[[176315]]

微軟因其對Windows零日漏洞的無作為而遭致嚴重抨擊，該漏洞尚未被修補，目前正在被攻擊者利用。

不久前，谷歌披露了一個Windows內核零日漏洞，該漏洞與Adobe Flash零日漏洞正被攻擊者利用作為攻擊鏈的一部分，而Adobe已在10月26日修復了其漏洞。微軟還沒有發布該Windows內核漏洞的補丁，專家認為該公司并沒有重視這個問題的嚴重性。

Malwarebytes公司首席惡意軟件情報分析師Jerome Segura稱這個Windows零日漏洞是特權升級漏洞。

“Flash和Windows零日漏洞是兩個獨立的漏洞，但它們確實可以結合著使用以感染用戶，”Segura稱，“攻擊者開始會利用Flash漏洞瞄準瀏覽器，逃避沙箱，然后利用Windows漏洞執行特權升級。”

微軟不滿谷歌在報告漏洞給微軟和Adobe僅10天后就公開披露了這個漏洞，微軟聲稱“谷歌描述的攻擊場景完全可通過部署上周發布的Adobe Flash更新來緩解”，并指出這個特定的漏洞利用在Windows 10周年更新中“從未有效”。

Core Security公司高級威脅研究人員Willis McDonald稱，Adobe修復其漏洞與緩解Windows特權升級漏洞無關。

“微軟指出Chrome和微軟Edge瀏覽器并不易受到攻擊，”McDonald稱，“這是因為這兩個瀏覽器都利用了Windows 10中可用的Win32k系統調用緩解。任何沒有利用這個Win32k系統調用緩解的用戶模式應用能夠調用到win32k.sys，并可能利用此漏洞。”

Lastline公司產品及業務開發副總裁Brian Laing同意McDonald的觀點。

“這個攻擊并不能通過安裝Adobe Flash更新來完全緩解，攻擊者很有可能利用其它零日漏洞，讓他們得以利用Windows的漏洞，”Laing稱，“從我的經驗來看，任何允許特權升級的漏洞都是高度嚴重漏洞，因為攻擊者會繼續尋找新方法來利用該漏洞。”

咨詢公司Rendition InfoSec LLC創始人Jake Williams則表示：“這是可從用戶模式應用訪問的內核模式零日漏洞，基本上，這可能是微軟面臨的最糟糕的情況。”

FireMon公司首席技術官Paul Calatayud表示，根據緩解因素來評估漏洞的風險非常危險。

Calatayud稱：“微軟認為這個漏洞可通過Flash更新來緩解，而且還假定計算機正確更新了Flash。關注這種攻擊場景很重要，但很危險，因為你必須對正在進行的威脅建模進行假設。系統是否完全修復?第三方應用是否完全修復?”

不必要的歸因?

微軟的回應還包括聲稱俄羅斯支持的高級持續性威脅團隊(被稱為STRONTIUM, FANCY BEAR, APT28和Sofacy)對“少量魚叉式網絡釣魚活動”負責任，該攻擊利用Flash和Windows零日漏洞來瞄準特定客戶群組。

Calatayud稱，對于大多數人來說，這種類型的歸因沒有價值，可能會混淆視聽。

“微軟應該關注核心問題，”Calatayud稱，“如果存在已知漏洞利用，攻擊者只會加快攻擊速度。而且很快這會成為攻擊主流，這個漏洞利用可能會出現在腳本小子使用的攻擊工具中。”

McDonald指出，微軟將責任歸因到Sofacy團伙，可能試圖讓大家認為他們一直在掌控局面以及監控漏洞利用情況。

McDonald說道：“Sofacy通常都是利用Adobe Flash和Windows中的零日漏洞來瞄準特定個人以及企業。因此，通過將CVE-2016-7855漏洞利用歸因于Sofacy，他們基本上可將漏洞利用的范圍最小化到這個團伙以及其攻擊的特定目標。然而，這并不能給企業帶來安慰，企業都在焦急等待這個特權升級漏洞的補丁，畢竟其他攻擊者很快會開始利用這個漏洞。”