微軟縱容Word漏洞 等了六個月才修復

BI 中文站 4 月 27 日報道

要弄清楚防范一般黑客攻擊自己的電腦有多難，你可以研究下 CVE-2017-0199 安全漏洞的案例。

這個漏洞出現在微軟 Word 軟件中，可以讓黑客控制用戶的電腦。微軟最終在 4 月 11 日修復了這個漏洞。

但是，網絡安全專家稱，這個漏洞從被發現到被修復歷經了非常漫長的時間。

例如，谷歌的安全研究人員在發布他們發現的漏洞之前一般會提前 90 天警告軟件供應商。微軟拒絕透露它一般需要多久才能修復一個漏洞。

在微軟調查這個漏洞期間，黑客們發現了這個漏洞，并利用它監視俄羅斯政客。

一些盜賊則利用這個漏洞在澳大利亞和其他國家竊取了數百萬個在線銀行賬戶。

發現漏洞

在去年 7 月，愛達荷州立大學的畢業生、安全公司 Optiv Inc 的顧問瑞安-漢森（Ryan Hanson）在微軟 Word 軟件中發現了一個安全漏洞。他可以利用這個漏洞插入惡意程序的鏈接，進而控制用戶的電腦。

漢森在 推ter 上稱，他花了幾個月時間研究發現，這個漏洞一旦與其他幾個漏洞結合將會變得更加危險。在去年 10 月，他向微軟報告了這個漏洞。對于研究人員發現的漏洞，微軟通常會給予幾千美元的獎勵。

微軟承認，六個月前，也就是在接到漢森報告后，該公司本來可以立即解決這個漏洞的。但是，事情并沒有那么簡單。本來，用戶只要在 Word 軟件中更改一個設置就可以輕松解決這個問題。但是，如果微軟通知用戶這個漏洞，并告知更改設置的方法，那么這就等于也告訴了黑客如何入侵。

因此，微軟最終決定開發一個安全補丁，然后在每個月發布的軟件更新程序中推出。但是，該公司并沒有立即發布這個補丁，而是開始更深入地挖掘漏洞，以期找到一個更全面的解決方案。

“我們開始調查是否有其他類似漢森的方法可以利用這個漏洞，以確保我們的解決方案可以更全面地解決這個問題。”微軟發言人說，“這個調查過程非常復雜。”

美國指責俄羅斯黑客入侵美國政黨的電子郵箱，干預 2016 年美國總統選舉，俄羅斯對此予以了否認。而反對美國政府的影子黑客組織也披露了美國中情局和國家安全局使用的黑客工具。

攻擊開始

現在，我們不清楚黑客是如何發現漢森報告的那個漏洞的。這可能是他們自己發現的，也可能是微軟在修復漏洞的過程中泄露的，也可能是黑客入侵 Optiv 或微軟后發現的。

在今年 1 月，當微軟還在研究解決方案的時候，黑客攻擊活動就已經開始了。

安全研究人員稱，首批受害者收到了電子郵件，郵件中包含有一個俄文文檔鏈接，這個文檔涉及到俄羅斯和俄羅斯支持的烏克蘭東部叛軍所占地區的軍事問題。它誘使了很多受害者點擊瀏覽。一旦他們點擊瀏覽這個文檔，他們的電腦就會自動安裝 Gamma Group 公司開發的監聽軟件。Gamma Group 公司向很多政府機構銷售過監聽軟件。

網絡安全專家估計，Gamma Group 監聽軟件的某些用戶是想入侵俄羅斯或烏克蘭士兵或政治人物的電腦。他們的幕后主使可能是這些國家，或其鄰國，或其盟國。類似這樣的政府間諜活動很常見。

在一開始，黑客攻擊活動主要針對一小撮目標，因而沒能引起人們的廣泛注意。但是，在今年 3 月，FireEye Inc 公司的安全研究人員發現，黑客利用微軟 Word 漏洞散布了一款臭名昭著的竊取財務信息的軟件 Latenbot。

FireEye 公司進一步調查發現了先前的俄語文檔攻擊，并向微軟提出了警告。微軟也證實它在 3 月接到了黑客攻擊的警告，并開始開發后來于 4 月 11 日發布的安全補丁。

接下來，發生了災難性的安全事件。另一家安全公司 McAfee 在 4 月 6 日也發現了一些黑客利用微軟 Word 漏洞的攻擊活動。

經過“迅速而深入的調查”，McAfee 公司發現微軟的這個漏洞尚未修復，于是它聯系到微軟并告知了實情。然后在第二天，也就是 4 月 7 日，McAfee 公司發布博文公布了自己的發現。

這篇博文包含有非常詳細的信息，人們足以利用這些信息來模仿黑客進行攻擊。

其他軟件安全專家對 McAfee 公司這么快公布漏洞的做法感到驚訝。他們認為，McAfee 公司應該像 Optiv 和 FireEye 那樣等到微軟安全補丁發布后再公布這個漏洞。

McAfee 公司副總裁文森特-韋弗（Vincent Weafer）稱，“我們與合作伙伴微軟在溝通的時候出現了一些小問題”。但是，他并未對此進行詳細說明。

FireEye 公司安全研究人員約翰-豪特奎斯特（John Hultquist）稱，到 4 月 9 日，一款利用微軟 Word 漏洞的程序在地下黑市上叫賣。

次日，黑客就開始了大規模攻擊活動。一些黑客用這款程序給澳大利亞數百萬臺電腦發送了包含有 Dridex 銀行木馬的文檔。

姍姍來遲的補丁

最終在本周二，也就是在漢森向微軟報告漏洞大約六個月后，微軟發布了安全補丁。與往常一樣，很多電腦用戶并沒有及時更新軟件。

網絡安全公司 Morphisec 的副總裁邁克爾-格里克（Michael Gorelick）稱，在微軟安全補丁發布后，以色列本-古里安大學的教職工仍然遭到了伊朗黑客的攻擊。這些黑客侵入了他們的電子郵箱，并給他們在科技公司和醫療機構工作的聯系人發送了感染病毒的文檔。

在微軟發布安全補丁的時候，它感謝了漢森、一名 FireEye 安全研究人員以及它自己的員工。

美國漏洞眾測平臺 HackerOne 的首席執行官馬滕-米克斯（Marten Mickos）稱，延期六個月發布安全補丁的做法很糟糕，但也不是聞所未聞。

“正常的漏洞修復時間一般是幾周。”米克斯說。

Optiv 公司發言人稱，它通常會給軟件供應商 45 天時間來修復漏洞，然后再選擇適當的時機公布他們發現的漏洞。

Optiv 公司現在正在比較漢森向微軟報告的漏洞與間諜和犯罪分子利用的漏洞，試圖搞清楚該安全研究人員的發現是否部分促成了這種遍布全世界的猖獗的黑客攻擊活動。

這種黑客攻擊活動包括有人利用微軟 Word 漏洞為外國政府開發黑客工具，并將這些工具轉賣給犯罪組織，兩頭牟利。

相對于微軟修復漏洞花費的時間來說，獲悉這個漏洞的黑客們可謂行動迅速。

FireEye 公司安全研究人員豪特奎斯特稱，在微軟補丁發布前的最后一個周末，犯罪分子可能已將其銷售給了 Dridex 黑客，趕在漏洞修復前最后撈了一筆錢。

現在尚不清楚有多少人的電腦被感染或有多少資金被盜。

來自: 騰訊科技