世界最大期刊出版商之一的 Elsevier 被发现错误配置了其数据库，导致外界可以公开访问其订阅用户的密码和电邮地址，受影响的主要是世界各地的高校和研究机构。发现该问题的安全公司 SpiderSilk 称，大部分用户的电邮后缀是.edu，意味着要么是学生要么就是教师。Elsevier 在接到报告之后修复了问题，公司发言人声称没有发现数据被误用的迹象，表示会采取预防措施通知受影响的用户和重置账号密码。

安全公司卡巴斯基报告，黑客去年入侵了华硕自动更新工具的服务器，利用自动更新将恶意后门推送到客户计算机里，恶意文件有华硕的证书签名。华硕是世界最大的计算机厂商之一。研究人员估计，有 50 万用户通过华硕的自动更新收到了恶意后门，但攻击者只对其中 600 台计算机发动了针对性的后续攻击。攻击者是通过唯一 MAC 地址搜索目标的。一旦发现目标，后门会与攻击者控制的指令控制服务器连接，下载额外的恶意程序。卡巴斯基是在今年 1 月发现这一被命名为 ShadowHammer 的攻击，它计划在下个月新加坡举行的 Security Analyst Summit 会议上公布完整的技术报告。最新发现再次凸显了供应链攻击成为日益增长的威胁。卡巴斯基发现它有 5.7 万客户感染了后门，大部分都位于俄罗斯。

攻击者正利用两个广泛使用的 WordPress 插件漏洞入侵网站。两个受影响的插件分别是 Easy WP SMTP，有 30 万活跃安装；Social Warfare，有 7 万活跃安装。开发者都已经释出了补丁，但不是所有安装了插件的网站及时更新了补丁。漏洞利用允许攻击者在存在漏洞的网站创建假的管理员帐户。安全公司报告，两个竞争组织正在执行攻击，其中一个只限于创建管理员帐户，另一个创建管理员帐户之后会去改变网站将用户重定向到恶意网站。

沙特使用宿敌以色列的一家公司 NSO 集团的技术去打压异议人士这一事实，让我们得以窥见一个数字战争的新时代。这个时代几乎没有规则可言，是一个日益增长、如今已价值 120 亿美元的经济体，而间谍则是收钱办事。如今，即使是最小的国家也能购买数字间谍服务，这使它们得以实施曾一度专属于美国和俄罗斯这类大国的电子窃听或影响力行动。NSO 及竞争对手阿联酋公司 DarkMatter 是私营间谍行动普及的例证。这些公司不仅让政府可以对恐怖组织和贩毒集团这类犯罪分子进行黑客攻击，某些情况下还能满足比较见不得光的意图，瞄准活动人士和记者。

来自瑞典的 PewDiePie 和来自印度的 T-Series 正在争 YouTube 频道订阅数最多的王座。PewDiePie 粉丝众多，而 T-Series 则有庞大的印度网民为后盾，双方的订阅数都在 9000 万左右，目前 PewDiePie 占优，但优势在不断缩小，以至于他的粉丝通过各种方法呼吁人们订阅 PewDiePie，如入侵打印机，以及利用勒索软件，但不是勒索比特币而是为 PewDiePie 涨粉。最新的勒索软件叫 PewCrypt，用 Java 开发，在加密用户文件之后没有提供购买解密密钥的方法，而是要求受害者等待 PewDiePie 的订阅数突破一亿，这意味着受害者将需要等待很长时间。更糟糕的是，如果 T-Series 抢先突破一亿，那么 PewCrypt 将会删除密钥，受害者将无法恢复数据。

NSA 本月初开源的软件逆向工程框架 Ghidra 发现了一个能被用于远程执行代码的漏洞。漏洞是一个 XML 外部实体（XXE）问题，能通过诱骗用户打开或保存一个特制项目利用。该漏洞是腾讯安全实验室的研究人员发现的。研究人员称，基于先前对 XXE 漏洞利用的研究，他们发现攻击者能滥用 Java 功能和 Windows 操作系统 NTLM 协议弱点去实现远程代码执行。Ghidra 新版本 9.0.1 修复了该问题，但还没有正式释出。

在时隔 20 个月后，流行 SSH 客户端 PuTTY 释出了新版本 0.71，修复了 8 个高危漏洞。根据官方的安全公告，旧版本的 PuTTY 包含了多个安全漏洞，允许恶意服务器或被入侵的服务器劫持客户端系统。这些漏洞包括身份认证提示欺骗，劫持 CHM 文件的代码执行漏洞，Unix PuTTY 工具的缓冲溢出，重用随机数，整数溢出漏洞，等等。使用旧版本 PuTTY 的用户最好尽快更新。

世界主要铝产品生产商挪威海德鲁公司（Norsk Hydro）遭遇勒索软件攻击，公司命令雇员关闭计算机，切换到手动模式。海德鲁公司称，恶意程序首先在周一晚上感染了美国地区的计算机，到周二晚上扩散到公司在其他地区的计算机。部分工厂临时关闭，部分必须继续运行的工厂则切换到手动模式。公司 3.5 万名雇员被要求关闭计算机，但允许使用手机和平板查看邮件。首席财务官 Eivind Kallevik 在新闻发布会上称，情况非常严重。感染海德鲁的勒索软件被称为 LockerGoga，其样本在周二早晨从挪威上传到了 VirusTotal，当时只有少数杀毒软件能检测出它。勒索者称文件使用 RSA4096 和 AES-256 算法进行了加密，警告尝试用第三方软件恢复数据将会导致数据不可逆转的销毁。

2016 年感染物联网设备组成僵尸网络发动拒绝服务攻击的 Mirai 出现了新的变种。安全公司 Palo Alto Networks 的研究人员报告，新发现的变种包含了 27 个漏洞利用， 11 种是新加入的，其中一种针对的是 WePresent WiPG-1000 的无线演示系统（漏洞利用攻击代码在 2017 年公布），另一种针对 LG Supersign TV（远程执行漏洞利用代码在去年公布），这两种设备属于企业级产品，意味着 Mirai 僵尸网络将能拥有更大的带宽，DDoS 攻击火力将能显著提升。

安全公司 Dr. Web 的研究人员发现，现有的反恐精英 1.6 版本服务器有 39% 是恶意的，允许攻击者利用客户端的漏洞入侵玩家的计算机。恶意服务器的拥有者利用名叫 Belonard 的木马去感染客户端并扩散到其他玩家。Belonard 利用了官方客户端的两个远程代码执行漏洞。一旦感染，Belonard 会替换游戏服务器列表，创建代理服务器去扩散木马。代理服务器的 Ping 值很低，因此玩家会优先连接这些服务器。当玩家选择代理服务器，他们会被重定向到恶意服务器下载木马。攻击者利用了俄罗斯的域名进行重定向， 域名注册商在接到通知后已经吊销了域名，因此目前玩家不用担心会被重定向感染木马。

上个月，流行的解压缩软件 WinRAR 曝出了一个至少 14 年历史的代码执行漏洞，安全公司 Check Point 的研究人员在 UNACEV2.DLL 的过滤函数中发现了一个漏洞，允许将代码提取到 Windows 启动文件夹，在 Windows 重启之后执行。现在，McAfee 研究人员报告该漏洞正被利用安装难以检测的恶意程序。当存在漏洞的 WinRAR 解压恶意压缩文档，它会悄悄将名为 hi.exe 的文件提取到启动文件夹，当系统重启之后它会安装一个木马程序，该木马目前只有少数杀毒软件能检测出来。WinRAR 用户最好升级到新版本或者改用其它解压软件如 7zip。

杀毒软件测试机构 AV-Comparatives 测试了 Google Play 商店里的 250 款杀毒应用，检查这些应用对 2000 恶意应用样本的检测情况。结果显示，只有 80 款应用能阻止最少数量的恶意样本。不到十分之一的应用能阻止所有恶意应用，超过三分之二的应用检出率不到 30%。如果你想要保护自己的 Android 设备，最好使用知名安全公司的产品。AV-Comparatives 称大部分 Android 杀毒应用是假冒的，许多只是为了展示广告或宣传开发者自己。

错误配置的 EJBCA 开源软件包致使 GoDaddy、苹果和 Google 签发了一百多万个不符合要求的 63 位序列号证书。EJBCA 被很多浏览器信任的 CA 用于生成证书，在默认情况下 EJBCA 使用伪随机数生成器生成了 64 位序列号的证书，工程师发现 64 位中必须有一个定值才能确保序列号是正整数，这意味着 EJBCA 默认生成的序列号的熵值只有 63 位。 63 位 和 64 位虽然只相差一位，但 2^63 和 2^64 之间是相差巨大的。错误签发 63 位序列号证书所构成的风险主要是理论上的，实际上几乎不可能被恶意利用。但这不符合行业规定的要求。Google 被发现自 2016 年以来签发了 10 万以上不符合要求的证书，不过到目前只有 7000 个证书还有效。

虚拟化和软件供应商思杰公布通知，称其内网遭国际犯罪分子入侵，攻击者可能是利用弱密码获得有限访问权限，然后再逐渐获得更多控制权限。思杰的产品和服务被全世界 40 多万家机构使用，其中包括了政府和军方。攻击者从思杰窃取的信息可用于渗透其客户的网络。思杰称它不知道有哪些数据被窃取了，初步调查显示攻击者可能获取了商业文档。它正进行更深入的调查，并雇佣了安全公司协助。思杰称它已经联络了 FBI。

流行编辑器 Notepad++ 释出了 7.6.4 版本，该版本移除了代码签名。开发者解释了原因：DigiCert 在三年前捐赠了有效期为三年的代码签名证书，该证书于今年初过期，他尝试以合理的价格购买新的代码签名证书。由于 Notepad++ 不是企业或机构，他无法使用 CN=Notepad++，他浪费了很多时间在上面，最后认识到代码签名证书对于自由开源软件作者来说就是过于昂贵的自慰工具。Notepad++ 在十多年里一直没有使用代码签名证书，他不认为现在仍然需要依赖证书。他因此决定移除代码签名，但这并不意味着软件就不再安全了。Notepad++ 从现在起每个版本都会提供 SHA256 哈希，程序将会检查它使用的每一个组件的 SHA256 哈希。7.6.4 改进了 Markdown 支持，修复了欧盟自由软件 Bug 悬赏项目 Free and Open Source Software Auditing Bug Bounty 识别的问题和 Bug。

三位发现相关漏洞的计算机科学家在 IEEE Spectrum 上发表了一篇深入浅出的文章，详细介绍了去年初曝出的芯片漏洞 Spectre 和 Meltdown。我们习惯以为处理器是一种按照顺序一个接一个有序执行指令的机器，但事实是几十年来它们一直是乱序执行任务，会去猜测下一个应该执行的任务。它们在这方面做得非常出色，被称为推测执行的功能是过去 25 年计算能力提升的主要基础。但 2018 年 1 月 3 日，全世界都知道了这个窍门也是它最大的弱点之一。被称为 Meltdown 和 Spectre 的攻击不是普通的 bug。Meltdown 影响所有英特尔处理器和 IBM Power 处理器，以及部分 ARM 处理器。而 Spectre 和它的许多变种将影响范围扩大到了 AMD。换句话说，全世界几乎所有的计算系统都容易受到攻击，修复这些漏洞不是一件容易的事情。

Chrome 用户最好确保他们的浏览器是最新版本。编号为 CVE-2019-5786 的高危漏洞正被利用，Google 已知此事，并在上周五释出了更新（版本号 72.0.3626.121），Chrome 安全研究人员在 Twitter 上建议用户可能快的更新。漏洞是在 2 月 27 日报告的，补丁只隔了一天就释出。它是一个内存错误管理 bug，与 FileReader 相关。

Have I Been Pwned 聚合了各个网站和服务泄漏的密码，并记录了常见密码的使用频率，举例来说 123456 在其密码库里共使用了 23,174,662 次，12345 使用了 2,333,232 次，password 使用了 3,645,804 次。这些密码因为容易记忆而被大量使用我们都能理解，但还有一些高频密码可能让人摸不着头脑了，比如说 ji32k7au4a83，它看起来是一个随机密码，但它却被使用了 141 次。为什么它会是一个常用密码？过去几天这件事在多个网站被很热闹的讨论，答案很快被人指出其实是“我的密码”的注音符号，在注音符号系统中，ji3 -> 我；2K7 -> 的；au4 -> 密；a83 -> 碼。

DFIR.it 的安全团队发现恶意攻击者利用 GitHub 推广后门版应用。所有托管后门应用的账号目前全部移除。对样本的分析发现，恶意应用会下载名叫 Supreme NYC Blaze Bot (supremebot.exe)的 Java 恶意程序。攻击者建立了一批账号，有的账号托管了几十个恶意应用，还有的账号没有恶意应用但通过给恶意应用加星等方法来增加其流行度。黑客创建了许多合法应用的后门版本，其中包括 MinGW、GCC、Ffmpeg、EasyModbus 和一些 Java 游戏。

美国和德国的计算机科学家在预印本网站 ArXiv 上发表论文(PDF)，披露了针对英特尔处理器的新攻击 SPOILER。他们在英特尔内存子系统私有实现中发现了地址推测的一个弱点，能透露内存布局数据，让翻转比特的 Rowhammer 攻击更容易执行。研究人员检查了 ARM 和 AMD 处理器，但没有发现它们表现出类似的行为。新的漏洞很难在不重新设计处理器微架构的情况下修复或缓解。Spoiler 攻击不同于 Spectre 攻击，它无需提权就可以在用户空间利用。研究人员称，Spoiler 大幅加快了 Rowhammer 和缓存攻击。Rowhammer 翻转比特攻击影响所有处理器，但要利用 Rowhammer 你可能需要花费数周时间，而在 SPOILER 的帮助下，攻击将可以在数秒内完成，Rowhammer 攻击将变得切实可行。英特尔发言人表示他们预计软件加固能抵御此类攻击。