微軟:修復系統(tǒng)漏洞你們還罵我?
本文經(jīng)AI新媒體量子位(公眾號ID:QbitAI)授權轉(zhuǎn)載,轉(zhuǎn)載請聯(lián)系出處。
一個已經(jīng)修復一個月的微軟系統(tǒng)漏洞,今天突然在HackerNews上火了起來。
不光如此,還有開發(fā)者專門在GitHub為這個漏洞建立項目。
但是,大家熱議的焦點并不在漏洞本身,而是本來十分嚴重的漏洞,微軟卻將它標記為最低等級,并竭力淡化影響。
修復漏洞的速度也很慢。
微軟對于嚴重漏洞「大事化小」的做法,引來網(wǎng)友一致吐槽,甚至還有人翻起了微軟的「舊賬」。
這個漏洞到底有多嚴重?微軟真的「護短」嗎?
什么樣的漏洞?
今年8月,微軟團隊協(xié)作工具Microsoft Teams,被指出存在嚴重的遠程執(zhí)行漏洞。
這個遠程代碼執(zhí)行漏洞可由teams.microsoft.com的新XSS(跨站點腳本)注入觸發(fā)。
黑客在受害者的PC上執(zhí)行任意代碼,而無需用戶交互。
在Teams的所有支持的平臺(Windows、macOS、Linux)桌面應用程序都可能受到影響
攻擊者只需要在Teams中給目標發(fā)送一條看起來很正常的消息。受害者只要點擊查看消息,然后就會遠程執(zhí)行代碼。
整個過程不用任何其他互動。
在演示中,攻擊者只需要發(fā)送一個非交互式的HTTP請求即可。
在遠程代碼開始執(zhí)行時,可以看到屏幕上一閃而過的模板字符串注入,但普通用戶很難察覺到。
此后,公司的內(nèi)部網(wǎng)絡,個人文件,Office文檔/郵件/便箋,加密聊天等等都會成為攻擊或盜取對象。
定位「最低級」,合理嗎?
微軟將這個漏洞定為「重要、有欺騙性」,幾乎是Office365 Cloud 漏洞賞金計劃中級別最低的漏洞。
但從漏洞本身能造成的危害上來說,Teams漏洞可以導致:
在私人設備上任意執(zhí)行命令,而不與受害者進行交互(隱蔽性)。
除了Teams,還可以訪問私人聊天、文件、內(nèi)部網(wǎng)絡、私人密鑰和個人數(shù)據(jù)。
訪問SSO令牌,因此除了Teams(Outlook,Office365等)之外,還可以調(diào)用其他微軟服務。
通過重定向到攻擊者網(wǎng)站或要求輸入SSO憑證,可能會受到釣魚攻擊
記錄鍵盤輸入內(nèi)容。
利用這種攻擊方法還有一個致命的危害,即可以將執(zhí)行代碼做成蠕蟲,通過Teams的用戶關系網(wǎng)絡自動傳播。
GitHub用戶Oskarsve說,他們的團隊甚至誕生了一個新的「梗」:現(xiàn)在只要出現(xiàn)遠程執(zhí)行bug,都會說成「重要、有欺騙性」。
危害大、隱蔽性強、傳染性強,這樣的漏洞被定位最低級別,并且發(fā)現(xiàn)的時間是在今年8月份,而直到11月才完全修復。
微軟的態(tài)度,是網(wǎng)友們不滿的主要原因。
微軟:沒有義務做出解釋
微軟Teams漏洞被發(fā)現(xiàn)以后,Github用戶oskarsve數(shù)次向微軟安全響應中心反映,并詳細列出了漏洞可能帶來的嚴重后果。
三個月后,微軟方面終于有了結論,給了這個漏洞一個最低的級別。
同時,微軟方面還給出一個匪夷所思的說明:
桌面應用的漏洞「超出范圍」(out of scope)。
但桌面應用是大多數(shù)用戶使用Teams的方式。
oskarsve認為微軟的做法十分離譜,給出的說明也在敷衍用戶。
漏洞修復以后,面對用戶的質(zhì)疑,和對漏洞危害性的詢問,微軟都拒絕回應。
11月底,微軟方面又補了一句:
當前微軟政策規(guī)定,無需對可自動更新的產(chǎn)品做CVE(通用漏洞披露)。
回復慢、還拒絕交流的態(tài)度惹惱了很多用戶。
Oskarsve在GitHub就此事建了主頁,并且詳細列出時間線,Hackernews一下炸開了鍋。
大家紛紛翻起了微軟的黑歷史。
比如,有用戶反映,微軟對于自家產(chǎn)品的漏洞,一直都是大事化小、不解釋的態(tài)度。
早在20年前IE5瀏覽器上線時,要報告bug,必須要用信用卡支付100美元定金。
如果bug屬實,100美元退還,如果沒bug,100美元就作為浪費微軟時間的補償。「doge」
后來有人詳細說明了當時的政策:
收費項目是微軟技術支持電話的服務費,如果最后證實是微軟方面的bug,則用戶無需支付這筆費用。
此外,還有用戶說,IE7時代時,瀏覽器和ClickOnce啟動器無法兼容,向微軟團隊反映數(shù)月也無果。
最后還引起了微軟和ClickOnce工作人員之間的論戰(zhàn)。
這個問題直到Edge瀏覽器時代依然存在。
翻一翻HC上關于這則消息的評論,240多條討論,大多都是這樣故事。
微軟在桌面PC上的優(yōu)勢和壟斷難破,用戶苦之久矣……
微軟漏洞有過讓你糟心的經(jīng)歷嗎?
