微软因其对Windows零日漏洞的无作为而遭致严重抨击,该漏洞尚未被修补,目前正在被攻击者利用。
不久前,谷歌披露了一个Windows内核零日漏洞,该漏洞与Adobe Flash零日漏洞正被攻击者利用作为攻击链的一部分,而Adobe已在10月26日修复了其漏洞。微软还没有发布该Windows内核漏洞的补丁,专家认为该公司并没有重视这个问题的严重性。
Malwarebytes公司首席恶意软件情报分析师Jerome Segura称这个Windows零日漏洞是特权升级漏洞。
“Flash和Windows零日漏洞是两个独立的漏洞,但它们确实可以结合着使用以感染用户,”Segura称,“攻击者开始会利用Flash漏洞瞄准浏览器,逃避沙箱,然后利用Windows漏洞执行特权升级。”
微软不满谷歌在报告漏洞给微软和Adobe仅10天后就公开披露了这个漏洞,微软声称“谷歌描述的攻击场景完全可通过部署上周发布的Adobe Flash更新来缓解”,并指出这个特定的漏洞利用在Windows 10周年更新中“从未有效”。
Core Security公司高级威胁研究人员Willis McDonald称,Adobe修复其漏洞与缓解Windows特权升级漏洞无关。
“微软指出Chrome和微软Edge浏览器并不易受到攻击,”McDonald称,“这是因为这两个浏览器都利用了Windows 10中可用的Win32k系统调用缓解。任何没有利用这个Win32k系统调用缓解的用户模式应用能够调用到win32k.sys,并可能利用此漏洞。”
Lastline公司产品及业务开发副总裁Brian Laing同意McDonald的观点。
“这个攻击并不能通过安装Adobe Flash更新来完全缓解,攻击者很有可能利用其它零日漏洞,让他们得以利用Windows的漏洞,”Laing称,“从我的经验来看,任何允许特权升级的漏洞都是高度严重漏洞,因为攻击者会继续寻找新方法来利用该漏洞。”
咨询公司Rendition InfoSec LLC创始人Jake Williams则表示:“这是可从用户模式应用访问的内核模式零日漏洞,基本上,这可能是微软面临的最糟糕的情况。”
FireMon公司首席技术官Paul Calatayud表示,根据缓解因素来评估漏洞的风险非常危险。
Calatayud称:“微软认为这个漏洞可通过Flash更新来缓解,而且还假定计算机正确更新了Flash。关注这种攻击场景很重要,但很危险,因为你必须对正在进行的威胁建模进行假设。系统是否完全修复?第三方应用是否完全修复?”
不必要的归因?
微软的回应还包括声称俄罗斯支持的高级持续性威胁团队(被称为STRONTIUM, FANCY BEAR, APT28和Sofacy)对“少量鱼叉式网络钓鱼活动”负责任,该攻击利用Flash和Windows零日漏洞来瞄准特定客户群组。
Calatayud称,对于大多数人来说,这种类型的归因没有价值,可能会混淆视听。
“微软应该关注核心问题,”Calatayud称,“如果存在已知漏洞利用,攻击者只会加快攻击速度。而且很快这会成为攻击主流,这个漏洞利用可能会出现在脚本小子使用的攻击工具中。”
McDonald指出,微软将责任归因到Sofacy团伙,可能试图让大家认为他们一直在掌控局面以及监控漏洞利用情况。
McDonald说道:“Sofacy通常都是利用Adobe Flash和Windows中的零日漏洞来瞄准特定个人以及企业。因此,通过将CVE-2016-7855漏洞利用归因于Sofacy,他们基本上可将漏洞利用的范围最小化到这个团伙以及其攻击的特定目标。然而,这并不能给企业带来安慰,企业都在焦急等待这个特权升级漏洞的补丁,毕竟其他攻击者很快会开始利用这个漏洞。”