谷歌安全又来曝光Windows的0day漏洞了-这次依旧席卷所有windows系统

安全 应用安全
谷歌近日再次曝光Windows 0day漏洞,称该漏洞可影响所有现行的Windows操作系统,而微软还没来得及修复。

谷歌近日再次曝光Windows 0day漏洞,称该漏洞可影响所有现行的Windows操作系统,而微软还没来得及修复。

[[175678]]

根据谷歌团队发布的博文,该漏洞是一个本地提权漏洞,可以让攻击者逃过沙盒过滤,获得管理员权限,并执行恶意代码。

It can be triggered via the win32k.sys system call NtSetWindowLongPtr() for the index GWLP_ID on a window handle with GWL_STYLE set to WS_CHILD.

其实,10天前谷歌就已经将此漏洞上报给微软。既然已经提交微软团队,谷歌为何在短短数日之后又将之公开?

漏洞已被利用

 

“上周五,也就是10月21日,我们报告了(此前未公开的)两个0day漏洞分别给Adobe和微软。Adobe在10月26日更新了Flash,修补了CVE-2016-7855漏洞;此次更新可通过Adobe更新程序和Chrome自动更新实现。”

7天之后,谷歌团队发现Windows系统中依然存在谷歌上报的高危漏洞,并且微软没有发布任何安全公告或者补丁。同时,谷歌团队发现此漏洞正被积极利用,俄罗斯APT黑客组织Strontium,也就是Fancy Bear,正利用此漏洞部署“小规模”攻击,此组织也是美国民主党全国委员会(DNC)被黑事件的重点怀疑对象,这一信息也得到了微软的确认。

因此,谷歌认为此漏洞特别严重。于是谷歌团队将此漏洞公开,该举动符合谷歌在2013年制定的产品漏洞披露信息相关政策:

我们建议,厂商在60天内修复高危漏洞,如果无法修复,厂商也应知会公众风险相关信息,并提供变通方案。如果厂商需要更多时间修复漏洞,我们鼓励研究人员发布自己的相关发现。但是,根据我们的经验,我们认为对于高危的、正被积极利用的漏洞,厂商应在7天内采取更加紧急的措施。

 

7天的时限比较紧迫,对于某些厂商而言,如果要更新产品,7天可能有些短。但是,厂商发布可能的缓解措施,比如临时关闭某项服务、限制访问或者联系厂商获取更多信息,7天是足够的。因此,如果7天之后,厂商未提供补丁或建议,我们将支持研究者公开细节,以便用户采取防范措施。

谷歌不是第一次这么干了

谷歌团队认为公开漏洞有两大好处:1.可让用户至少知晓问题的存在;2.可以敦促开发者发布补丁。

谷歌工程师特别擅长寻找微软软件里的漏洞:在2010年6月,谷歌工程师发现了一个Windows高危漏洞,只给了微软5天响应时间,5天后,工程师将漏洞细节发布在网上(其中包括一个示例攻击代码);去年1月,谷歌Project Zero在给微软提交漏洞信息后,给了微软90天期限修复,但微软没有在期限内修复,于是谷歌就曝光了漏洞细节。具体事件FreeBuf也曾报道过,详情请戳这里。

当时,微软的高级总监Chris Betz就曾喊话谷歌:“我们请谷歌与我们合作,等到1月13日我们发布补丁时,再公布漏洞细节,以保护客户。”他认为谷歌顽固执行其90天期限,不像是坚守原则,更像是套路,最后受伤的都是客户。“谷歌认为正确的,对客户来说不一定就是对的。我们敦促谷歌,将保护客户作为我们的首要共同目标。”

此话一出,谷歌方面重新考量自己的Project Zero,修改了披露规则,在原有90天的基础上又宽限了14天(详细情况请点这里)。

微软:不开心

[[175679]]

对于谷歌此次的曝光,微软肯定是不开心了,他们指责谷歌欺骗网民,混淆事实。微软首先在一篇声明当中回应:

“我们认为公开漏洞时应互相配合,谷歌此番公开漏洞,将客户置于风险之中。”

微软官方随后针对攻击事件在11月1日发布了安全公告:

“近日,微软威胁情报称为Strontium的活动组织,发动了一次小流量鱼叉式钓鱼攻击。我们已经得知,使用Windows 10 周年更新版上的Microsoft Edge的用户不会受到此次攻击的影响。此次攻击,最初由谷歌威胁分析小组发现,利用的是Adobe Flash的两个0day漏洞和Windows的底层内核,针对特定的客户群体。”

 

微软发言人也表示并不是所有Windows版本都受到了影响:

“谷歌将这个本地提权漏洞描述为‘高危’、‘特别严重’,我们并不同意。因为他们描述的攻击场景,在上周Adobe Flash更新部署后就已经全面缓解了。另外,我们的分析认为,这种攻击针对Windows 10周年更新是无效的,因为先前我们就已经对系统进行了安全方面的加强。”

Windows执行副总Terry Myerson则表示谷歌的行为“令人失望”。Myerson认为,Strontium黑客组织利用谷歌报告的漏洞发动的鱼叉式钓鱼攻击是很有限的,因此大部分Windows用户都没有成为攻击目标,谷歌不必如此着急将漏洞公开。

Myerson表示,微软将在下周二,也就是Patch Tuesday发布时,修复此漏洞。Myerson还建议用户在等待补丁的同时,先将系统升级为Windows 10,以免受到进一步攻击。

文章转载自微信公众号“柯力士信息安全”

责任编辑:赵宁宁 来源: 柯力士信息安全
相关推荐

2011-03-15 15:14:22

2013-05-23 10:48:14

EPATHOBJ 0d0day漏洞

2021-11-01 11:59:56

Windows 操作系统漏洞

2009-09-09 08:54:50

2013-12-02 14:50:25

2020-03-24 11:00:16

漏洞微软0day

2010-07-22 10:13:34

2021-09-10 11:41:20

漏洞Windows 微软

2020-12-27 21:17:43

漏洞Google网络攻击

2021-07-27 11:01:02

Windows

2013-05-06 15:15:23

2014-10-20 09:27:54

2021-04-13 16:40:18

0Day漏洞远程代码

2017-02-07 11:00:26

2019-05-28 15:55:18

2009-07-06 13:15:07

2009-07-09 10:04:37

2021-11-29 11:50:47

Windows 操作系统漏洞

2021-10-06 13:48:50

0day漏洞攻击

2024-10-17 16:25:20

点赞
收藏

51CTO技术栈公众号