谷歌近日再次曝光Windows 0day漏洞,称该漏洞可影响所有现行的Windows操作系统,而微软还没来得及修复。
根据谷歌团队发布的博文,该漏洞是一个本地提权漏洞,可以让攻击者逃过沙盒过滤,获得管理员权限,并执行恶意代码。
It can be triggered via the win32k.sys system call NtSetWindowLongPtr() for the index GWLP_ID on a window handle with GWL_STYLE set to WS_CHILD.
其实,10天前谷歌就已经将此漏洞上报给微软。既然已经提交微软团队,谷歌为何在短短数日之后又将之公开?
漏洞已被利用
“上周五,也就是10月21日,我们报告了(此前未公开的)两个0day漏洞分别给Adobe和微软。Adobe在10月26日更新了Flash,修补了CVE-2016-7855漏洞;此次更新可通过Adobe更新程序和Chrome自动更新实现。”
7天之后,谷歌团队发现Windows系统中依然存在谷歌上报的高危漏洞,并且微软没有发布任何安全公告或者补丁。同时,谷歌团队发现此漏洞正被积极利用,俄罗斯APT黑客组织Strontium,也就是Fancy Bear,正利用此漏洞部署“小规模”攻击,此组织也是美国民主党全国委员会(DNC)被黑事件的重点怀疑对象,这一信息也得到了微软的确认。
因此,谷歌认为此漏洞特别严重。于是谷歌团队将此漏洞公开,该举动符合谷歌在2013年制定的产品漏洞披露信息相关政策:
我们建议,厂商在60天内修复高危漏洞,如果无法修复,厂商也应知会公众风险相关信息,并提供变通方案。如果厂商需要更多时间修复漏洞,我们鼓励研究人员发布自己的相关发现。但是,根据我们的经验,我们认为对于高危的、正被积极利用的漏洞,厂商应在7天内采取更加紧急的措施。
7天的时限比较紧迫,对于某些厂商而言,如果要更新产品,7天可能有些短。但是,厂商发布可能的缓解措施,比如临时关闭某项服务、限制访问或者联系厂商获取更多信息,7天是足够的。因此,如果7天之后,厂商未提供补丁或建议,我们将支持研究者公开细节,以便用户采取防范措施。
谷歌不是第一次这么干了
谷歌团队认为公开漏洞有两大好处:1.可让用户至少知晓问题的存在;2.可以敦促开发者发布补丁。
谷歌工程师特别擅长寻找微软软件里的漏洞:在2010年6月,谷歌工程师发现了一个Windows高危漏洞,只给了微软5天响应时间,5天后,工程师将漏洞细节发布在网上(其中包括一个示例攻击代码);去年1月,谷歌Project Zero在给微软提交漏洞信息后,给了微软90天期限修复,但微软没有在期限内修复,于是谷歌就曝光了漏洞细节。具体事件FreeBuf也曾报道过,详情请戳这里。
当时,微软的高级总监Chris Betz就曾喊话谷歌:“我们请谷歌与我们合作,等到1月13日我们发布补丁时,再公布漏洞细节,以保护客户。”他认为谷歌顽固执行其90天期限,不像是坚守原则,更像是套路,最后受伤的都是客户。“谷歌认为正确的,对客户来说不一定就是对的。我们敦促谷歌,将保护客户作为我们的首要共同目标。”
此话一出,谷歌方面重新考量自己的Project Zero,修改了披露规则,在原有90天的基础上又宽限了14天(详细情况请点这里)。
微软:不开心
对于谷歌此次的曝光,微软肯定是不开心了,他们指责谷歌欺骗网民,混淆事实。微软首先在一篇声明当中回应:
“我们认为公开漏洞时应互相配合,谷歌此番公开漏洞,将客户置于风险之中。”
微软官方随后针对攻击事件在11月1日发布了安全公告:
“近日,微软威胁情报称为Strontium的活动组织,发动了一次小流量鱼叉式钓鱼攻击。我们已经得知,使用Windows 10 周年更新版上的Microsoft Edge的用户不会受到此次攻击的影响。此次攻击,最初由谷歌威胁分析小组发现,利用的是Adobe Flash的两个0day漏洞和Windows的底层内核,针对特定的客户群体。”
微软发言人也表示并不是所有Windows版本都受到了影响:
“谷歌将这个本地提权漏洞描述为‘高危’、‘特别严重’,我们并不同意。因为他们描述的攻击场景,在上周Adobe Flash更新部署后就已经全面缓解了。另外,我们的分析认为,这种攻击针对Windows 10周年更新是无效的,因为先前我们就已经对系统进行了安全方面的加强。”
Windows执行副总Terry Myerson则表示谷歌的行为“令人失望”。Myerson认为,Strontium黑客组织利用谷歌报告的漏洞发动的鱼叉式钓鱼攻击是很有限的,因此大部分Windows用户都没有成为攻击目标,谷歌不必如此着急将漏洞公开。
Myerson表示,微软将在下周二,也就是Patch Tuesday发布时,修复此漏洞。Myerson还建议用户在等待补丁的同时,先将系统升级为Windows 10,以免受到进一步攻击。
文章转载自微信公众号“柯力士信息安全”