賈浩楠 發自 凹非寺
量子位 報導 | 公眾號 QbitAI
一個已經修復一個月的微軟系統漏洞,今天突然在HackerNews上火了起來。
不光如此,還有開發者專門在GitHub為這個漏洞建立項目。
但是,大家熱議的焦點並不在漏洞本身,而是本來十分嚴重的漏洞,微軟卻將它標記為最低等級,並竭力淡化影響。
修復漏洞的速度也很慢。
微軟對於嚴重漏洞「大事化小」的做法,引來網友一致吐槽,甚至還有人翻起了微軟的「舊帳」。
這個漏洞到底有多嚴重?微軟真的「護短」嗎?
什麼樣的漏洞?
今年8月,微軟團隊協作工具Microsoft Teams,被指出存在嚴重的遠程執行漏洞。
這個遠程代碼執行漏洞可由teams.microsoft.com的新XSS(跨站點腳本)注入觸發。
黑客在受害者的PC上執行任意代碼,而無需用戶交互。
在Teams的所有支持的平臺(Windows、macOS、Linux)桌面應用程式都可能受到影響
攻擊者只需要在Teams中給目標發送一條看起來很正常的消息。受害者只要點擊查看消息,然後就會遠程執行代碼。
整個過程不用任何其他互動。
在演示中,攻擊者只需要發送一個非交互式的HTTP請求即可。
在遠程代碼開始執行時,可以看到屏幕上一閃而過的模板字符串注入,但普通用戶很難察覺到。
此後,公司的內部網絡,個人文件,Office文檔/郵件/便箋,加密聊天等等都會成為攻擊或盜取對象。
定位「最低級」,合理嗎?
微軟將這個漏洞定為「重要、有欺騙性」,幾乎是Office365 Cloud 漏洞賞金計劃中級別最低的漏洞。
但從漏洞本身能造成的危害上來說,Teams漏洞可以導致:
在私人設備上任意執行命令,而不與受害者進行交互(隱蔽性)。
除了Teams,還可以訪問私人聊天、文件、內部網絡、私人密鑰和個人數據。
訪問SSO令牌,因此除了Teams(Outlook,Office365等)之外,還可以調用其他微軟服務。
通過重定向到攻擊者網站或要求輸入SSO憑證,可能會受到釣魚攻擊
記錄鍵盤輸入內容。
利用這種攻擊方法還有一個致命的危害,即可以將執行代碼做成蠕蟲,通過Teams的用戶關係網絡自動傳播。
GitHub用戶Oskarsve說,他們的團隊甚至誕生了一個新的「梗」:現在只要出現遠程執行bug,都會說成「重要、有欺騙性」。
危害大、隱蔽性強、傳染性強,這樣的漏洞被定位最低級別,並且發現的時間是在今年8月份,而直到11月才完全修復。
微軟的態度,是網友們不滿的主要原因。
微軟:沒有義務做出解釋
微軟Teams漏洞被發現以後,Github用戶oskarsve數次向微軟安全響應中心反映,並詳細列出了漏洞可能帶來的嚴重後果。
三個月後,微軟方面終於有了結論,給了這個漏洞一個最低的級別。
同時,微軟方面還給出一個匪夷所思的說明:
桌面應用的漏洞「超出範圍」(out of scope)。
但桌面應用是大多數用戶使用Teams的方式。
oskarsve認為微軟的做法十分離譜,給出的說明也在敷衍用戶。
漏洞修復以後,面對用戶的質疑,和對漏洞危害性的詢問,微軟都拒絕回應。
11月底,微軟方面又補了一句:
當前微軟政策規定,無需對可自動更新的產品做CVE(通用漏洞披露)。
回復慢、還拒絕交流的態度惹惱了很多用戶。
Oskarsve在GitHub就此事建了主頁,並且詳細列出時間線,Hackernews一下炸開了鍋。
大家紛紛翻起了微軟的黑歷史。
比如,有用戶反映,微軟對於自家產品的漏洞,一直都是大事化小、不解釋的態度。
早在20年前IE5瀏覽器上線時,要報告bug,必須要用信用卡支付100美元定金。
如果bug屬實,100美元退還,如果沒bug,100美元就作為浪費微軟時間的補償。「doge」
後來有人詳細說明了當時的政策:
收費項目是微軟技術支持電話的服務費,如果最後證實是微軟方面的bug,則用戶無需支付這筆費用。
此外,還有用戶說,IE7時代時,瀏覽器和ClickOnce啟動器無法兼容,向微軟團隊反映數月也無果。
最後還引起了微軟和ClickOnce工作人員之間的論戰。
這個問題直到Edge瀏覽器時代依然存在。
翻一翻HC上關於這則消息的評論,240多條討論,大多都是這樣故事。
微軟在桌面PC上的優勢和壟斷難破,用戶苦之久矣……
微軟漏洞有過讓你糟心的經歷嗎?
參考連結:
https://news.ycombinator.com/item?id=25331407
https://github.com/oskarsve/ms-teams-rce
— 完 —
本文系網易新聞•網易號特色內容激勵計劃籤約帳號【量子位】原創內容,未經帳號授權,禁止隨意轉載。
原標題:《微軟:修復系統漏洞你們還罵我???》
閱讀原文