谷歌安全又來曝光Windows的0day漏洞了-這次依舊席卷所有windows系統
谷歌近日再次曝光Windows 0day漏洞,稱該漏洞可影響所有現行的Windows操作系統,而微軟還沒來得及修復。
根據谷歌團隊發布的博文,該漏洞是一個本地提權漏洞,可以讓攻擊者逃過沙盒過濾,獲得管理員權限,并執行惡意代碼。
It can be triggered via the win32k.sys system call NtSetWindowLongPtr() for the index GWLP_ID on a window handle with GWL_STYLE set to WS_CHILD.
其實,10天前谷歌就已經將此漏洞上報給微軟。既然已經提交微軟團隊,谷歌為何在短短數日之后又將之公開?
漏洞已被利用
“上周五,也就是10月21日,我們報告了(此前未公開的)兩個0day漏洞分別給Adobe和微軟。Adobe在10月26日更新了Flash,修補了CVE-2016-7855漏洞;此次更新可通過Adobe更新程序和Chrome自動更新實現。”
7天之后,谷歌團隊發現Windows系統中依然存在谷歌上報的高危漏洞,并且微軟沒有發布任何安全公告或者補丁。同時,谷歌團隊發現此漏洞正被積極利用,俄羅斯APT黑客組織Strontium,也就是Fancy Bear,正利用此漏洞部署“小規模”攻擊,此組織也是美國民主黨全國委員會(DNC)被黑事件的重點懷疑對象,這一信息也得到了微軟的確認。
因此,谷歌認為此漏洞特別嚴重。于是谷歌團隊將此漏洞公開,該舉動符合谷歌在2013年制定的產品漏洞披露信息相關政策:
我們建議,廠商在60天內修復高危漏洞,如果無法修復,廠商也應知會公眾風險相關信息,并提供變通方案。如果廠商需要更多時間修復漏洞,我們鼓勵研究人員發布自己的相關發現。但是,根據我們的經驗,我們認為對于高危的、正被積極利用的漏洞,廠商應在7天內采取更加緊急的措施。
7天的時限比較緊迫,對于某些廠商而言,如果要更新產品,7天可能有些短。但是,廠商發布可能的緩解措施,比如臨時關閉某項服務、限制訪問或者聯系廠商獲取更多信息,7天是足夠的。因此,如果7天之后,廠商未提供補丁或建議,我們將支持研究者公開細節,以便用戶采取防范措施。
谷歌不是第一次這么干了
谷歌團隊認為公開漏洞有兩大好處:1.可讓用戶至少知曉問題的存在;2.可以敦促開發者發布補丁。
谷歌工程師特別擅長尋找微軟軟件里的漏洞:在2010年6月,谷歌工程師發現了一個Windows高危漏洞,只給了微軟5天響應時間,5天后,工程師將漏洞細節發布在網上(其中包括一個示例攻擊代碼);去年1月,谷歌Project Zero在給微軟提交漏洞信息后,給了微軟90天期限修復,但微軟沒有在期限內修復,于是谷歌就曝光了漏洞細節。具體事件FreeBuf也曾報道過,詳情請戳這里。
當時,微軟的高級總監Chris Betz就曾喊話谷歌:“我們請谷歌與我們合作,等到1月13日我們發布補丁時,再公布漏洞細節,以保護客戶。”他認為谷歌頑固執行其90天期限,不像是堅守原則,更像是套路,最后受傷的都是客戶。“谷歌認為正確的,對客戶來說不一定就是對的。我們敦促谷歌,將保護客戶作為我們的首要共同目標。”
此話一出,谷歌方面重新考量自己的Project Zero,修改了披露規則,在原有90天的基礎上又寬限了14天(詳細情況請點這里)。
微軟:不開心
對于谷歌此次的曝光,微軟肯定是不開心了,他們指責谷歌欺騙網民,混淆事實。微軟首先在一篇聲明當中回應:
“我們認為公開漏洞時應互相配合,谷歌此番公開漏洞,將客戶置于風險之中。”
微軟官方隨后針對攻擊事件在11月1日發布了安全公告:
“近日,微軟威脅情報稱為Strontium的活動組織,發動了一次小流量魚叉式釣魚攻擊。我們已經得知,使用Windows 10 周年更新版上的Microsoft Edge的用戶不會受到此次攻擊的影響。此次攻擊,最初由谷歌威脅分析小組發現,利用的是Adobe Flash的兩個0day漏洞和Windows的底層內核,針對特定的客戶群體。”
微軟發言人也表示并不是所有Windows版本都受到了影響:
“谷歌將這個本地提權漏洞描述為‘高危’、‘特別嚴重’,我們并不同意。因為他們描述的攻擊場景,在上周Adobe Flash更新部署后就已經全面緩解了。另外,我們的分析認為,這種攻擊針對Windows 10周年更新是無效的,因為先前我們就已經對系統進行了安全方面的加強。”
Windows執行副總Terry Myerson則表示谷歌的行為“令人失望”。Myerson認為,Strontium黑客組織利用谷歌報告的漏洞發動的魚叉式釣魚攻擊是很有限的,因此大部分Windows用戶都沒有成為攻擊目標,谷歌不必如此著急將漏洞公開。
Myerson表示,微軟將在下周二,也就是Patch Tuesday發布時,修復此漏洞。Myerson還建議用戶在等待補丁的同時,先將系統升級為Windows 10,以免受到進一步攻擊。
文章轉載自微信公眾號“柯力士信息安全”
