微软:你还骂我修复系统漏洞吗?
贾浩南是奥菲寺的
量子报告| QbitAI,微信官方账号
一个修复了一个月的微软系统bug今天突然在HackerNews上火了。
不仅如此,GitHub中还有针对这个漏洞构建项目的开发人员。
但热门话题不是漏洞本身,而是一个非常严重的漏洞,但微软却将其标为最低级,并竭力淡化其影响力。
修复漏洞也很慢。
微软对于严重漏洞“化大为小”的做法,引来网友一致吐槽,甚至有人翻了微软的“旧账”。
这个漏洞有多严重?微软真的“护短”吗?
什么样的漏洞?
今年8月,微软团队,一个微软团队协作工具,被指出有严重的远程执行漏洞.
这个远程代码执行漏洞可以由teams.microsoft.com的新XSS(跨站点脚本)注入触发。
黑客在受害者的电脑上执行任意代码,无需用户交互。
桌面应用程序可能会在所有支持的团队平台上受到影响(Windows、macOS、Linux)
攻击者只需要发送一条对团队中的目标来说看起来正常的消息。受害者只需点击查看消息,然后远程执行代码。
整个过程不需要任何其他交互。
在演示中,攻击者只需要发送一个非交互式的HTTP请求。
当远程代码开始执行时,可以看到屏幕上闪现的模板字符串注入,但是普通用户很难检测到。
之后是公司内部网络,个人档案,Office文档/邮件/笔记,加密聊天等。都会被攻击或偷走。
定位最低层是否合理?
微软将此漏洞定义为“重要且具有欺骗性”,几乎是Office365云漏洞奖励计划中的最低级别漏洞。
但是就漏洞本身造成的危害而言,团队漏洞可能导致:
在私人设备上任意执行命令,不与受害者交互(隐藏)。
除了团队,您还可以访问私人聊天、文件、内部网、私钥和个人数据。
访问SSO令牌,这样就可以调用团队之外的其他微软服务(Outlook、Office365等。).
通过重定向到攻击者的网站或请求单点登录凭据,您可能会遭受网络钓鱼攻击
记录键盘输入。
使用这种攻击方式还有一个致命的危险,就是可以将执行代码做成蠕虫,通过Teams的用户关系网络自动传播。
GitHub用户Oskarsve说,他们的团队甚至诞生了一个新的“梗”:现在,每当出现远程执行的bug,就会被说成是“重要的,骗人的”。
有害、隐蔽、传染,此类漏洞位于最低层,今年8月发现,11月才彻底修复。
微软的态度是网民不满的主要原因。
微软:没有解释的义务
微软团队漏洞被发现后,Github用户oskarsve多次向微软安全响应中心报告,并详细列出了该漏洞可能带来的严重后果。
三个月后,微软终于得出结论,给了这个漏洞一个最低级别。
同时,微软也给出了一个不可思议的解释:
桌面应用的漏洞“超出范围”。
但是桌面应用程序是大多数用户使用团队的方式。
Oskarsve认为微软的做法令人发指,给出的解释都是敷衍用户。
bug修复后,微软拒绝回应用户关于bug危害性的提问和查询。
11月底,微软补充道:
根据微软目前的政策,没有必要对可以自动更新的产品进行CVE(一般漏洞披露)。
反应慢,拒绝交流,惹恼了很多用户。
Oskarsve在GitHub上建立了一个主页,详细列出了时间线。黑客新闻爆炸了。
所有人都翻出了微软的黑历史。
例如,一些用户报告称,微软对其自身产品的漏洞一直持大事化小、不解释's态度。
早在20年前,IE5浏览器上线的时候,为了举报bug,你要用信用卡交100美元的押金。
如果bug为真,100美元退款;如果没有错误,100美元将作为浪费微软时间的补偿。「狗」
后来,有人详细解释了当时的政策:
收费项目是微软技术支持电话的服务费。如果结果是微软的bug,用户不需要支付这个费用。
此外,有用户表示,在IE7时代,浏览器和ClickOnce启动器不兼容,几个月没有向微软团队报告。
最后引起了微软和ClickOnce工作人员的争议。
这个问题一直存在到Edge浏览器时代。
在HC里看一下这个新闻的评论,讨论的有240多个,大部分都是这样的故事。
微软在台式电脑上的优势和垄断地位很难打破,用户已经痛苦了很久.
你有过微软漏洞不好的经历吗?