微軟:修復系統漏洞你們還罵我?

一個已經修復一個月的微軟系統漏洞,今天突然在HackerNews上火了起來,

不光如此,還有開發者專門在GitHub為這個漏洞建立項目,

但是,大家熱議的焦點并不在漏洞本身,而是本來十分嚴重的漏洞,微軟卻將它標記為最低等級,并竭力淡化影響。

修復漏洞的速度也很慢,

微軟對于嚴重漏洞「大事化小」的做法,引來網友一致吐槽,甚至還有人翻起了微軟的「舊賬」,

這個漏洞到底有多嚴重?微軟真的「護短」嗎?

什么樣的漏洞?

今年8月,微軟團隊協作工具Microsoft Teams,被指出存在嚴重的遠程執行漏洞,

這個遠程代碼執行漏洞可由teams.microsoft.com的新XSS(跨站點腳本)注入觸發,

黑客在受害者的PC上執行任意代碼,而無需用戶交互。

在Teams的所有支持的平臺(Windows、macOS、Linux)桌面應用程式都可能受到影響

攻擊者只需要在Teams中給目標發送一條看起來很正常的消息,受害者只要點擊查看消息,然后就會遠程執行代碼。

整個過程不用任何其他互動。

在演示中,攻擊者只需要發送一個非交互式的HTTP請求即可,

在遠程代碼開始執行時,可以看到屏幕上一閃而過的模板字符串注入,但普通用戶很難察覺到,

此后,公司的內部網路,個人文件,Office文檔/郵件/便箋,加密哈拉等等都會成為攻擊或盜取對象。

定位「最低級」,合理嗎?

微軟將這個漏洞定為「重要、有欺騙性」,幾乎是Office365 Cloud 漏洞賞金計劃中級別最低的漏洞。

但從漏洞本身能造成的危害上來說,Teams漏洞可以導致:

在私人設備上任意執行命令,而不與受害者進行交互(隱蔽性)。

除了Teams,還可以訪問私人哈拉、文件、內部網路、私人密鑰和個人數據,

訪問SSO令牌,因此除了Teams(Outlook,Office365等)之外,還可以調用其他微軟服務,

通過重定向到攻擊者網站或要求輸入SSO憑證,可能會受到釣魚攻擊

記錄鍵盤輸入內容。

利用這種攻擊方法還有一個致命的危害,即可以將執行代碼做成蠕蟲,通過Teams的用戶關系網路自動傳播,

GitHub用戶Oskarsve說,他們的團隊甚至誕生了一個新的「梗」:現在只要出現遠程執行bug,都會說成「重要、有欺騙性」。

危害大、隱蔽性強、傳染性強,這樣的漏洞被定位最低級別,并且發現的時間是在今年8月份,而直到11月才完全修復,

微軟的態度,是網友們不滿的主要原因。

微軟:沒有義務做出解釋

微軟Teams漏洞被發現以后,Github用戶oskarsve數次向微軟安全響應中心反映,并詳細列出了漏洞可能帶來的嚴重后果,

三個月后,微軟方面終于有了結論,給了這個漏洞一個最低的級別,

同時,微軟方面還給出一個匪夷所思的說明:

桌面應用的漏洞「超出范圍」(out of scope),

但桌面應用是大多數用戶使用Teams的方式。

oskarsve認為微軟的做法十分離譜,給出的說明也在敷衍用戶。

漏洞修復以后,面對用戶的質疑,和對漏洞危害性的詢問,微軟都拒絕回應,

11月底,微軟方面又補了一句:

當前微軟政策規定,無需對可自動更新的產品做CVE(通用漏洞披露)。

回復慢、還拒絕交流的態度惹惱了很多用戶。

Oskarsve在GitHub就此事建了主頁,并且詳細列出時間線,Hackernews一下炸開了鍋,

大家紛紛翻起了微軟的黑歷史。

比如,有用戶反映,微軟對于自家產品的漏洞,一直都是大事化小、不解釋的態度,

早在20年前IE5瀏覽器上線時,要報告bug,必須要用信用卡支付100美元定金,

如果bug屬實,100美元退還,如果沒bug,100美元就作為浪費微軟時間的補償,「doge」

后來有人詳細說明了當時的政策:

收費項目是微軟技術支持電話的服務費,如果最后證實是微軟方面的bug,則用戶無需支付這筆費用,

此外,還有用戶說,IE7時代時,瀏覽器和ClickOnce啟動器無法兼容,向微軟團隊反映數月也無果,

最后還引起了微軟和ClickOnce工作人員之間的論戰,

這個問題直到Edge瀏覽器時代依然存在,

翻一翻HC上關于這則消息的評論,240多條討論,大多都是這樣故事。

微軟在桌面PC上的優勢和壟斷難破,用戶苦之久矣……

微軟漏洞有過讓你糟心的經歷嗎?

0 条回复 A文章作者 M管理員
    暫無討論,說說你的看法吧