本文经AI新媒体量子比特(公众号ID:QbitAI)授权转载,转载请联系出处。一个已经修补了一个月的微软系统漏洞,今天突然在HackerNews上火了起来。不仅如此,还有开发者在GitHub上专门针对该漏洞创建了项目。不过,大家热议的焦点并不是漏洞本身,而是一个已经很严重的漏洞,但微软将其标记为最低级别,并极力淡化影响。修复错误也很慢。微软对于严重漏洞“最小化重大问题”的做法,引来网友的一致吐槽,甚至有人翻出微软的“旧账”。这个漏洞有多严重?微软真的是在“护短”吗?什么样的漏洞?今年8月,微软团队协作工具MicrosoftTeams被指出存在严重的远程执行漏洞。此远程代码执行漏洞可由teams.microsoft.com上的新XSS(跨站点脚本)注入触发。黑客在没有用户交互的情况下在受害者的PC上执行任意代码。Teams中所有受支持平台(Windows、macOS、Linux)上的桌面应用程序都可能受到影响攻击者只需向Teams中的目标发送一条看起来很正常的消息。受害者只需点击查看消息,代码就会被远程执行。整个过程不需要任何其他交互。在演示中,攻击者只需要发送一个非交互式的HTTP请求。当远程代码执行开始时,可??以看到模板字符串注入在屏幕上闪烁,但普通用户几乎察觉不到。从此,公司内部网络、个人文件、Office文档/邮件/便签、加密聊天记录等都将成为攻击或窃取的目标。定位“最低层”是否合理?微软将此漏洞评为“重要且具有欺骗性”,几乎是Office365云漏洞赏金计划中排名最低的漏洞。但就漏洞本身可能造成的危害而言,Teams漏洞可能导致:在不与受害者交互的情况下,在私人设备上任意执行命令(隐瞒)。除了Teams之外,还可以访问私人聊天、文件、内部网络、私钥和个人数据。访问SSO令牌,因此除了Teams(Outlook、Office365等)之外,还可以调用其他Microsoft服务。网络钓鱼攻击可以通过重定向到攻击者的网站或要求SSO凭据来记录击键。使用这种攻击方式还有一个致命的隐患,就是可以将执行代码做成蠕虫病毒,通过Teams用户关系网络自动传播。GitHub用户Oskarsve表示,他们的团队甚至还诞生了一个新的“模因”:现在只要出现远程执行的bug,就会被说成是“重要且具有欺骗性”。此类漏洞危害性大、隐蔽性强、传染性强,属于最低级别,今年8月才被发现,11月才完全修复。微软的态度是引起网友不满的主要原因。微软:无义务解释微软Teams漏洞被发现后,Github用户oskarsve多次向微软安全响应中心报告,并详细列举了该漏洞可能造成的严重后果。三个月后,微软终于得出结论,给了这个漏洞一个最低等级。同时,微软也给出了一个匪夷所思的解释:桌面应用程序的漏洞“超出范围”。但桌面应用程序是大多数用户使用Teams的方式。oskarsve认为,微软的做法令人发指,给出的指令也是对用户的敷衍。漏洞修复后,微软拒绝回应用户对该漏洞危害性的质疑和询问。11月底,微软又补充了一句:目前微软的政策规定,可以自动更新的产品不需要做CVE(CommonVulnerabilityExposure)。回复慢、拒绝沟通的态度惹恼了不少用户。Oskarsve就此事在GitHub上建了主页,并详细列出了时间线,Hackernews炸了。微软的黑历史大家都翻过了。比如,有用户反映,微软一直抱着大事小事、不解释自家产品漏洞的态度。早在20年前,IE5浏览器推出时,要报告错误,你必须用信用卡支付100美元的押金。如果错误属实,将退还100美元,如果没有错误,将使用100美元作为浪费微软时间的补偿。“doge”后来有人详细解释了当时的政策:收费项目是微软技术支持电话的服务费,如果最后确认是微软这边的bug,用户就不需要支付这个费用。另外,有用户表示,在IE7时代,浏览器与ClickOnce启动器不兼容,向微软团队反映数月无果。最后还引起了微软和ClickOnce工作人员的争论。这个问题一直存在到Edge浏览器时代。在慧聪网翻看这条新闻的评论,有240多个讨论,大部分都是这样的故事。微软在台式机上的优势和垄断难以打破,用户长期深受其害……你有没有因为微软的漏洞有过不好的体验?
