一个修复了一个月的微软系统漏洞今天突然在HackerNews上火了。
不仅如此,开发者还在GitHub中专门针对该漏洞设置了项目。
然而,热议的焦点并不是漏洞本身,而是一个非常严重的漏洞,但微软却将其标记为最低级别,并竭力淡化其影响。
修复漏洞的速度也很慢。
微软对严重漏洞“大事化小”的做法引来网友一致抱怨,甚至有人翻微软的“旧账”。
这个漏洞有多严重?微软真的“护短”吗?
什么样的漏洞?
今年8月,微软团队协作工具Microsoft Teams被指出存在严重的远程执行漏洞。
此远程代码执行漏洞可由teams.microsoft.com的新XSS(跨站点脚本)注入触发。
黑客在受害者的PC上执行任意代码,无需用户交互。
团队所有支持平台(Windows、macOS、Linux)上的桌面应用程序可能会受到影响。
攻击者只需要向团队中的目标发送看似正常的消息。受害者只需要点击查看消息,然后代码就会被远程执行。
整个过程不需要任何其他的交互。
在演示中,攻击者只需要发送一个非交互式的HTTP请求。
当远程代码开始执行时,可以看到屏幕上闪现模板字符串注入,但普通用户很难注意到。
此后公司内网、个人档案、办公文档/邮件/笔记、加密聊天记录等。都将成为攻击或盗窃的目标。
“最底层”的定位是否合理?
微软将该漏洞定为“重要且具有欺骗性”,这几乎是Office365云漏洞赏金计划中最低的漏洞。
但是就漏洞本身可能造成的危害而言,团队的漏洞可能导致:
在不与受害者交互的情况下,在私有设备上任意执行命令(隐藏)。
除了团队,您还可以访问私人聊天、文件、内部网络、私人密钥和个人数据。
访问SSO令牌,这样就可以调用团队之外的其他微软服务(Outlook、Office365等。).
通过重定向到攻击者的网站或要求SSO凭据,您可能会受到网络钓鱼攻击。
记录键盘输入。
使用这种攻击方式还有一个致命的危害,就是执行代码可以变成蠕虫,通过团队的用户关系网络自动传播。
GitHub用户Oskarsve表示,他们的团队甚至诞生了一个新的“梗”:现在每当出现一个远程执行的bug,就会被称为“重要的、欺骗性的”。
危害大,隐蔽性强,传染性强,这样的漏洞位于最底层,今年8月才被发现,直到11月才彻底修复。
微软的态度是网民不满的主要原因。
微软:没有解释的义务。
微软团队漏洞被发现后,Github用户oskarsve多次向微软安全响应中心举报,并详细列举了该漏洞可能造成的严重后果。
三个月后,微软终于有了结论,给了这个漏洞一个最低级别。
同时,微软也给出了一个不可思议的解释:
桌面应用的漏洞是“超出范围”的。
但是桌面应用是大多数用户使用团队的方式。
Oskarsve认为微软的做法非常离谱,给出的指令也是对用户的敷衍。
漏洞修复后,微软拒绝回应用户对该漏洞危害性的质疑和询问。
11月底,微软补充道:
根据微软目前的政策,对于可以自动更新的产品,不需要做CVE(通用漏洞披露)。
回复慢,拒绝沟通的态度惹恼了很多用户。
Oskarsve在GitHub上建立了一个主页,并详细列出了时间线,Hackernews爆炸了。
大家都翻了微软的黑历史。
比如有用户反映微软一直是小问题,不解释自己产品的漏洞。
早在20年前,IE5浏览器上线时,你必须用信用卡支付100美元的押金才能报告bug。
如果bug是真的,就退100美元。如果没有bug,100美元将作为浪费微软时间的补偿。「总督」
后来有人阐述了当时的政策:
收费项目是微软技术支持电话的服务费。如果最终被证明是微软的bug,用户不需要支付这笔费用。
此外,有用户表示,IE7时代浏览器和ClickOnce启动器不兼容,向微软团队汇报数月无果。
最后引起了微软和ClickOnce员工的争论。
这个问题直到Edge浏览器时代依然存在。
翻看慧聪网上关于这条新闻的评论,有240多条讨论,大部分都是这样的故事。
微软在桌面PC上的优势和垄断很难打破,用户长期以来深受其害.
你有过微软漏洞的糟糕经历吗?责任编辑:pj
