微軟:修復(fù)系統(tǒng)漏洞你們還罵我???
Python實(shí)戰(zhàn)社群
Java實(shí)戰(zhàn)社群
長(zhǎng)按識(shí)別下方二維碼,按需求添加
掃碼關(guān)注添加客服
進(jìn)Python社群▲
掃碼關(guān)注添加客服
進(jìn)Java社群▲
賈浩楠 發(fā)自 凹非寺
量子位 報(bào)道 | 公眾號(hào) QbitAI
“本文經(jīng)AI新媒體量子位(公眾號(hào) ID: QbitAI)授權(quán)轉(zhuǎn)載,轉(zhuǎn)載請(qǐng)聯(lián)系出處”
一個(gè)已經(jīng)修復(fù)一個(gè)月的微軟系統(tǒng)漏洞,今天突然在HackerNews上火了起來(lái)。
不光如此,還有開(kāi)發(fā)者專(zhuān)門(mén)在GitHub為這個(gè)漏洞建立項(xiàng)目。
但是,大家熱議的焦點(diǎn)并不在漏洞本身,而是本來(lái)十分嚴(yán)重的漏洞,微軟卻將它標(biāo)記為最低等級(jí),并竭力淡化影響。
修復(fù)漏洞的速度也很慢。
微軟對(duì)于嚴(yán)重漏洞「大事化小」的做法,引來(lái)網(wǎng)友一致吐槽,甚至還有人翻起了微軟的「舊賬」。
這個(gè)漏洞到底有多嚴(yán)重?微軟真的「護(hù)短」嗎?
什么樣的漏洞?
今年8月,微軟團(tuán)隊(duì)協(xié)作工具M(jìn)icrosoft Teams,被指出存在嚴(yán)重的遠(yuǎn)程執(zhí)行漏洞。
這個(gè)遠(yuǎn)程代碼執(zhí)行漏洞可由teams.microsoft.com的新XSS(跨站點(diǎn)腳本)注入觸發(fā)。
黑客在受害者的PC上執(zhí)行任意代碼,而無(wú)需用戶(hù)交互。
在Teams的所有支持的平臺(tái)(Windows、macOS、Linux)桌面應(yīng)用程序都可能受到影響
攻擊者只需要在Teams中給目標(biāo)發(fā)送一條看起來(lái)很正常的消息。受害者只要點(diǎn)擊查看消息,然后就會(huì)遠(yuǎn)程執(zhí)行代碼。
整個(gè)過(guò)程不用任何其他互動(dòng)。
在演示中,攻擊者只需要發(fā)送一個(gè)非交互式的HTTP請(qǐng)求即可。
在遠(yuǎn)程代碼開(kāi)始執(zhí)行時(shí),可以看到屏幕上一閃而過(guò)的模板字符串注入,但普通用戶(hù)很難察覺(jué)到。
此后,公司的內(nèi)部網(wǎng)絡(luò),個(gè)人文件,Office文檔/郵件/便箋,加密聊天等等都會(huì)成為攻擊或盜取對(duì)象。
定位「最低級(jí)」,合理嗎?
微軟將這個(gè)漏洞定為「重要、有欺騙性」,幾乎是Office365 Cloud 漏洞賞金計(jì)劃中級(jí)別最低的漏洞。
但從漏洞本身能造成的危害上來(lái)說(shuō),Teams漏洞可以導(dǎo)致:
在私人設(shè)備上任意執(zhí)行命令,而不與受害者進(jìn)行交互(隱蔽性)。
除了Teams,還可以訪(fǎng)問(wèn)私人聊天、文件、內(nèi)部網(wǎng)絡(luò)、私人密鑰和個(gè)人數(shù)據(jù)。
訪(fǎng)問(wèn)SSO令牌,因此除了Teams(Outlook,Office365等)之外,還可以調(diào)用其他微軟服務(wù)。
通過(guò)重定向到攻擊者網(wǎng)站或要求輸入SSO憑證,可能會(huì)受到釣魚(yú)攻擊
記錄鍵盤(pán)輸入內(nèi)容。
利用這種攻擊方法還有一個(gè)致命的危害,即可以將執(zhí)行代碼做成蠕蟲(chóng),通過(guò)Teams的用戶(hù)關(guān)系網(wǎng)絡(luò)自動(dòng)傳播。
GitHub用戶(hù)Oskarsve說(shuō),他們的團(tuán)隊(duì)甚至誕生了一個(gè)新的「梗」:現(xiàn)在只要出現(xiàn)遠(yuǎn)程執(zhí)行bug,都會(huì)說(shuō)成「重要、有欺騙性」。
危害大、隱蔽性強(qiáng)、傳染性強(qiáng),這樣的漏洞被定位最低級(jí)別,并且發(fā)現(xiàn)的時(shí)間是在今年8月份,而直到11月才完全修復(fù)。
微軟的態(tài)度,是網(wǎng)友們不滿(mǎn)的主要原因。
微軟:沒(méi)有義務(wù)做出解釋
微軟Teams漏洞被發(fā)現(xiàn)以后,Github用戶(hù)oskarsve數(shù)次向微軟安全響應(yīng)中心反映,并詳細(xì)列出了漏洞可能帶來(lái)的嚴(yán)重后果。
三個(gè)月后,微軟方面終于有了結(jié)論,給了這個(gè)漏洞一個(gè)最低的級(jí)別。
同時(shí),微軟方面還給出一個(gè)匪夷所思的說(shuō)明:
桌面應(yīng)用的漏洞「超出范圍」(out of scope)。
但桌面應(yīng)用是大多數(shù)用戶(hù)使用Teams的方式。
oskarsve認(rèn)為微軟的做法十分離譜,給出的說(shuō)明也在敷衍用戶(hù)。
漏洞修復(fù)以后,面對(duì)用戶(hù)的質(zhì)疑,和對(duì)漏洞危害性的詢(xún)問(wèn),微軟都拒絕回應(yīng)。
11月底,微軟方面又補(bǔ)了一句:
當(dāng)前微軟政策規(guī)定,無(wú)需對(duì)可自動(dòng)更新的產(chǎn)品做CVE(通用漏洞披露)。
回復(fù)慢、還拒絕交流的態(tài)度惹惱了很多用戶(hù)。
Oskarsve在GitHub就此事建了主頁(yè),并且詳細(xì)列出時(shí)間線(xiàn),Hackernews一下炸開(kāi)了鍋。
大家紛紛翻起了微軟的黑歷史。
比如,有用戶(hù)反映,微軟對(duì)于自家產(chǎn)品的漏洞,一直都是大事化小、不解釋的態(tài)度。
早在20年前IE5瀏覽器上線(xiàn)時(shí),要報(bào)告bug,必須要用信用卡支付100美元定金。
如果bug屬實(shí),100美元退還,如果沒(méi)bug,100美元就作為浪費(fèi)微軟時(shí)間的補(bǔ)償。「doge」
后來(lái)有人詳細(xì)說(shuō)明了當(dāng)時(shí)的政策:
收費(fèi)項(xiàng)目是微軟技術(shù)支持電話(huà)的服務(wù)費(fèi),如果最后證實(shí)是微軟方面的bug,則用戶(hù)無(wú)需支付這筆費(fèi)用。
此外,還有用戶(hù)說(shuō),IE7時(shí)代時(shí),瀏覽器和ClickOnce啟動(dòng)器無(wú)法兼容,向微軟團(tuán)隊(duì)反映數(shù)月也無(wú)果。
最后還引起了微軟和ClickOnce工作人員之間的論戰(zhàn)。
這個(gè)問(wèn)題直到Edge瀏覽器時(shí)代依然存在。
翻一翻HC上關(guān)于這則消息的評(píng)論,240多條討論,大多都是這樣故事。
微軟在桌面PC上的優(yōu)勢(shì)和壟斷難破,用戶(hù)苦之久矣……
微軟漏洞有過(guò)讓你糟心的經(jīng)歷嗎?
參考鏈接:
https://news.ycombinator.com/item?id=25331407
https://github.com/oskarsve/ms-teams-rce
— 完 —
本文系網(wǎng)易新聞?網(wǎng)易號(hào)特色內(nèi)容激勵(lì)計(jì)劃簽約賬號(hào)【量子位】原創(chuàng)內(nèi)容,未經(jīng)賬號(hào)授權(quán),禁止隨意轉(zhuǎn)載。
近期精彩內(nèi)容推薦:??
?SpringBoot 實(shí)現(xiàn)并發(fā)登錄人數(shù)控制
好文分享給更多人↓↓