能只是测试或恶作剧。第一种能覆写主引导的新冠恶意程序是 MalwareHunterTeam 发现的，名字就叫 COVID-19.exe；第二种则伪装成勒索软件，但其主要功能是窃取密码。MalwareHunterTeam 还报告了数据删除的新冠主题恶意程序，其中一种使用中文文件名，可能设计针对中文用户，还不清楚这种恶意程序是否广泛传播或只是测试。

安全研究员报告，流行的路由器发行版 OpenWRT 容易受到远程代码执行攻击，原因是它的更新是通过未加密渠道传输的，其数字签名验证很容易绕过。OpenWRT 被广泛用于路由器和其它嵌入式系统，安全研究员 Guido Vranken 发现它的更新和安装文件是通过 HTTP 连接传输的，容易受到中间人攻击，攻击者可以用恶意更新文件去替换合法更新文件。除此之外，它的数字签名检查和验证也很容易绕过，验证函数 checksum_hex2bin 存在 bug，在输入字符串前加空格可绕过检查，该 bug 是在 2017 年 2 月引入的。组合这两个弱点攻击者可以向设备发送恶意更新并自动安装。OpenWRT 维护者已经释出了更新部分修复了问题。

万豪发表声明，表示再次发生了客户信息泄露事故。万豪称，它在 2 月底发现了两名雇员的登陆凭证被用于访问了大量客户信息。这一活动始于 2020 年 1 月中旬，它迅速禁用相关登陆凭证，立即展开了调查。调查还在继续，目前所知有大约 520 万客户的信息泄露，泄露的信息包括了姓名、地址、电邮地址和电话号码等联络信息，账号和积分余额，以及企业、性别和生日等个人信息，客房偏好等。它没有发现账号密码或 PIN 码，支付卡信息、身份证或驾照等敏感信息泄露。万豪曾在 2018 年报告它旗下的喜达屋酒店预订系统遭到非法访问，非法访问的时间长达四年之久，多达五亿客户的信息泄露。