去年 10 月，香港国泰航空披露包含 940 万乘客资料的信息系统被未经授权获取。未获授权获取的资料包括了个人身份信息和飞行记录，此外还有部分信用卡。香港个人数据隐私专员上周公布了调查报告，称国泰航空的网络先后遭遇了两次入侵。第一次入侵发生在 2014 年 10 月，攻击者在系统中植入了按键记录器去收集登录凭证，他们在 2018 年 3 月 22 日停止了活动，国泰不知道攻击者是如何进入系统的。第二批攻击者利用了服务器的一个有十年历史的漏洞绕过身份验证访问了服务器上的管理工具。国泰声称由于空客飞行手册应用的兼容性问题它无法更新系统。国泰实现了二步认证，但仅针对于 IT 支持人员。国泰航空首次检测到可疑活动是在 3 月 13 日，原因是一次暴力破解攻击导致了 500 名员工的账号被锁定。随后的内部调查发现了两次入侵，但它直到 10 月才披露入侵。

安全研究员通过搜索 Shodan，发现了一个没有任何身份验证的 ElasticSearch 数据库。该数据库属于上海交大，包含了 8.4TB 邮件元数据，但不包含邮件正文内容。数据库包含了 95 亿行数据，5 月 23 日数据库容量只有 7TB，24 日就增加到了 8.4 TB。交大安全团队在收到报告之后就在当天关闭了开放访问。元数据包括了发送方，接收方，IP 地址、检查邮件时的用户代理，以及设备类型等。

大约十年前，一位以色列企业家分别在矛和盾上下了注，他投资了两家公司，一家公司宣称能破解任何智能手机，另一家公司则宣称要开发出难以破解的智能手机。前者叫 NSO Group，它向执法机关和政府出售间谍软件 Pegasus，其估值达到了 10 亿美元。后者叫 Communitake Technologies，开发定制安全手机 IntactPhone。它们相当于星球大战里的西斯和绝地。这位企业家叫 Shalev Hulio，他仍然运营着 NSO，但 Communitake 已经选择和他分手。Communitake 并没有称自己是反 NSO，但至少有一个国家在测试了两家公司的技术之后为高级官员配备了 IntactPhone 手机。 IntactPhone 系统的价格从几千美元到数百万美元，最昂贵的配置包括了私有服务器，它生成短时间有效的密钥去加密通信。NSO 和 Communitake 都受到以色列国防部监管，为了消除后门的担忧，Communitake 称它允许买家检查手机源代码和物理架构。Communitake 表示没有手机是能 100% 防破解，你只能保证 95%。

Exim 开源邮件服务器爆出了一个高危漏洞，影响 4.87 到 4.91 版本，漏洞允许本地攻击者和某些情况下的远程攻击者以 root 权限在服务器上执行指令。要远程利用漏洞，攻击者需要与存在漏洞的邮件服务器保持连接 7 天，每数分钟就要传输一个比特。发现该漏洞的安全公司 Qualys 的研究人员表示，由于 Exim 代码极端复杂，他们不能保证漏洞利用方法是唯一的，可能存在更快的利用方法。漏洞编号为 CVE-2019-10149，运行 Exim 的服务器需要将其升级到今年2 月释出的 4.92 版本。根据 BinaryEdge 的搜索，有超过 470 万机器运行存在漏洞的版本。

三周前，微软不同寻常的向已终止支持的 Windows XP 和 Windows 2003 释出了安全更新，修复一个据称能像 WannaCry 蠕虫那样快速传播恶意程序的漏洞。漏洞编号 CVE-2019-0708 aka BlueKeep，位于远程桌面服务中。微软表示它没有观察到该漏洞正被利用的证据，但认为攻击者很快会开发出漏洞利用代码并将其整合到恶意程序中。上周，微软再次发出警告，称仍然有多达一百万电脑没有及时打上补丁。本周，美国国家安全局也对这个漏洞发出了警告。虽然目前还没有利用该漏洞的恶意程序传播，但这只不过是时间问题。安全研究员 Sean Dillon 通过 Twitter 发布了视频，演示了对 BlueKeep 的漏洞利用，显示警告并非是空穴来风。视频展示了 Dillon 为 Metasploit 漏洞利用框架开发的一个模块，针对的是未打补丁的 Windows Server 2008 R2 系统。他认为这比 WannaCry 使用的 Eternal Blue 漏洞利用更简单。

上个月微软不同寻常的向已经终止支持的 Windows XP 和 Windows 2003 释出了安全更新，修复一个据称能像 WannaCry 蠕虫那样快速传播恶意程序的漏洞。漏洞编号 CVE-2019-0708，位于远程桌面服务中，它也影响到仍然支持的操作系统如 Windows 7、Windows Server 2008 R2 和 Windows Server 2008。现在在半个月之后，微软安全响应中心的事故响应负责人 Simon Pope 在官方博客上警告说，虽然还没有观察到利用该漏洞的蠕虫，但这并不意味着没问题了。目前至少有一百万台联网的计算机没有打上补丁容易受到攻击。

多达 5 万服务器感染了挖矿恶意程序挖掘数字货币 TurtleCoin。攻击者被认为来自中国，受害者主要来自中国、美国和印度。攻击者使用了汉语编程语言易语言编写代码，但利用伪造证书和提权等比较高级的黑客技术。安全研究人员根据攻击者使用的一个服务器文本字符串将其命名为 Nansh0u。研究人员发现，攻击者几乎每周一个的速度创建恶意程序负荷，而且创建之后立即使用。攻击者首先使用端口扫描器扫描 MS-SQL 服务器，检查端口是否开启，如果开启使用暴力工具尝试登录，成功之后开始执行代码，利用了一个 2014 年的漏洞进行提权获得系统权限。攻击者服务器上的一个文件夹名字叫“传”——大概是传染的意思。

安全公司 Intezer 的研究人员披露了一种正被利用发动针对性攻击的 Linux 后门，它能逃避几乎所有杀毒软件的检测。被称为 HiddenWasp 的恶意程序包含了特洛伊木马、rootkit 和初始部署脚本。文件时间戳显示它是在上个月创造的。感染 HiddenWasp 的计算机被发现已经感染了相同攻击者的其它恶意程序，显示它是作为感兴趣目标的后续攻击使用的，能够上传下载代码，以及上传文件，执行多种指令。研究人员的分析显示，HiddenWasp 的部分代码借用自物联网僵尸网络恶意程序 Mirai，部分代码与 Azazel rootkit 和 ChinaZ Elknot 有相似之处。

目前所有版本的 Docker 都存在一个漏洞，允许攻击者获得对主机服务器任何路径的读写访问权限。漏洞是一个竞争条件的结果，已经有修复补丁但还没有整合。bug 是软件处理某些符号链接 (symbolic links)的方式导致的。研究员 Aleksa Sarai 发现，在某些情况下，攻击者可在路径解析时间和操作时间之间的短时窗内将自己的符号链接插入到路径中。它是 time of check to time of use (TOCTOU) 的竞争条件问题的一个变种。

自称 GnosticPlayers 的黑客声称窃取了澳大利亚网站 Canva 的 1.39 亿用户数据。Canva 是一个非常受欢迎的平面设计服务，Alexa 排名在 200 以内。黑客窃取的数据包括了用户名字、真名 、电邮地址、城市国家信息，其中 6100 万用户有哈希密码，其他用户的信息还有用于登陆的 Google 令牌。有 7800 万用户使用了 Gmail 地址。Canva 证实它的数据库遭到非法访问，表示尚未发现账号被入侵，出于谨慎考虑它已经鼓励用户更改密码。

名叫 SandBoxEscaper 的黑客在 24 小时内披露了三个 Windows 0day 漏洞的技术细节和 POC 漏洞利用。其中一个是 Windows Task Scheduler 本地提权漏洞，允许有本地访问权限的攻击者获得系统级权限；第二个是 Windows Error Reporting 的提权漏洞，第三个漏洞工作在 Internet Explorer 11 上，允许攻击者使用超过浏览器沙盒所允许的系统访问权限执行 JavaScript。三个漏洞并不允许攻击者远程执行代码，但美国计算机安全响应团队证实其中一个提权漏洞能工作在 Windows 10 上。目前微软尚未对此发表声明。

流行的开源密码破解软件 John the Ripper 释出了 Ripper 1.9.0-jumbo-1。自 1.8.0-jumbo-1 发布以来新版本历经了 4.5 年的开发，包含了 6000+ commits，有两位华裔开发者贡献了超过 80 个 commits。新版一个备受期待的功能是支持 FPGA 破解密码。使用 FPGA 破解密码在多种情况下比使用 GPU破解性价比更高成本更低。FPGA 破解支持七种哈希函数 bcrypt、descrypt （包括 bigcrypt 扩展)、sha512crypt & Drupal7、sha256crypt、md5cryp(包括 Apache apr1 和 AIX smd5 ) & phpass，其中多种是首次实现 FPGA，测试结果显示有的强于 GPU 有点则弱于 GPU。

劫持其他用户帐户的黑客发现自己成为了被劫持的对象。Ogusers.com 论坛的管理员在 5 月 12 日发帖解释了最近的下线事故，称一块硬盘损坏抹掉了过去几个月论坛帖子和私人消息，他已经恢复到了备份，但这个备份日期仅截至 2019 年 1 月。Ogusers 管理员可能不知道的是，在硬盘故障的同时他的网站遭到了入侵。5 月 16 日，竞争对手 RaidForums 的管理员宣布上传了 Ogusers 的数据库供任何人免费下载，“Ogusers 管理员承认了数据损坏，但没有说出网站被入侵，所以我猜我是第一个告诉你们真相的，他没有网站的最新备份我这里有。”泄露的数据库包括了约 11.3 万用户的电子邮件地址、哈希密码、IP 地址和私人消息。已有用户抱怨他们的电子邮件开始收到钓鱼邮件。

知名编程问答社区 Stack Overflow 发布公告，证实过去的周末它遭到了攻击。攻击者在 5 月 11 日获得了其产品的部分访问权限，它发现和调查了访问的范围，修复了所有知道的漏洞，它没有发现客户或用户数据遭到泄漏，在完整调查之后它将提供更详细的信息。Stack Overflow 上的内容基本上都是公开的，受保护的用户数据主要是电子邮件地址或密码，可能还有简历，因为它提供了一个招聘服务。

华硕的更新机制再次被利用在用户 PC 上安装后门。Eset 的研究人员认为这是路由器级别的中间人攻击，攻击者利用了用户 PC 和华硕服务器之间的不安全 HTTP 连接，以及利用了不完整的代码签名去验证所接收文件的真实性。攻击者安装的后门叫 Plead，由间谍组织 BlackTech 使用。去年趋势科技报告 BlackTech 窃取了 友讯科技（D-Link）的证书去签名其恶意程序。上个月 Eset 的研究人员注意到 BlackTech 使用了一种不同寻常的方法将 Plead 植入到用户 PC。内含后门的文件叫 ASUS Webstorage Upate.exe，包含了华硕的更新。ASUS WebStorage 是华硕的云储存服务，没有证据显示它的服务器遭到了入侵，研究人员认为攻击者是通过中间人攻击拦截服务器和用户电脑的 HTTP 连接。研究人员还观察到，感染 Plead 的大部分机构使用了相同的路由器，该型号路由器的管理面板可通过互联网访问，因此一种可能的中间人攻击场景是攻击者纂改了路由器的域名系统。

对于遭到勒索软件攻击的企业和机构，是向攻击者支付赎金还是寻找其它解决方案？支付赎金被认为会鼓励攻击者，被认为是不道德的。但其他解决方案可能会需要花更长的时间耗费更多金钱。ProPublica 披露，两家提供勒索软件解决方案的数据恢复公司被发现是在欺骗受害者，他们所谓的解决方案其实就是支付赎金然后向受害者收取更多的费用，他们还声称能提供其他服务来防止未来的攻击。这两家公司分别是 Proven Data 和 MonsterCloud。报道称，在与受害者进行沟通时这些公司的雇员使用了化名而不是真名。报道指出，虽然比特币交易被认为是匿名的，但他们成功跟踪了四次交易，比特币从 Proven Data 控制的钱包转给了攻击者控制的钱包，这些钱经过多达 12 次转移最后到了伊朗人控制的钱包。

旨在让每个网站都能使用 HTTPS 加密的非赢利组织 Let’s Encrypt 发布了自己的 Certificate Transparency 日志 Oak，它欢迎其他 CA 递交证书日志。该项目得到了 Sectigo 的赞助。Certificate Transparency (CT) 是一个记录和监视证书签发的系统，有助于改进 CA 生态系统和 Web 安全，因此迅速成为关键的互联网基础设施。Let’s Encrypt 决定创建和运作自己的 CT 是出于多个理由：首先是 CT 与该组织让互联网变得更安全和尊重隐私的使命相一致，它相信透明能增强安全，能让人做出深思熟虑的决定；其次是运作一个日志有助于控制其命运，Google Chrome 要求所有的新签发证书递交到两个不同的日志系统，因此 Let’s Encrypt 的运营必须要有多个日志选项；第三是它每天签发超过 100 万个证书，它想要设计一个能优化处理大量证书日志的系统。

安全公司 Red Balloon 披露了被命名为 Thrangycat（甚至还有专门的绘文字）的漏洞。Thrangycat 是思科安全模块 Trust Anchor 一系列设计缺陷导致的，该安全模块被广泛用于思科的企业级路由器、交换机和防火墙产品，它被用于验证引导程序的完整性，防止设备运行修改过的引导程序。该漏洞允许有 root 权限的攻击者通过修改 FPGA 字节流关闭 Trust Anchor 模块的关键功能，从而完全绕过 Trust Anchor。如果把该漏洞和另一个远程命令注入漏洞组合起来，攻击者能远程和持久性的绕过思科设备的安全引导机制，并能阻止 Trust Anchor 未来的更新。思科有数十款产品受到该漏洞的影响，但严重性可能没有我们想象的大，因为攻击者首先需要有设备的 root 权限。

微软又一次不同寻常的向已经终止支持的 Windows XP 和 Windows 2003 释出了安全更新，修复一个据称能像 WannaCry 蠕虫那样快速传播恶意程序的漏洞。漏洞编号 CVE-2019-0708，位于远程桌面服务中，该漏洞也影响仍然支持的操作系统如 Windows 7、Windows Server 2008 R2 和 Windows Server 2008。微软表示它没有观察到该漏洞正被利用的证据，但认为攻击者很快会开发出漏洞利用代码并将其整合到恶意程序中。漏洞不影响到较新的操作系统如 Windows 10、Windows 8.1、Windows 8、Windows Server 2019、 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012。

《金融时报》披露，攻击者正利用 WhatsApp 的一个漏洞向目标手机注入以色列公司 NSO Group 开发的先进间谍软件。WhatsApp 是最流行的消息应用之一，在全世界有 15 亿用户。该公司的研究人员是在本月初发现这个缓冲溢出漏洞的，编号为 CVE-2019-3568 的漏洞存在于应用程序的 VOIP 堆栈中，允许攻击者向目标手机号码发送特制的 SRTCP 包实现远程执行代码。在 iPhone 或 Android 设备上该漏洞可以通过 WhatsApp 呼叫功能进行利用。目标不需要接听电话，呼叫记录通常也不会显示在日志里。WhatsApp 公司称它已经在上周五释出的更新中修改了该漏洞。加拿大多伦多大学公民实验室的研究人员称，在WhatsApp 工程师忙于堵上漏洞时有攻击者利用该漏洞针对了一位英国人权律师。对于攻击者利用 NSO Group 的间谍软件，该公司表示正在进行调查。