云服务商 Cloudflare 去年 4 月 1 日宣布了免费 DNS 服务 1.1.1.1，今年的同一天它宣布了 VPN 服务 Warp，用户现在可以通过 Cloudflare 的移动应用 1.1.1.1 注册该服务，它的基本版本是免费的，但也将提供一个付费版本 Warp+。Cloudflare 承诺它不会记录可识别用户身份的日志数据，不会销售用户浏览数据，不需要用户提供任何个人信息如名字、手机号码或电子邮件地址。Warp 使用的是设计替代 TCP 的 QUIC 协议。

亚马逊 CEO 贝索斯(Jeff Bezos)的一名安全顾问指责沙特阿拉伯侵入他的手机，获取这位世界首富的私人信息。贝索斯的安全负责人德贝克(Gavin de Becker)表示，沙特政府发起了一场针对贝索斯的行动。“我们的调查人员和多名专家以高度信心得出结论认为，沙特方面访问了贝索斯的手机，获取私人信息，”德贝克写道。他表示已将相关证据转交给联邦官员，但没有说明具体是什么证据，也没有进一步详细说明他的说法。德贝克表示，他在调查了《国民问询》以什么手段获得贝索斯和桑切斯(Lauren Sanchez)之间被泄露的短信之后，得出了沙特官方参与的结论。桑切斯是与贝索斯发生婚外情的女性。

在本周举行的 Black Hat Asia 会议上，安全研究人员演示了利用 Visualization of Internal Signals Architecture (VISA)查看芯片内部工作过程。VISA 是被称为 Trace Hub 的调试接口之一，它本身没有安全漏洞，但将它与其它提权漏洞组合利用，攻击者可以了解芯片组的内部工作，因此这个漏洞主要对想了解内部原理的研究人员和芯片设计师有用。

Google 安全工程师 Matthew Garrett 公开了普联（TP-Link）SR20 智能家庭路由器允许来自本地网络连接的任意命令执行漏洞。他在 90 天前就通知了普联，但至今没有收到任何回应，因此现在正式公开。他公开了 PoC 漏洞利用代码，允许用户在设备上以 root 权限执行任意命令。 Garrett 称，普联的设备调试协议 TP-Link Device Debug Protocol 以前就发现过多个漏洞，其中协议版本 1 不需要密码。他说，SR20 仍然暴露了部分版本 1 的命令，其中一些可作为配置验证。用户只需要发送一个文件名，一个分号和一个参数。路由器收到请求之后会将其导入到 Lua 解释器，以 root 权限运行，并将参数发送到导入文件的 config_test()函数。因为解释器有 root 权限，用户可以执行任意命令。不过由于默认的防火墙防止了网络访问，因此该漏洞只能在本地触发。

真正的匿名懦夫 写道 "继2016、2017年对特斯拉的研究后，腾讯科恩实验室在其博客公布了对特斯拉 Autopilot 系统的安全研究。研究报告中称，研究人员可欺骗神经网络，使用特定图片令雨刷误动作，并可误导车道保持系统，使汽车驶离车道。此外，研究人员还使用已经被披露的漏洞，获取 Autopilot 的控制权限，并用游戏手柄控制汽车行驶。特斯拉对其研究成果作出了褒贬不一的回应。 "

韩国 Korea Advanced Institute of Science and Technology Constitution(KAIST)的一组研究人员在 LTE 协议中发现了 36 个新漏洞。这些漏洞允许攻击者破坏基站，屏蔽对设备的传入呼叫，断开用户和移动网络的连接，发送欺骗性的短信，监听和操作数据流量。论文（PDF）预计会在 5 月举行的 IEEE Symposium on Security and Privacy 研讨会上发表。研究人员称他们一共在 LTE 协议中发现了 51 个漏洞，其中有 16 个漏洞已被其他研究团队发现。他们是使用模糊测试技术发现大量漏洞的。KAIST 团队表示，它已经通知了行业组织 3GPP 和 GSMA，以及基带芯片组供应商和网络设备供应商。

安全研究人员披露，思科 RV320 小型企业路由器允许用户生成证书生成的功能存在命令注入漏洞，研究人员利用流行的命令行工具 cURL 做了漏洞利用的概念验证攻击（PoC）。对于这款旧路由器，思科的工程师采用了最直接的方法去“修复”漏洞：屏蔽包含 cURL 的 User-Agent 的访问。对此，研究人员表示将在不久之后更新 PoC。

微软披露了华为笔记本电脑 MateBook 自带 PCManager 程序的驱动提权漏洞。华为已经在今年 1 月释出了补丁，如果你的华为笔记本电脑运行了最新版本，那么漏洞已经修复了。Windows version 1809 内置了新的监视功能去跟踪 DOUBLEPULSAR 类型的后门，DOUBLEPULSAR 是 NSA 以及恶意程序广泛使用的技术之一。微软监视到指示 DOUBLEPULSAR 后门的异步过程调用，但进一步的调查没有发现恶意程序，而是华为写的驱动。华为的驱动监视了 PCManager 的一个用户模式服务，如果该服务崩溃或停止运行，驱动将会重启它。为了执行重启，驱动向一个高权 Windows 进程注入代码，然后使用异步过程调用运行代码——这是恶意程序常用的技术。不清楚为什么华为要采用这种方法重启服务，因为 Windows 已经内置了重启崩溃服务的功能。除此之外，微软研究员还观察到驱动存在其它漏洞。

卡巴斯基研究人员公开了 ShadowHammer 攻击，攻击者通过入侵华硕自动更新工具的服务器，利用自动更新将恶意后门推送到客户计算机。华硕现在宣布了它释出了自动更新工具 ASUS Live Update 的新版本 3.6.8，加入了多个安全验证机制，防止软件自动更新或其它方式进行的任何恶意操纵，实现了一个端对端加密机制，加强了服务器到终端的软件架构，防止未来类似的攻击再次发生。华硕还发布了一个诊断工具，帮助华硕客户诊断是否感染了恶意后门。

世界最大期刊出版商之一的 Elsevier 被发现错误配置了其数据库，导致外界可以公开访问其订阅用户的密码和电邮地址，受影响的主要是世界各地的高校和研究机构。发现该问题的安全公司 SpiderSilk 称，大部分用户的电邮后缀是.edu，意味着要么是学生要么就是教师。Elsevier 在接到报告之后修复了问题，公司发言人声称没有发现数据被误用的迹象，表示会采取预防措施通知受影响的用户和重置账号密码。

安全公司卡巴斯基报告，黑客去年入侵了华硕自动更新工具的服务器，利用自动更新将恶意后门推送到客户计算机里，恶意文件有华硕的证书签名。华硕是世界最大的计算机厂商之一。研究人员估计，有 50 万用户通过华硕的自动更新收到了恶意后门，但攻击者只对其中 600 台计算机发动了针对性的后续攻击。攻击者是通过唯一 MAC 地址搜索目标的。一旦发现目标，后门会与攻击者控制的指令控制服务器连接，下载额外的恶意程序。卡巴斯基是在今年 1 月发现这一被命名为 ShadowHammer 的攻击，它计划在下个月新加坡举行的 Security Analyst Summit 会议上公布完整的技术报告。最新发现再次凸显了供应链攻击成为日益增长的威胁。卡巴斯基发现它有 5.7 万客户感染了后门，大部分都位于俄罗斯。

攻击者正利用两个广泛使用的 WordPress 插件漏洞入侵网站。两个受影响的插件分别是 Easy WP SMTP，有 30 万活跃安装；Social Warfare，有 7 万活跃安装。开发者都已经释出了补丁，但不是所有安装了插件的网站及时更新了补丁。漏洞利用允许攻击者在存在漏洞的网站创建假的管理员帐户。安全公司报告，两个竞争组织正在执行攻击，其中一个只限于创建管理员帐户，另一个创建管理员帐户之后会去改变网站将用户重定向到恶意网站。

沙特使用宿敌以色列的一家公司 NSO 集团的技术去打压异议人士这一事实，让我们得以窥见一个数字战争的新时代。这个时代几乎没有规则可言，是一个日益增长、如今已价值 120 亿美元的经济体，而间谍则是收钱办事。如今，即使是最小的国家也能购买数字间谍服务，这使它们得以实施曾一度专属于美国和俄罗斯这类大国的电子窃听或影响力行动。NSO 及竞争对手阿联酋公司 DarkMatter 是私营间谍行动普及的例证。这些公司不仅让政府可以对恐怖组织和贩毒集团这类犯罪分子进行黑客攻击，某些情况下还能满足比较见不得光的意图，瞄准活动人士和记者。

来自瑞典的 PewDiePie 和来自印度的 T-Series 正在争 YouTube 频道订阅数最多的王座。PewDiePie 粉丝众多，而 T-Series 则有庞大的印度网民为后盾，双方的订阅数都在 9000 万左右，目前 PewDiePie 占优，但优势在不断缩小，以至于他的粉丝通过各种方法呼吁人们订阅 PewDiePie，如入侵打印机，以及利用勒索软件，但不是勒索比特币而是为 PewDiePie 涨粉。最新的勒索软件叫 PewCrypt，用 Java 开发，在加密用户文件之后没有提供购买解密密钥的方法，而是要求受害者等待 PewDiePie 的订阅数突破一亿，这意味着受害者将需要等待很长时间。更糟糕的是，如果 T-Series 抢先突破一亿，那么 PewCrypt 将会删除密钥，受害者将无法恢复数据。

NSA 本月初开源的软件逆向工程框架 Ghidra 发现了一个能被用于远程执行代码的漏洞。漏洞是一个 XML 外部实体（XXE）问题，能通过诱骗用户打开或保存一个特制项目利用。该漏洞是腾讯安全实验室的研究人员发现的。研究人员称，基于先前对 XXE 漏洞利用的研究，他们发现攻击者能滥用 Java 功能和 Windows 操作系统 NTLM 协议弱点去实现远程代码执行。Ghidra 新版本 9.0.1 修复了该问题，但还没有正式释出。

在时隔 20 个月后，流行 SSH 客户端 PuTTY 释出了新版本 0.71，修复了 8 个高危漏洞。根据官方的安全公告，旧版本的 PuTTY 包含了多个安全漏洞，允许恶意服务器或被入侵的服务器劫持客户端系统。这些漏洞包括身份认证提示欺骗，劫持 CHM 文件的代码执行漏洞，Unix PuTTY 工具的缓冲溢出，重用随机数，整数溢出漏洞，等等。使用旧版本 PuTTY 的用户最好尽快更新。

世界主要铝产品生产商挪威海德鲁公司（Norsk Hydro）遭遇勒索软件攻击，公司命令雇员关闭计算机，切换到手动模式。海德鲁公司称，恶意程序首先在周一晚上感染了美国地区的计算机，到周二晚上扩散到公司在其他地区的计算机。部分工厂临时关闭，部分必须继续运行的工厂则切换到手动模式。公司 3.5 万名雇员被要求关闭计算机，但允许使用手机和平板查看邮件。首席财务官 Eivind Kallevik 在新闻发布会上称，情况非常严重。感染海德鲁的勒索软件被称为 LockerGoga，其样本在周二早晨从挪威上传到了 VirusTotal，当时只有少数杀毒软件能检测出它。勒索者称文件使用 RSA4096 和 AES-256 算法进行了加密，警告尝试用第三方软件恢复数据将会导致数据不可逆转的销毁。

2016 年感染物联网设备组成僵尸网络发动拒绝服务攻击的 Mirai 出现了新的变种。安全公司 Palo Alto Networks 的研究人员报告，新发现的变种包含了 27 个漏洞利用， 11 种是新加入的，其中一种针对的是 WePresent WiPG-1000 的无线演示系统（漏洞利用攻击代码在 2017 年公布），另一种针对 LG Supersign TV（远程执行漏洞利用代码在去年公布），这两种设备属于企业级产品，意味着 Mirai 僵尸网络将能拥有更大的带宽，DDoS 攻击火力将能显著提升。

安全公司 Dr. Web 的研究人员发现，现有的反恐精英 1.6 版本服务器有 39% 是恶意的，允许攻击者利用客户端的漏洞入侵玩家的计算机。恶意服务器的拥有者利用名叫 Belonard 的木马去感染客户端并扩散到其他玩家。Belonard 利用了官方客户端的两个远程代码执行漏洞。一旦感染，Belonard 会替换游戏服务器列表，创建代理服务器去扩散木马。代理服务器的 Ping 值很低，因此玩家会优先连接这些服务器。当玩家选择代理服务器，他们会被重定向到恶意服务器下载木马。攻击者利用了俄罗斯的域名进行重定向， 域名注册商在接到通知后已经吊销了域名，因此目前玩家不用担心会被重定向感染木马。

上个月，流行的解压缩软件 WinRAR 曝出了一个至少 14 年历史的代码执行漏洞，安全公司 Check Point 的研究人员在 UNACEV2.DLL 的过滤函数中发现了一个漏洞，允许将代码提取到 Windows 启动文件夹，在 Windows 重启之后执行。现在，McAfee 研究人员报告该漏洞正被利用安装难以检测的恶意程序。当存在漏洞的 WinRAR 解压恶意压缩文档，它会悄悄将名为 hi.exe 的文件提取到启动文件夹，当系统重启之后它会安装一个木马程序，该木马目前只有少数杀毒软件能检测出来。WinRAR 用户最好升级到新版本或者改用其它解压软件如 7zip。