提供密码管理服务的 LastPass 披露了最新的安全事故。LastPass 称它最近在第三方云储存服务监测到异常活动，它立即启动了调查。初步结论是这次事故与今年八月的安全事故有关联。在今年 8 月黑客通过一个入侵的开发者账号获得了对部分开发环境的访问权限，窃取了部分源代码和私有技术信息。LastPass 称正在判断最新事故的影响范围，它表示客户的密码仍然是安全的，它利用了行业标准的 Zero Knowledge 零知识架构确保它也不知道客户的主密码。

最近申请破产的 FTX 交易平台前 CEO Sam Bankman-Fried（SBF） 接受了加密货币视频博主 Tiffany Fong 的两次电话采访。第一次采访是在 11 月 6 日，11 月 29 日发布。在采访中他被问道了一些尖锐的问题，如 FTX 的系统是否存在后门，允许 SBF 在不惊动其他人的情况下执行命令改变公司财务记录。SBF 对此表示惊讶，称他完全不懂编程，从未打开过 FTX 的任何代码。SBF 广泛参与了政治活动，曾向美国民主党捐款，他表示其实他给民主党和共和党的捐款金额基本相同，只是给共和党的捐款没有摆在明处。对于公司倒闭及围绕他的丑闻，SBF 称他每天醒来都会花几小时反思。

Google Project Zero 安全团队想要消灭 0day，它采用的一种方法是公开督促企业加快修复漏洞，其中包括 Google 自己。在最新的官方博客中，它批评了 Android 和 Pixel 团队。今年 6 月，Project Zero 研究员 Maddie Stone 报告了一个位于 ARM GPU 驱动中正被利用的提权漏洞，另一位研究员 Jann Horn 接下来三周在驱动中发现了多个相关漏洞，这些漏洞允许攻击者获得系统的完整访问权限，绕过 Android 的权限模型。他们向 ARM 报告了漏洞，ARM 在 7 月和 8 月修复了漏洞并公布相关源代码，然而 Android 至今没有给用户打上补丁。这一次掉链子的是 Google 和 Android OEM。高通使用了自己的 GPU，但 Google 的 Tensor SoC 使用了 ARM GPU，三星和联发科也都使用了 ARM GPU，这意味着受影响的设备数量多达数百万部。Google 接受采访时表示它正在测试补丁，将会在未来几周释出。

逾 540 万 Twitter 账号信息在一个黑客论坛免费共享。今年早些时候黑客以 3 万美元的价格兜售这批数据。黑客利用的漏洞是在 2022 年 1 月 1 日 HackerOne 用户“zhirinovskiy”报告的， Twitter 的 Android 客户端的身份验证环节存在漏洞，允许攻击者获取目标账号相关的电话号码和/或电子邮件地址。Twitter 确认了这一漏洞，奖励了 zhirinovskiy 5,040 美元奖金。但在修复前，可能有多位黑客利用了该漏洞窃取了数据。

Google 释出了紧急更新修复了一个正被利用的 Chrome 桌面浏览器 0day，这是今年 Chrome 的第 8 个 0day。该高危漏洞编号为 CVE-2022-4135，为 GPU 中的一个堆溢出漏洞，由 Google Threat Analysis Group 的 Clement Lecigne 在 11 月 22 日发现。在大部分用户完成更新前 Google 没有披露漏洞细节，它建议桌面用户立即更新到新版本 107.0.5304.122 。Google Chrome 今年发现的前 7 个 0day 是 2 月 14 日的 CVE-2022-0609、3 月 25 日的 CVE-2022-1096、4 月 14 日的 CVE-2022-1364、7 月 4 日的 CVE-2022-2294 、8 月 17 日的 CVE-2022-2856、9 月 2 日的 CVE-2022-3075，10 月 28 日的 CVE-2022-3723。

NordPass 公布了 2022 年最常用密码名单，以及破解密码所需的时间。最常用密码相比过去几年差异并不大：password、123456、123456789、guest、qwerty、12345678、111111、12345、col123456 和 123123。对于不重要的密码，大部分人都会选择容易记忆的数字或短语。破解大部分常用密码只需要不到一秒钟，少数可能需要 10 秒或更长时间，比如 col123456。NordPass 还公布了与密码趋势相关的统计：在奥斯卡奖颁奖季节使用 Oscars 作为密码的频率会大幅增加，在流行电影电视剧放映期间同名密码也会大增，比如 batman、euphoria 和 encanto。

微软将于 2023 年 1 月 10 日停止对 Windows 8.1 的支持，且不提供扩展支持包。对 Windows 8.1 用户而言，选择只有两个：购买新 Windows PC，或者付费升级到 Windows 10 或 11。1 月 10 日之后，微软将停止向 Windows 8.1 提供安全补丁，意味着用户将会面临更大的安全风险。如果 Windows 8.1 想要升级，鉴于 Windows 11 提高了硬件需求，大部分 Windows 8.1 PC 可能满足不了升级条件，只剩下升级到 Windows 10 这一选项。微软将会一直支持 Windows 10 到 2025 年 10 月 14 日。

2020 年 5 月，一家公司感染了新勒索软件 Zeppelin，更糟糕的是备份数据也被加密了。在两周之后，老板准备屈服按要求支付赎金。这时候他们收到了一个意想不到的电话，一位 FBI 特工告诉他们不要支付赎金，可以联络一家网络安全咨询公司 Unit 221B，他们能破解密码。这家公司的创始人 Lance James 在 Zeppelin 的加密程序中发现了多个漏洞，允许他使用大约 100 台云端服务器在几个小时内暴力破解密钥。Unit 221B 不愿意声张他们的破解能力，因为如果被 Zeppelin 作者知道的话，漏洞会被堵上，破解也就失效了。Unit 221B 帮助数十名受害者避免支付赎金，而结果是 Zeppelin 勒索软件黑帮逐渐停止了活动。现在他们能公开自己的破解方法了。

Elastic Security Labs 发布了其报告《2022 Global Threat Report》，只有 6.2% 的恶意程序是针对 macOS 设备，而针对 Windows 和 Linux 的恶意程序分别占 54.4% 和 39.4%。其中令人意外的是近半数 macOS 恶意程序来自一个应用 MacKeeper，讽刺的是该应用自称零努力就能保护 Mac 干净且安全。但因为该应用拥有广泛的权限，能访问进程和文件，攻击者能滥用它，保护系统安全的应用变成了一种安全风险。MacKeeper 还被指对新手而言难以卸载，很多用户还将其标记为恶意杀毒软件。

赛门铁克的安全研究人员报告黑客组织 Billbug aka Thrip aka Lotus Blossom 使用多种恶意程序入侵一家 CA 机构。CA 机构签发的证书对浏览器和操作系统至关重要，用于证明特定应用和服务器的身份。如果黑客获得了对 CA 机构基础设施的控制权，它可以给自己的恶意程序签名，更容易绕过终端防护。此外还可以冒充信任的网站或拦截加密数据。在入侵该 CA 机构过程中，黑客使用了后门程序如 Hannotog 和 Sagerunex，以及大量合法软件如 AdFind、Winmail、WinRAR、Ping、Tracert、Route、NBTscan、Certutil 和 Port Scanner。

Googe 向一位发现 Pixel 锁屏绕过漏洞的研究人员奖励了七万美元。这个漏洞被称为 CVE-2022-20465，被描述为本地提权漏洞，允许任何人在能访问设备的情况下无需密码解锁 Google Pixel 智能手机。匈牙利研究人员 David Schutz 是无意中发现该漏洞的，他旅行回到家，Pixel 6 只剩下 1% 的电，自动关机时他正在写短信，他赶紧给手机充电重启手机，手机要求输入 Pin 码，但他一时间忘记了...在解锁手机过程中他发现任何接触到 Pixel 手机的人都可以换上自己的 SIM 卡，输入预设恢复代码，绕过操作系统的锁屏保护。他向 Google 报告了漏洞，Google 在本月初释出的安全更新中修复了该漏洞。

澳大利亚内政部长 Clare O’Neil 周日表示政府考虑将向勒索软件黑客支付赎金列为非法行为。澳大利亚最大健康保险公司 Medibank 上个月遭到了勒索软件的攻击，攻击者窃取了近千万用户数据，并按照每位用户数据一美元的价格勒索千万美元。澳大利亚政府官员表示黑客属于俄罗斯的一个有组织犯罪团伙。澳执法机构 Australian Federal Police (AFP)和情报机构 Australian Signals Directorate 之间将设立一个联合组织专门致力于打击网络犯罪。总理  Anthony Albanese 此前表示将竭尽所能限制 Medibank 黑客攻击的影响。

这两个缓解措施均是可被绕过的，VED 目前的版本是基于 LKRG 实现的，检查的完整性与性能的平衡是需要考虑的。更加严密的 msg 是可能的，但是 kprobe 的检查点数量，计算量需要多的多。另外则是虽然这两个缓解措施均可被绕过，但是叠加两者，由于其中的检查是相互交叉的，比方说完整性检查包含的 struct msg_msgseg *next, size_t m_ts，和越界检查。这使得漏洞利用需要依赖于原代码路径来实现堆喷，和更依赖同类型的 object 之间的污染，使得 msg 的漏洞利用困难程度上升。当然这些专门的绕过对资深的内核黑客来说不会是多大的问题。VED 也在探索更加完整并且平衡性能损耗的方案。" 查看全文

微软认为俄罗斯军方情报部门是上个月针对波兰和乌克兰运输物流部门的勒索软件攻击的幕后发起者。发起网络攻击的黑客组织被称为 Sandworm，而微软则将其命名为 Iridium，被认为是最有才华和最具有破坏性的黑客组织之一，被普遍认为得到了俄罗斯军事情报总局的支持。Sandworm 与 2017 年的 NotPetya 网络攻击有关，这次网络攻击在全球造成了百亿美元的损失。Sandworm 还与对乌克兰电网的物理攻击有关。微软上个月称，波兰和乌克兰运输物流部门遭到此前未知的勒索软件 Prestige 的攻击。本周四微软在对该勒索软件的分析取证之后表示，Prestige 与 Iridium 有关联。

澳洲保险公司 Medibank 上个月证实在最近发生的勒索软件攻击中黑客访问了所有客户的个人信息和部分索赔数据，其中包含了它的所有国际学生客户。Medibank 是澳大利亚最大的私营健康保险公司之一。黑客本周四在暗网发表声明，要求以每位客户一美元的费用支付赎金，共有 970 万用户受到影响，赎金将接近 1 千万美元。Medibank CEO David Koczkar 诅咒黑客的行动是可耻的，同时再次向客户道歉，该公司拒绝支付赎金。

联想更新了 25 款笔记本电脑的固件，修复允许攻击者禁用 UEFI Secure Boot 然后安装恶意固件植入永久性后门的漏洞，受影响的笔记本型号包括 ThinkPads、Yoga Slims 和 IdeaPads。UEFI 位于主板的闪存芯片上，它是安全链的首个环节，它被感染了恶意代码是很难检测和移除，它会在系统一次次重新安装之后仍然存在。安全公司 ESET 的研究人员报告了三个漏洞 CVE-2022-3430、CVE-2022-3431 和 CVE-2022-3432。

希腊政府表示将立法禁止销售间谍软件。在这之前，总理 Kyriakos Mitsotakis 的政府被指使用 Cytrox 公司开发的间谍软件 Predator 对数十名知名政治家、记者和商人进行监控。Mitsotakis 周一称这一指控是“最不可信的谎言”，他表示希腊将成为首个制定立法，明确禁止在国内销售此类软件的国家。社会主义反对派领导人 Nikos Androulakis 在今年七月向最高检察官提起诉讼，指控有人尝试用间谍软件入侵其手机。Mitsotakis 否认对黑客攻击知情，表示永远不会批准此类行动。

微软本周二释出了 11 月的例行安全更新，修复了 6 个正被利用的 0day。其中两个 CVE-2022-41040 和 CVE-2022-41082 位于 Exchange 服务器中，属于高危漏洞，黑客组合利用这两个漏洞能在服务器上执行恶意代码。漏洞被统称为 ProxyNotShell，Shodan 搜索显示在漏洞公开之际有大约 22 万个服务器存在该漏洞，微软上个月称使用简体中文的黑客正在利用该漏洞。第三个 0day 是 Windows 高危漏洞 CVE-2022-41128，能被攻击者远程执行恶意代码，它是 Google 的 Threat Analysis Group 安全研究人员发现的。另外两个 0day 属于提权漏洞，其中 CVE-2022-41073 位于微软的打印后台服务中，CVE-2022-41125 位于 Windows CNG Key Isolation Service 中。最后一个 0day CVE-2022-41091 允许黑客创建恶意文件躲避 Mark of the Web。微软本月的安全更新共修复了 68 个漏洞，11 个为高危漏洞。

HardenedVault 写道 "中国，德国和美国的政府部门在关键基础设施供应链安全的推进的方式还是有所不同，美国自从EO 14028以来都是以技术指南为中心，这为企业在技术评估和操作层面提供了参考。欧洲设定了最低的技术要求作为强制性合规，但考虑到其他的合规比如GDPR基于风险合规的因素，企业不达到行业最佳实践的水平下实际上会带来更高的合规风险。中国的策略不同于美国和欧洲，关键信息基础设施安全保护要求中包含了技术范围和目标，具体的实际操作层面应该有其他的技术指南进行参考。在全球高级威胁防护的大趋势下，基础架构及平台固件属于整体防御中核心的环节之一，从上面的公开信息来看也是未来合规的一部分，CISO应该在繁杂的应用安全和边界安全中抽身花一点时间去考虑如何应对未来的各国合规要求，一些不依赖合规驱动的行业比如crypto custody/exchange则需要基于下一代数据中心安全方案这类更激进的策略去面对现在和未来的风险和威胁。"

Python 软件包仓库 PyPI 的自动化风险检测平台发现了数十个新发布的恶意软件包。攻击者拷贝了现有的合法软件包，然后注入恶意的 __import__ 声明，试图植入恶意程序 W4SP Stealer。拷贝合法软件包的好处是因为 PyPI 软件包的登录页是根据 setup.py 和 README.md 生成的，除非仔细检查，恶意软件包的登录页乍一看会被认为是合法的。攻击者使用了有意思的策略防止开发者在阅读代码时发现注入的恶意声明，方法是在代码中留了大量的空格，在编辑器的显示窗口上你需要拉到最右边才可能发现恶意注入。正常声明和恶意声明之间留了 318 个空格。