微软本周二释出了一月份例行安全更新，共修复了 98 个漏洞，其中之一是正被利用的 0day。CVE-2023-21674- Windows Advanced Local Procedure Call (ALPC) Elevation of Privilege Vulnerability 是安全公司 Avast 研究人员报告的，是一个沙盒逃逸漏洞，能导致提权。成功利用该漏洞的攻击者能获得系统级权限，暂时不清楚攻击者如何利用该漏洞。98 个漏洞中有 39 个属于提权漏洞，33 个远程代码执行漏洞，10 个信息泄露和 10 个拒绝服务漏洞。

美国内政部在安全审计中发现，逾五分之一的密码可以用标准方法破解。审计人员获得了 85,944 名联邦雇员账户密码的哈希值，然后用包含 15 亿单词的字典进行暴力破解。结果成功破解了其中 18,174 个哈希值，占到了总数的 21%。其中 288 个账户具有高权限，362 个账户属于政府高级雇员。审计人员仅仅在 90 分钟内就破解了 16% 的哈希值。最常见的密码是 Password-1234，有 478 人使用；Br0nc0$2012，有 389 人使用；Password123$ | 318；Password1234 | 274；Summ3rSun2020! | 191；0rlando_0000 | 160；Password1234! | 150...

为丹麦央行以及该国金融业提供 IT 解决方案的 Bankdata 公司遭到了 DDoS 攻击，央行以及七家私人银行网站的访问受到干扰。DDoS 攻击通过将流量引导到目标网站以迫使其下线。丹麦央行的发言人表示，其网站周二下午访问正常，攻击没有影响到银行的其它系统或日常运作。Bankdata 的一位发言人表示，在受到 DDoS 攻击后，七家私人银行的网站访问周二短暂受限。受影响的银行包括丹麦最大的两家银行—— Jyske Bank 和 Sydbank。

程序员使用 ChatGPT 帮助他们完善代码，网络罪犯则求助于 ChatGPT 帮助他们完善恶意代码。OpenAI 的通用聊天机器人原型 ChatGPT 让技术不那么精通的网络罪犯快速写出恶意代码成为可能。安全研究人员在地下黑客论坛观察到了使用 ChatGPT 写恶意代码的现象。研究人员称，目前用 ChatGPT 开发的恶意程序都相当简单，但更复杂程序的出现只是时间问题。在一个黑客论坛，有人以《ChatGPT – Benefits of Malware》为题描述了使用 ChatGPT 重新创造常见的恶意程序。

微软将在本周二的例行更新中释出 Windows 8.1 的最后一次安全更新。Windows 8.1 没有获得与 Windows 7 相同的 Extended Security Updates 扩展安全更新待遇，因此在最后一个安全更新释出之后，微软将停止支持 Windows 8.1，用户可以继续使用，但微软或其它任何人不会再修复安全问题。微软也将在周二释出 Windows 7 的最后一次安全更新，但此后还是会有商业公司继续提供付费更新，ACROS Security 的第三方安全平台 0patch 将会至少支持 Windows 7 两年，每年付费 25 美元。

在 LastPass 披露用户加密库被盗两周之后，消息应用 Slack 和软件测试和交付公司 CircleCI 先后披露了安全事故。Slack 称员工令牌凭证被盗，而 CircleCI 的事故可能更严重，其储存的客户秘密可能暴露，它建议客户轮换储存在其服务上的所有秘密。CircleCI 同时通知客户其 Project API 令牌失效需要更换。CircleCI 的服务被逾百万开发者使用，登录凭证、访问令牌等秘密暴露可能会对整个互联网的安全造成严重影响。CircleCI 建议客户检查下 12 月 21 日到 1 月 4 日期间的内部日志，看看是否有未经授权的访问。这可能意味着黑客在 CircleCI 的系统中可能潜伏了两周时间，如此长的时间足够收集行业最敏感的数据。

在 12 月 25 日-30 日之间下载 PyTorch 框架的隔夜构建版本的用户会安装恶意版本的 torchtriton 依赖，窃取系统数据。PyTorch 项目建议用户卸载旧版本安装最新的隔夜构建版本。使用 PyTorch 稳定版本的用户不受影响。一位自称对此事负责的人士表示，恶意版本的 torchtriton 是一个研究项目的一部分，但不小心出差错了。他们对此表示道歉，称窃取的数据已经全部删除。这是最新一起的依赖混淆攻击。

恶意程序的运营者日益滥用 Google Ads 将恶意程序传播给搜索合法软件的用户。受害者包括了 Grammarly、MSI Afterburner、Slack、Dashlane、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、Thunderbird 和 Brave。黑客会创建上述项目官方网站的克隆，但将用户点击下载的软件替换为恶意程序。通过这种方法传播的恶意程序包括 Raccoon Stealer 的变种， Vidar Stealer 的定制版本， IcedID 恶意程序加载器。当广告商利用 Google Ads 发布广告时，如果 Google 检测到目标网站是恶意的，广告会删除。恶意程序的运营者利用了一种简单的方法绕过了这种检测——方法是首先将点击广告的用户带到没有恶意程序的网站，然后再重定向到克隆网站。

一名用户名 Ryushi 的用户在黑客论坛 Breached 兜售 4 亿 Twitter 用户的数据库，声称是利用 Twitter API 的漏洞抓取的，包括了电子邮件、用户名、姓名、粉丝数、创建日期和电话号码。这位用户公开了几位名人的样本，排在最前面的是美国民主党议员 AOC（Alexandria Ocasio-Cortez）。黑客还建议 Twitter 或马斯克（Elon Musk）花钱购买该数据库，威胁他们将会面临因数亿用户数据被抓取而面临欧盟的 GDPR 巨额罚款，表示如果 Twitter 购买的话将会停止出售。黑客利用的是今年早些时候已经修补的漏洞，上个月一个包含 540 万 Twitter 账号的数据库在黑客论坛免费共享，最新披露的数据规模则包含了绝大部分 Twitter 用户。

美国 FBI 在一份公告中推荐使用广告屏蔽工具，它警告网络罪犯正利用搜索结果中的广告窃取或勒索受害者的钱财。FBI 称网络罪犯购买广告冒充合法品牌如加密货币交易所，而广告通常会显示在搜索结果的顶部，用户不注意可能区分不了广告和搜索结果。恶意广告还诱骗用户安装伪装成合法应用的恶意程序，可能会窃取密码和使用勒索软件加密文件。FBI 的一个建议是使用广告屏蔽工具。通过安装广告屏蔽工具，潜在的受害者可能会看不到任何广告，更容易找到合法网站。广告屏蔽工具也有助于拦截网站不必要的臃肿部分，有利于隐私保护。FBI 称用户可以选择关闭广告屏蔽工具，选择允许或拒绝网站的所有广告。

提供密码管理服务的 LastPass 披露了最新安全事故的调查结果——用户信息和密码库被盗，但短时间内黑客要破解用户的主密码是非常困难的。LastPass 称它最近在第三方云储存服务监测到异常活动，它立即启动了调查。调查发现，黑客利用了今年 8 月入侵开发环境中窃取到的情报，黑客在 8 月的入侵中窃取了部分源代码和私有技术信息，其中包括了 LastPass 在云储存服务中用于访问和解密部分存储卷的凭证和密钥。黑客随后拷贝了用户信息的备份和用户密码库的备份。用户信息包括了公司名称、终端用户名称、账单地址、电子邮件地址、电话号码以及客户访问 LastPass 服务的 IP 地址。用户密码库使用了 256 位 AES 密钥加密，只能通过源自用户主密码使用 Zero Knowledge 零知识架构的唯一加密密钥解密。LastPass 没有储存用户的主密码。黑客可能会通过暴力破解尝试猜出用户的主密码，LastPass 认为这非常困难，它对客户可能遭遇钓鱼攻击发出了警告。

安全公司 Group-IB 的研究人员报告，名为教父（Godfather）的 Android 银行木马正将 16 个国家的银行和加密货币应用用户作为攻击目标，涵盖美国、土耳其、西班牙、加拿大、德国、法国和英国的 215 家国际银行、94 个加密货币钱包和 110 个加密货币交易平台。研究人员报告，教父的一项有意思功能是不会攻击俄语用户或前苏联国家用户的语言，其中包括阿塞拜疆语、亚美尼亚语、白俄语、哈萨克语、吉尔吉斯语、摩尔多瓦语、乌兹别克语或塔吉克语。这可能表明教父的作者是俄语开发者。教父被认为是 Anubis 银行木马的新版本，两者共享了代码库。黑客在窃取用户的凭证和绕过二因素认证之后会将受害者银行账户和加密钱包内的资金全部转掉。

身份认证管理服务商 Okta 在一封名为机密信息的邮件中证实它在 GitHub 的私有代码库被入侵源代码被盗。Okta 今年发生了多起安全事故，早些时候黑客组织 Lapsus$ 声称访问了 Okta 管理终端和部分客户数据。最新这起事故是 GitHub 最早发现的，它警告 Okta 其代码库有可疑访问。随后的调查发现黑客拷贝了该公司私有库的源代码，但没有未经授权访问了该公司的系统或客户数据。黑客访问了 Okta Workforce Identity Cloud (WIC)代码库。该公司表示将在公司博客上公布更多信息。

GitHub 官方博客宣布腾讯微信成为其秘密扫描项目的合作伙伴。不是腾讯微信会秘密扫描 GitHub 的所有代码库，而是 GitHub 有一个项目叫秘密扫描（secret scanning），旨在防止开发者的私有令牌对外泄露。开发者在公开项目中硬编码安全凭证日益成为一个严重的安全隐患，秘密扫描就是在发现这些机密信息后警告开发者。与微信合作意味着 GitHub 将在公开代码库中扫描微信官方帐户和小程序开发者相关的私有令牌，发现之后允许微信撤销这些暴露在外的令牌。

今年早些时候，最大代码托管平台 GitHub 宣布到 2023 年底所有上传代码的用户都必须使用双因素认证（2FA）。此举旨在预防开发者的账号被劫持，防止攻击者劫持账号后上传恶意代码对下游项目发动供应链攻击。现在 GitHub 官方博客详述了逐步推广 2FA 的流程：从 3 月开始要求不同组的开发者逐渐启用 2FA，这些开发者或者发布了 GitHub 或 OAuth 应用或软件包，或者创建了一个发布，或者是企业和机构的管理员，向重要的 npm、OpenSSF、PyPI 或 RubyGems 软件包贡献了代码，向前 400 万公开和私有的软件包贡献代码。相关开发者将会收到邮件通知，要求在截止期限前完成启用 2FA，这个期限通常是间隔 45 天。在这期间开发者将会每天收到警告提示。

微软取消了多个 Microsoft 硬件开发者账号，原因是这些账号通过 Windows Hardware Developer Program 认证程序递交的驱动在获得签名之后被用于包括勒索软件在内的网络攻击。微软称，安全公司 SentinelOne、Mandiant 和 Sophos 在 10 月 19 日报告了这些活动，随后的调查发现 Microsoft Partner Center 的多个开发者账号参与了递交恶意驱动获得微软签名的活动。安全研究人员称，他们发现了一种新的工具包，包含了名为 STONESTOP (加载器) 和 POORTRY（内核模式驱动）的组件被用于网络攻击，其中 POORTRY 有微软签名。

俄罗斯安全公司卡巴斯基披露了一种冒充勒索软件但实际上旨在破坏数据的恶意程序 CryWiper——名字来自于恶意程序破坏文件使用的扩展名 .cry。该恶意程序的攻击目标是俄罗斯法庭和市长办公室，但更多细节未知。卡巴斯基称，CryWiper 不破坏任何 .exe、.dll、.lnk、.sys 或 .msi 扩展的文件，也放过了重要的系统文件夹，它的破坏目标是数据库、档案和用户文件。目前只知道的是 CryWiper 专门攻击俄罗斯目标。卡巴斯基称，CryWiper 是用 C++ 编写的，用 MinGW-w64 和 GCC 编译器编译，这有点不同寻常，大部分 C++ 恶意程序是用微软的 Visual Studio 编译。恶意程序应该是在非 Windows 系统上开发的。

Android OEM 厂商使用平台证书或平台密钥给操作系统和核心应用签名，如果恶意程序使用了相同密钥签名，那么它们将被分配到高权限的 android.uid.system 用户 ID，拥有系统级访问权限。Google Android 安全团队的 Łukasz Siewierski 报告多个恶意应用样本使用了 10 个平台证书，这些证书属于 OEM 厂商如三星、LG、锐伟科技和联发科。Google 已经通知了所有受影响的厂商，并建议它们轮换平台证书，调查证书是如何泄露的。

过去十多年内存安全漏洞占到了所有产品漏洞的 65% 以上，但从 2019 到 2022 年 Android 中内存安全漏洞的比例从 76% 降至了 35%，2022 年是第一年内存安全漏洞不再占到 Android 漏洞的半数以上。Google 的 Jeffrey Vander Stoep 表示，虽然相关性不能代表因果性，但内存安全漏洞的减少与采用 Rust 语言有关。 Android 12 开始支持 Rust 作为 C/C++ 的内存安全替代语言。在 Android 13 中，所有新增原生代码(C/C++/Rust) 中有 21% 是 Rust 编写的，Android 开源项目 AOSP 中有大约 150 万行 Rust 代码，到目前为止 Rust 代码中没有发现任何内存安全漏洞。Google 并不预计这个数字会永远保存为零，但相对于 Rust 的代码行数，Rust 实现了其预期的目的，即防止最常见的内存安全漏洞。

11 月 8 日，加拿大 Calgary 大学教授 Joel Reardon 和 UC 伯克利的 Serge Egelman 在 Mozliia 的邮件列表上报告，他们发现 TrustCor CA 与间谍软件开发商 Measurement Systems 和 Packet Forensics 存在千丝万缕的关系，其中后者是一家美国军方的承包商。虽然没有发现 TrustCor 签发了有问题的证书，两位研究人员对这一关联性表达了担忧。TrustCor 的高管 Rachel McPherson 在邮件列表上做出了回应，否认与 Measurement Systems 或 Packet Forensics 有任何业务往来或任何关联，但其回应未能令人满意。Mozilla Firefox 和 Microsoft Edge 宣布将停止信任 TrustCor 签发的新证书，其他浏览器开发商预计将会很快跟进。