苹果释出了 iOS 16.7 和 iOS 17.0.1，修复了两个正被间谍软件公司 Intellexa 利用的 0day——CVE-2023-41992 和 CVE-2023-41993。漏洞是 Google 安全团队 Threat Analysis Group (TAG)与公民实验室合作发现的，上周报告给了苹果，苹果在短时间内就释出了紧急更新。Google 安全博客公布了漏洞细节。漏洞利用是通过中间人攻击执行的，当目标通过 HTTP 访问网站，一个中间人可以拦截流量将伪造的数据返回给目标，迫使目标访问不同的网站。Intellexa 的利用链组合使用了三个漏洞，整个过程不需要用户互动——即所谓的零点击攻击。TAG 团队还观察到攻击者使用相似的漏洞利用链，在埃及的 Android 设备上安装间谍软件。安全研究人员督促 Chrome 用户启用 HTTPS-First Mode 以抵御中间人攻击。

前不久遭到网络攻击导致大部分服务瘫痪至今还没有恢复的米高梅集团正在紧急招聘一位 Red Hat Linux 系统管理员，时薪 110 美元（相当于年薪 40 万美元），但有条件：在新的 IT 环境重建起来前每周工作七天每天工作十小时，候选人必须是美国公民，非绿卡或 H1B 签证持有者，工作截至 10 月 15 日。在遭到勒索组织攻击之后，米高梅的计算机问题持续了 10 天，每天损失最多 8400 万美元。米高梅的竞争对手凯撒娱乐也披露遭到了网络攻击，但其运营基本没有受到影响，据报道它向自称 Scattered Spider 的勒索组织支付 1500 万美元赎金，以换取数据安全的承诺。

Jacob Appelbaum 在 2022 年发表的博士论文《Communication in a world of pervasive surveillance: Sources and methods: Counter-strategies against pervasive surveillance architecture》最近在安全行业引起了关注，原因是他根据斯诺登（Edward Snowden）在 2013 年的泄密文档在论文中声称 Cavium 的产品包含有 NSA 后门。Cavium 为路由器、网络交换器、NAS 等产品提供 ARM 或 MIPS 处理器，2018 年被 Marvell 收购。Marvell 发言人发表声明，否认这一指控，称该公司将产品的安全放在第一位，Marvell 或 Cavium 没有为任何政府实现后门。Appelbaum 对此解释说，Marvell 也许没有有意植入后门，但它可能无意中在产品中加入了容易利用的弱加密算法，比如臭名昭著的 NAS 椭圆曲线算法 Dual EC DRBG。

安全公司趋势科技的研究人员披露了黑客组织 Earth Lusca 使用的全新 Linux 后门。研究人员自 2021 年以来一直跟踪 Earth Lusca，他们在其服务器上发现了一个加密二进制文件，通过 VirusTotal 搜索文件名 libmonitor.so.2，研究人员找到了一个可执行 Linux 文件 mkmon，它包含了可用于解密 libmonitor.so.2 的凭证。研究人员发现解密后的有效负荷是一个他们从未见过的 Linux 后门。主执行例行程序(routine)和字符串显示其源自开源 Windows 后门 Trochilus，有多个功能是专为 Linux 重新实现的。他们将该 Linux 后门命名为 SprySOCKS。它有版本号的标记，显示它还在开发之中。

加密货币交易所 CoinEX 的热钱包遭到入侵，被盗走了价值 5300 万美元的加密货币。区块链安全公司 PeckShield 称，入侵发生在 9 月 12 日，黑客盗走了价值 1900 万美元的以太坊，1100 万美元的波场币，640 万美元的 Smart Chain Coin ($BSC)、600 万美元的比特币(BTC)，以及大约 295,000 美元的 Polygon ($MATIC)。被盗总损失 4300 万美元。但 CertiK Alert 将 CoinEx 损失估计提高到了 5300 万美元。CoinEx 表示所有受损的客户都会获得全额赔偿，在所有安全风险都消除前它暂停了充值和提现服务。

勒索组织 Scattered Spider 利用社交工程方法攻击了米高梅等西方公司，此举旨在勒索赎金。攻击者首先从社交网络如职业社交网站 LinkedIn 查找目标公司的员工，然后用英语冒充他们致电技术支持部门（Help Desk），索要访问网络所需的密码或凭证。该组织的黑客声称获取初始访问权限仅仅花了 10 分钟。经营赌场和酒店的米高梅集团本周遭到网络攻击，导致服务大规模瘫痪，到本周三仍然没有完全恢复。Google 子公司 Mandiant 的 CTO Charles Carmakal 推测该组织的成员在英国或欧洲。

总部位于拉脱维亚、已被俄罗斯屏蔽的俄语独立媒体 Meduza 披露，它的联合创始人 Galina Timchenko 的 iPhone 手机感染了以色列公司 NSO Group 的间谍软件 Pegasus。Meduza 的 IT 主管在 6 月 23 日打电话给 Timchenko 叫她立即回办公室。一天前她将从苹果公司收到的一条警告消息转发给了 IT 部门。这条消息称她的手机遭到了国家支持黑客的攻击。她创办的新闻媒体一直遭到俄罗斯的攻击，对于此类警告她日益熟悉。IT 部门寻求 Access Now 和公民实验室的专家帮助调查此次攻击。安全研究人员的快速评估得出了一个结论：手机感染了 Pegasus，时间是在 2023 年 2 月 10 日。此后攻击者掌握了她的几乎所有信息。Timchenko 是第一位被确认感染 Pegasus 的俄罗斯记者。Access Now 推测可能是哈萨克斯坦或阿塞拜疆应俄罗斯要求执行了此次攻击。

Mozilla 释出紧急更新修复了一个正被利用的 0day 漏洞，该漏洞影响 Firefox 和 Thunderbird。漏洞编号为 CVE-2023-4863，由 WebP 库(libwebp)中的堆缓冲区溢出引起，会导致崩溃到任意代码执行，攻击者能通过恶意 WebP 图像利用该漏洞。Mozilla 释出了 Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1 和 Thunderbird 115.2.2 修复漏洞。漏洞利用的细节尚未披露。

卡巴斯基研究人员披露了一个秘密植入后门三年之久的 Linux 应用 Free Download Manager。网站 freedownloadmanager[.]org 向 Linux 用户提供应用 Free Download Manager，但从 2020 年开始，该域名会不定时的将用户重定向到另一个域名 deb.fdmpkg[.]org 下载恶意版本。恶意版本包含了脚本会下载两个可执行文件到 /var/tmp/crond 和 /var/tmp/bs 中，脚本然后使用 cron 定时任务调度器每 10 分钟执行一次 /var/tmp/crond 中的文件，这意味着设备被永久植入了后门。安全研究人员发现，攻击者会收集系统信息、浏览历史、保存的密码、加密钱包文件以及云服务（AWS、Google Cloud、Oracle Cloud Infrastructure 和 Azure）凭证等数据，将窃取的数据上传到其控制的服务器。恶意域名的重定向在 2022 年结束，该行动目前处于不活跃状态。

被命名为 WiKI-Eve 的新型攻击能拦截智能手机通过 WiFi 传输的明文信号，以最高九成的正确率推断出单个数字按键，从而窃取到数字密码。WiKI-Eve 利用了 2013 年随 WiFi 5 (802.11ac) 引入的一项功能 BFII(beamforming feedback information)，该功能允许设备向路由器发送有关其位置的反馈，让路由器更精确的引导信号。BFI 交换的是明文形式的数据，意味着它无需专门的硬件或破解加密密钥就能拦截和使用数据。来自中国和新加坡的一组大学研究人员发现，他们能以九成的正确率破译单个数字按键，以 85% 的正确率破译 6 位数字密码。攻击仅适用于数字密码，而且必须是在密码输入期间拦截 WiFi 信号，这是一种实时攻击。攻击者还需要使用 MAC 地址等识别目标。

Google 释出紧急更新修复一个 Chrome 0day。Google 在安全公告中警告，被称为 CVE-2023-4863 的漏洞正被利用，但没有披露更多信息。Chrome 用户被建议尽快更新到 v116.0.5845.187 (Mac 和 Linux) 以及 v116.0.5845.187/.188(Windows)。CVE-2023-4863 属于 WebP 堆缓冲区溢出（heap buffer overflow）漏洞，会导致从崩溃到任意代码执行。苹果 Security Engineering and Architecture (SEAR)和多伦多大学公民实验室在 9 月 6 日报告了该漏洞。

预印本平台 arXiv 官方博客宣布它遭遇了 DDOS 攻击。过去几天一小部分用户发出了逾百万电邮变更请求。这些邮件来自 200 多个 IP 地址，几乎全部隶属于中国某个省的一家 ISP。如此多的确认电邮请求令其电邮服务器不堪重负，可能导致 arXiv 用户未能收到邮件。arXiv 正采取措施遏制攻击，包括屏蔽特定 IP 段，这可能会影响部分合法用户。arXiv 的开发和运营团队规模很小，没有能力对抗 DDOS 攻击。

加州圣巴巴拉 Yasamin Mostofi 教授的实验室研究人员利用 WiFi 信号实现高质量静物成像。他们的方法运用了衍射几何理论和相应的凯勒锥（Keller cones）去追踪物体的边缘，首次实现了 WiFi 穿墙成像或阅读英文字母。Mostofi 教授称，缺乏运动使得 WiFi 静物成像颇具挑战性。通过跟踪物体边缘，他们使用了完全不同的方法解决了这一挑战性难题。他解释说，当给定波入射到边缘点，根据 Keller 的衍射几何理论，会出现被称为凯勒锥的外射线锥体。他们开发出一个数学框架，根据相应的凯勒锥去推断边缘的方向，创建其边缘图。

运营赌场和酒店的米高梅集团周一发表声明称遭遇了网络攻击，表示已经通知了执法部门，并立即采取措施保护 系统和数据。目前尚不清楚是否是勒索软件攻击，攻击者是否是在与米高梅协商赎金。根据用户在社交媒体上的消息，米高梅的移动应用已经下线，赌场的信用卡机、ATM 机和进票机和出票机全部瘫痪。米高梅集团在拉斯维加斯的所有业务都受到影响。赌场和酒店官网都下线。目前网络攻击未影响到米高梅在澳门的业务。

通过 Google Play 传播的恶意版 Telegram 在被 Google 下架前下载了逾六万次。恶意版本主要针对中文用户，感染之后会通过间谍软件窃取用户消息和通讯录等数据。恶意版 Telegram 被宣传是原版更快的替代。它们表面上与原版相同，但加入了窃取用户数据的代码。恶意版本包括了名叫 com. wsys 的包，能访问用户的联系人，收集用户名、用户 ID 和电话号码。当用户收到消息时，间谍软件会向位于 sg[.]telegrnm[.]org 指令控制服务器发送副本。恶意版本的包名称为 org.telegram.messenger.wab 和 org.telegram.messenger.wob，原版是 org.telegram.messenger.web。今年早些时候安全研究人员还发现了恶意版本的 Signal 和 WhatsApp，也被认为主要针对中文用户。

OpenSSL 1.1.1 系列结束支持，意味着未来将不再提供公开可用的安全修正。OpenSSL 1.1.1 是在 2018 年 9 月 11 日发布的，作为长期支持版本提供了五年的支持，2023 年 9 月 11 日结束寿命。操作系统供应商或第三方所提供的 OpenSSL 1.1.1 支持时间可能不同于 OpenSSL 项目本身。如果用户是从 OpenSSL 项目下载的 OpenSSL 1.1.1，那么是时候更新到较新版本。OpenSSL 的最新版本是 OpenSSL 3.1。

FBI 有一个问题。它在 2019 年秘密运营了名为 Anom 的加密手机公司。该手机被有组织犯罪分子广泛使用。它包含有后门，能悄悄的复制和转发每一条“加密”消息。但问题是 FBI 没有获得法律授权去查看它收集的加密消息。FBI 因此求助于所谓的“第三国”，该国允许 FBI 绕过这一法律障碍。这个国家为 FBI 托管了 Anom 的拦截服务器，每周一、三和五向 FBI 提供 Anom 的信息。该国不想被曝光，要求对其参与一事保密。法庭文件称这个国家是欧盟成员国。根据 404 Media 从消息来源获得信息，这个国家是立陶宛。

马斯克的 X 公司提起诉讼，寻求阻止加州的内容审核法律 AB 587 生效。该法律于 2022 年 9 月通过，要求社交媒体平台每半年向加州总检察长递交报告，提供内核审核方法的细节，以及如何定义和审核仇恨言论或种族主义、极端主义或激进化、虚假或错误消息、骚扰和外国政治干预等类别的信息。此外社交平台还需要提供针对此类信息所采取的内容审核行动的统计数据。社媒平台需要从 2023 年第三季度开始收集数据，2024 年 1 月 1 日前递交首份报告。违反者将面临罚款。X 公司在诉讼中称，加州政府试图摆布其服务条款，强迫引起争议的披露其如何审核内容。X 公司认为 AB 587 违反了宪法第一修正案，如果法院不阻止该法律，那么加州政府将有权向企业施压，要求删除加州政府不喜欢的内容。AB 587 法案的提出者 Jesse Gabriel 议员表示该法律旨在提高透明度，没有要求任何具体的内容审核政策。如果 X 没有什么可隐瞒，那么它不应该反对该法案。

加拿大多伦多大学公民实验室的研究人员在检查一部 iPhone 手机时，发现了一个零点击 0day 漏洞正被利用感染以色列公司 NSO Group 的间谍软件 Pegasus。该漏洞利用链被称为 BLASTPASS，能感染运行最新版本 iOS 16.6 的 iPhone 手机，整个过程不需要任何交互。攻击者可通过 iMessage 账号向受害者发送包含有恶意图像的 PassKit 附件去利用该漏洞。苹果已经释出了 iOS 16.6.1 修复漏洞。研究人员表示会在未来公布漏洞利用的更多细节，他们建议 iPhone 用户立即更新。

Shawn the R0ck 写道：2023年3月，微星国际（MSI）遭受了由Money Message勒索软件组织发起的一次重大攻击。不幸的是，这不仅仅是一次随机泄露。事后的调查揭示了内部数据的泄露，包括高度敏感的信息，如BootGuard私钥。该私钥是英特尔硬件信任和加密密钥管理系统的核心组成部分，意味着存在一个难以轻易修复的漏洞，使得特定设备型号的主要安全机制可以被绕过。此外，泄露的数据还暴露了UEFI固件镜像签名密钥，进一步加剧了这次安全漏洞的严重性。
BootGuard安全机制与CPU微码和CSME共同构成了英特尔核心安全机制的基础。它作为硬件信任系统中的关键完整性保护机制，而UEFI固件则是计算机系统中重要的底层软件组件。通过成功攻击漏洞（例如：CVE-2020-8705）或获取来自OEM/ODM制造商的私钥，BootGuard的被破坏使得威胁行为者可以利用UEFI实现的缺陷、配置错误和其他漏洞来绕过多个已建立的安全措施和缓解措施，例如：SMM_BWP、BWE/BLE、PRx硬件安全机制、SecureBoot以及内核安全缓解技术，如HCVI、PatchGuard、kASLR、KDEP、SMEP、SMAP。此外，主流的杀毒软件和EDR/XDR系统变得无效，使攻击者持久控制被入侵的设备。Hardcore Matrix团队经过广泛研究，重建了制造商缺失的内部工具，并成功执行了针对MSI Modern-15-B12M笔记本电脑（配备英特尔第12代CPU：i5-1235U）的全面攻击链。演示涵盖了BootGuard私钥重签名、胶囊更新重签名和SMM根套件部署等活动。这个令人信服的演示视频凸显了供应链威胁的严重性，展示了它们在现实世界中的影响。该演示不涵盖操作系统内核攻击技术或SMM启动套件，因为这些技术已经有多个开源实现进行了文档化。
当前，全球面临严峻形势，恶意软件/勒索软件攻击中使用引导套件的情况日益增多。微星国际泄露的OEM签名密钥进一步加剧了x86固件安全本就脆弱的状态。尽管如此，许多人（包括安全专业人员）仍然难以理解源自操作系统以下层面的威胁的重要性。考虑一下，如果引导套件被植入加密托管密钥管理服务节点的固件中，可能造成的后果。这样的攻击可以通过利用内存扫描和钩子来轻松实现弱熵作为一种服务。在这种情况下，攻击者可以通过轻微的暴力攻击从公共链中窃取私钥，而无需实际接触托管基础设施。
然而，没有必要因此陷入恐慌，也不明智地寄希望于像RISC-V或Rust这样的“未来技术”。相反，尝试掌控每个设备的安全供应过程是一个可行的计划。听起来像个好计划！坚持这个该死的计划！这是一个很好的起点，不是吗？