人人都可以把Windows玩藍屏的漏洞,微軟為什么不急著修復?
外媒 Threatpost 稱,早在 2016 年 9 月 25 日,安全專家 Laurent Gaffie 就發現了一個 Windows Server 的嚴重安全漏洞,但是在其向微軟發出警告以后,微軟至今沒有修復該漏洞。
美國計算機應急響應小組(US CERT)披露,在 SMB 服務中發現的這個新的“零日”安全漏洞,將導致 Windows 8.1 和 Windows 10 操作系統的面臨被攻擊的風險。
有關利用該零日漏洞的攻擊代碼,已在 GitHub 上被曝光 。曝光該漏洞的正是 Laurent Gaffie,據說,這是因為漏洞發布后,微軟遲遲沒有修復動作, 惹怒了 Laurent Gaffie 。
2 月 1 日, Laurent Gaffie 在推特表示:如果我為這家價值數十億美金的公司做了免費工作而沒有受到獎勵,為什么我要容忍他擱置我的漏洞?
于是,他在下一條推特上就放上了漏洞細節。
2 月 5 日,Laurent Gaffie 又放出一張截圖,截圖中,微軟對他的貢獻予以了承認。可是 Laurent Gaffie 依然很生氣,因為如果真的重視,補丁在哪里? Laurent Gaffie 甚至表示,“都是謊話,看來我今年應該不會被邀請參加 SDLC 會議了。”
【Laurent Gaffie 的推特截圖】
在微軟官方補丁到來之前,Windows 8.1 / 10 操作系統的用戶均直接暴露在危險之中。
Laurent Gaffie 還稱,微軟計劃在下一個“補丁星期二”發布該漏洞的補丁,也就是 2 月 14 號,本月的第二個周二。然而,如果該漏洞確實危急,并已被黑客利用,也不排除微軟打破常規補丁周期的可能性。
事實上,雷鋒網了解到,微軟早已在 3 個月前就準備好了針對該漏洞的補丁,卻依然打算在 2 月 14 日與其他 SMB 補丁一起發布,這是為什么?
微軟的發言人在對 Threatpost 的郵件回復中,這樣說:“在我們的安全政策中,對于低風險的問題修復,將安排在下周二(即 2 月 14 日)。”
微軟的意思是:這個漏洞是“低風險”級別的,不足為懼?
卡耐基梅隆大學計算機緊急響應小組協調中心(CERT/CC)的公告曾稱,“微軟 Windows 在 SMB 流量處理中存在內存泄露漏洞,可致遠程未授權攻擊者在脆弱系統上造成拒絕服務或潛在的任意代碼執行。”但是,至今尚無利用此漏洞造成的成功任意代碼執行報道。
而漏洞情報公司 Risk Based Security 的首席研究員表示,目前觀測到的系統崩潰并未顯示出有直接的代碼執行,但情況可能有變。目前僅處于分析的初期階段。
Laurent Gaffie 則對媒體表示,他和微軟都認為,通過該漏洞進行遠程執行似乎不太可能, SMB 通常不會暴露在網絡上。但 Laurent Gaffie 也表示,比起通過開放端口 445 進行的 SMB 連接,用戶在出站連接上所做的連接至遠程文件服務器更可能被允許。
CERT/CC 則建議網絡管理員封鎖從本地網絡到互聯網的出站 SMB 連接——TCP 139 和 445 端口,以及 UDP 137 和 138 端口。這么做不能完全消除該威脅,但能隔離本地網絡。
我們與 “2016 年微軟 MSRC Top 100 榜單上貢獻度排行第 8 的百度安全實驗室的資深安全工程師黃正” 取得了聯系,他表示:
“如果是微軟的遠程代碼執行的 0day 漏洞被公開,微軟應該會出緊急補丁,微軟甚至會為 Adobe Flash 的 0day 漏洞推送緊急補丁,CVE-2017-0016 這個漏洞的攻擊效果是遠程藍屏,我想微軟評估危害沒有那么大,所以不推緊急補丁,這個漏洞對普通網民影響是很小的,因為 445、139 端口默認是被防火墻保護起來的。”
但是,也有報道稱,有安全工程師已經順利地在打了完整補丁的 Windows 10 / 8.1 計算機上重現了一次拒絕服務(DDoS)攻擊。
對此,黃正認為:
“如果能證實 CVE-2017-0016 影響 Windows 服務器操作系統,那還是危害挺大的,會導致網站、數據庫停止服務,對企業正常業務造成影響。我們沒有測試是否影響 Windows Server。”
最后,附上由雷鋒網特邀測試員張森對該漏洞進行遠程攻擊造成藍屏的演示:https://v.qq.com/x/page/v0373zpvtb5.html?start=2
來自: 雷鋒網