被广泛使用的物联网设备正日益成为安全系统的一个薄弱环节。黑客越来越多的通过物联网设备入侵企业网络。网络安全公司 Darktrace 的 CEO Nicole Eagan 指出，物联网设备扩大了攻击面，而绝大部分物联网设备没有被传统防御所覆盖。他披露了该公司经手的一个案例，黑客通过水族箱的温度计在一家未公开名字的赌场网络获得了一个立足之地，然后从网络中发现了一个重要数据库，将其搬到了云端。

一种新的勒索软件在开《绝地求生（PUBG）》的玩笑。PUBG 是去年的现象级游戏，而名叫 PUBG Ransomware 的勒索软件会在用户玩了 PUBG 后解锁加密文件。当勒索软件启动后它会加密用户桌面上的文件和文件夹，加密后的文件使用了.PUBG 的后缀，然后它会显示一个画面，告诉受害者有两种方法解锁文件，其中一种是秘密的解锁代码，另一种玩 PUBG。勒索软件将监视进程寻找名叫 TslGame 的文件。当用户玩了 PUBG，勒索软件检测该进程后它会自动解密文件。这个勒索软件并不先进，它只检测进程名字，并没有确认是否是 PUBG 正在运行。这意味着用户可以将任何可执行文件改名为 TslGame.exe，运行之后加密文件就会自动解密。

智能手机已经是现代生活的一部分，其安全性也变得日益重要，因为手机储存了敏感的个人信息。Android 是目前市场占有率最高的移动操作系统，但其碎片化和安全性一直饱受诟病，很大一部分 Android 手机在出售之后就得不到安全更新了，而即使那些号称提供安全更新的，研究发现厂商其实在撒谎。Security Research Labs 测试了不同厂商的 1200 多部 Android 手机。这些手机来自 Google、三星、摩托罗拉、, LG、HTC、小米、一加、诺基亚、TCL、华为和中兴等公司。研究人员检查了 2017 年释出的每一个安全补丁，发现除了 Google 和它的 Pixel 手机外，几乎所有厂商都漏掉了更新，一些厂商没有安装任何更新而只是修改了补丁日期。研究发现，三星和索尼平均每部设备漏掉了 0 到 1 个补丁，小米、一加和诺基亚漏掉了 1 到 3 个补丁，HTC、华为、LG 和摩托罗拉漏掉了 3 到 4 个补丁，TCL 和中兴漏掉了 4 个以上。

Malwarebytes 的安全研究人员报告，过去几个月攻击者入侵了运行 WordPress、Joomla 和 SquareSpace 等内容管理系统的网站，然后利用复杂的策略试图诱骗访问者安装假的更新。攻击者利用了这些网站没有及时打补丁修复已知的漏洞，然后在用户访问时候展示看似真实的信息（如图所示），诱骗用户安装浏览器 Firefox、Chrome, 或 Flash 的更新。为了躲避检测，假的更新通知每个 IP 只展示一次，它还会利用 JavaScript 文件检查访问者是否在虚拟机里访问网站，然后才会传递恶意程序，恶意程序使用了操作系统信任的合法证书签名，让恶意更新看起来是真的。

在 Meltdown 和 Spectre 漏洞在今年初披露之后，微软在释出相关补丁时引入了杀毒软件的注册表键，检查系统中运行的杀毒软件是否与 Meltdown 和 Spectre 补丁兼容，如果不兼容那么就不安装 Windows 更新。杀毒软件供应商将这个键用于证明他们的产品已经更新，不会干扰到微软的 Windows 补丁。因为不兼容的杀毒软件产品会导致崩溃和蓝屏死机。微软在今年 1 月表示，使用没有加入注册表键的杀毒产品的 Windows 电脑将不会得到安全更新。但随着杀毒软件更新产品，而微软的 Meltdown 和 Spectre 补丁得到更多改进之后，微软决定移除这个强制性的注册表键要求。

AMD 释出了微码更新，为 Windows 10 打上了 Spectre v2 补丁。最新更新要求 Windows 10 用户安装最新的补丁。微软本周二释出了四月例行更新 KB4093112，其中就包含了针对 AMD 处理器的相关 Spectre v2 修正。AMD CTO  Mark Papermaster 表示，在最终验证和测试完成之后，微软将会为 Windows 2016 释出类似的 AMD 处理器更新。

你的朋友给你发了条短信， 但事后发现这条短信不是你朋友发的。这可能吗？安全研究人员Jordan Smith 称这是完全有可能的，他已经将其发现报告给了苹果和 Google。攻击者所需要的是你安装了一个应用，这个应用获取了你的手机号码以及访问联系人列表，然后这些消息发送给攻击者，同时在联系人列表中添加了额外的号码。攻击者使用添加的号码给你发送了短信，其中包含了链接，如果你粗心大意，点击了链接，你就有可能被钓鱼了。Google 将该问题标记为“不可行”，而苹果则表示此类行为能在应用审查阶段发现。Google 的应用审查流程是自动化的，而苹果则是人工。

微软释出了最新版的 Microsoft Malware Protection Engine (1.1.14700.5)，修复了 Windows Defender 的一个远程代码执行漏洞。漏洞编号 CVE-2018-0986，是 Google 的安全研究员 Halvar Flake 首先发现和报告的。该漏洞与解压 .rar 文档有关，Flake 对漏洞的追溯跟踪到了旧版本的开源解压工具 unrar，微软看起来是创建了 unrar 的一个分支，将其整合到自己的杀毒引擎中。在此过程中，微软修改了所有的符号整数变量，变成了未符号的变量，引发了数学比较相关的连锁问题，导致了一个能被恶意 .rar 文档利用的内存损坏错误，能使杀毒软件崩溃或允许恶意代码使用杀毒软件的 LocalSystem 权限完全控制计算机。

微软本周五向 64 位 Windows 7 和 Windows Server 2008 R2 系统释出安全更新，修补今年初释出的 Meltdown 补丁的漏洞。Meltdown 补丁旨在修复英特尔芯片的漏洞，但却被发现存在更严重的漏洞。补丁用意是保护内核内存，防止机密信息泄露，结果是内核内存的漏洞反而更大了，新的漏洞允许任意应用从内核内存提取或写入内容。新释出的补丁 KB4100480 修复了这个严重问题。

流行的开源内容管理系统 Drupal 发布了一则高危漏洞警告，基本上所有的 Drupal 网站或超过 100 万网站受到影响。公告称，Drupal 7.x 和 8.x 的多个子系统内发现了一个远程代码执行漏洞，允许攻击者在 Drupal 网站利用多个攻击向量，可能导致网站被完全入侵。开发者在 FAQ 中称，利用该漏洞的的难度几乎为零，攻击者能利用漏洞访问所有非公开数据。对于无法升级的用户，开发者建议暂时用静态网页替代，表示暂时还没有发现漏洞利用。Drupal 的补丁被发现只是限制使用字符“#”。

波音周三遭到勒索软件 WannaCry 的攻击，这家航空巨头晚些时候表示攻击对飞机生产几乎没有影响。波音商用飞机的通信主管 Linda Mills 称，漏洞只存在于少量机器，他们已经部署了软件补丁，波音 777 和其它型号飞机的生产没有中断。WannaCry 利用了 Windows 的漏洞入侵网络，加密机器进行勒索，微软早在去年就已经释出了相关补丁，而安全研究人员也部署了勒索软件的“关闭开关”阻止其扩散。此次对波音的攻击可能使用了新版的 WannaCry。

安全桌面操作系统 Qubes OS 发布了 4.0 的正式版本。Qubes 的每一个应用程序都运行在各自的沙盒中，一个程序有安全漏洞不会影响到其它程序。新版的主要变化包括：完全重写了 Qubes Core Stack，新的 Qubes Core Stack v3 允许开发者更容易扩展架构，能提供旧架构上难以提供的功能，新的 Qubes Admin API，简化了一次性 VM 的定制和灵活性；更灵活更达意的策略定义，灵活的 VM 卷管理器；简化了 Qubes 特定应用和服务的开发；更好的隔离全虚拟化的 VM；重写了 UX/UI；更安全的备份；重写了命令行工具，等等。

你认为英特尔芯片的 Meltdown 漏洞是灾难？还有更严重的，那就是 Meltdow 的补丁。微软向 Windows 7 释出的 Meltdown 补丁，被发现允许任意进程任意读写内核内存。在 2018 年 1 月到 2 月之间打了补丁的 64 位 Windows 7 系统存在该严重漏洞，而没有打补丁或打了 3 月份补丁的 Windows 7 系统不受影响。想知道你的 Windows 7 系统是否受到影响，可以从 Github 上下载 PCILeech 测试。

美国国家运输安全委员会（NTSB）周二宣布将调查上周五发生的 101 高速公路上的特斯拉致命车祸，检查事故是否涉及到自动驾驶系统。上周五早晨，圣马特奥市的 Wei Huang 驾驶他的特斯拉 Model X 汽车在 101 公路和 85 公路交接处发生车祸，汽车撞到了车道隔离栏上，跟在后面的两辆汽车马自达和奥迪先后撞上了特斯拉。Huang 被紧急送到医院后因伤势过于严重而于当天下午去世。特斯拉发言人表示将会完全配合这次调查。NTSB 的调查通常需要 12 到 18 个月才能完成。特斯拉的股价下跌了 8%。

威廉玛丽学院、卡内基梅隆大学、加州大学河滨分校和宾厄姆顿大学的研究人员报告了（PDF）一种新的分支预测攻击，利用现代处理器的预测执行功能去泄漏敏感信息，破坏操作系统和软件为保护重要数据建立的安全边界。这听起来似曾相识。今年初披露的 Spectre 攻击利用的就是处理器的预测执行功能泄漏敏感信息。新的攻击被命名为 BranchScope，与 Spectre v2 攻击有相似之处，都是利用处理器的分支预测行为。Spectre 2 依赖于分支目标缓冲区 (Branch Target Buffer)，而 BranchScope 则是模式历史表 (Pattern History Table)。研究人员针对的是英特尔处理器，他们使用该攻击去泄漏英特尔 SGX (Software Guard Extensions)保护的信息。

如何防止数据被勒索软件和其它具有数据擦除功能的恶意程序删除？普渡大学的科学家开发出一种数据保护技术叫 Reactive Redundancy for Data Destruction (R2D2) ，它是为虚拟机设计的，使用 VMI（Virtual Machine Introspection） 接口在一个受保护的 Guest OS 上拦截文件打开和写入操作，运行一系列策略评估这些操作是否具有已知的破坏模式。如果扫描触发了警告，Virtual Machine Monitor (VMM) 将会创造一个临时的检查点，可作为系统的还原点使用。在实验中，R2D2 成功挫败了 Shamoon (v1 和 v2)、StoneDrill 和 Destover 等恶意程序的删除操作。

安全研究人员 Giovanni Collazo 通过 Shodan 搜索引擎发现了 2,284 个暴露在互联网上的 etcd 服务器，etcd 是一种被计算集群用于储存和分发密码和配置设置的数据库，在默认情况下它不验证身份就对查询返回管理凭证。Collazo 写了个脚本去查询这 2,284 服务器抓取登录凭证，他在收集到 750 MB 的数据后终止了脚本运行，这些数据包含了 8,781 个密码，650 AWS 访问密钥，23 个密钥和 8 个私钥。Collazo 没有验证这些密码，推测应该是有效的。Collazo 和其他安全研究人员指出，etcd 服务器不应该暴露在互联网上，此外管理员应该修改默认设置加入身份验证。

2016 年 6 月，自称独自一人入侵美国民主党全国委员会系统的黑客 Guccifer 2.0 公开了他窃取的电邮等文件，后续的初步调查显示他与俄罗斯有关联。对 Guccifer 2.0 邮件元数据的分析发现，他使用了一个有服务器在法国的匿名服务 Elite VPN，该服务商的总部在俄罗斯。然而 Guccifer 未能一直确保他在登录各种服务时都启用了 VPN。调查人员发现他在一家美国社交网络公司的服务器日志里留下了一个莫斯科的 IP 地址。Twitter 和 WordPress 是 Guccifer 2.0 最常用的美国服务，但两家公司拒绝置评。根据该 IP 地址，美国调查人员识别 Guccifer 2.0 是格鲁乌（俄罗斯军方情报总局）的一名官员，格鲁乌的总部位于莫斯科的 Grizodubovoy 街。

亚特兰大市政系统遭到了勒索软件攻击，攻击者要求每一台被锁定的计算机缴纳约 6800 美元的赎金或支付 5.1 万美元解锁所有计算机。市政府的 IT 部门要求工作人员在发现任何可疑情况后立即关闭计算机。根据公开的勒索软件屏幕截图，攻击者使用的被认为是 Samsam 的一个变种，这种勒索软件利用的是 Java 应用服务器中的漏洞，目前不清楚攻击者是否利用了相同的方法感染系统的。FBI、国土安全部以及知名的 IT 公司微软和思科正参与调查。

中国漏洞研究团队缺席了上周举行的安全挑战赛 Pwn2Own，北京长亭科技公司的一名代表称，去年底政府告诉他们不要去参加此类竞赛，该公司将把注意力转移到完善产品，构建中国更安全的网络空间。美国战略与国际研究中心的高级副总裁 Andrew Lewis 说，一些中国黑客是世界最顶尖的，他们的缺席让比赛变得不那么有趣，把人才留在家里有利于网络攻击。中国漏洞研究团队现在计划直接向安管中心的国家信息安全漏洞库报告他们的发现，获得国家的认可和奖励。杭州默安科技有限公司 CTO 魏兴国（aka 云舒）称，就像美国禁止出口部分加密算法，中国迫使安全团队不去国外参加比赛，这种做法是有意义的。如果网络空间是一个战场，那么漏洞就是弹药。