白帽骇客直接在网络公开微软Windows 11高危险漏洞,只因悬赏奖金打骨折
量子位 量子位 发表于 2021年12月13日 14:00
各家作业系统以及大厂,都有准备一笔悬赏漏洞的赏金,鼓励白帽骇客帮企业找到漏洞,
并且在漏洞被公布之前,厂商可以抢先将漏洞修补起来,皆大欢喜。
不过,最近GitHub 上突然有人上传了一个可以利用Windows 11 最新漏洞的办法,几天之
内暴涨 1300 多个星星。那么,发现漏洞不是可以报告给微软来领取高额赏金,他怎么不
要了?按这位骇客自己的说法“现在微软的赏金已成了垃圾”。
微软漏洞发现赏金现已大幅缩水,曾有白帽骇客抱怨本来该获得 1 万美元的漏洞,最后
只拿到 1 千美元,直接缩水 90%。
这次的这位骇客 Naceri 也很失望,索性剩下那点钱也不要了,直接公开算了。
透过这个漏洞,恶意程式能在几秒内获得管理员权限,完全掌控你的你电脑。漏洞出在
Windows Installer Service 上,就是用.MSI 档案安装和移除软件时用到的功能。
Naceri 在 GitHub 页面上说漏洞会影响到最新的 Windows 11 和服务器版 Windows
Server 2022。
不过安全技术网站 Bleeping Computer 测试发现,现在最普及的 Windows 10 也逃不过
。现在,思科安全情报团队 Talos 也已经侦测到了利用这个漏洞的恶意程式。
微软漏洞悬赏缩水这件事对白帽骇客们积极度有很大的影响。
另一位发现了 Hyper-V 虚拟机漏洞的老选手,就在Twitter上直呼新规定“不公平!”
按照微软悬赏计画公开的说法,此类漏洞赏金上限可达 25 万美元,结果他只拿到了
5000 美元。
白帽骇客因微软抠门愤而公开漏洞这事也不是第一次发生。
去年 9 月,一位长期从事漏洞挖掘的研究者 Lykkegaard 发现了能在 System32 目录里
加入任意档案的方法,而且一旦写入就无法再删除或修改。
这是相当严重的一个 Bug,但他选择直接公开,因为当时微软还拖欠他之前的赏金长达 7
个月。
Lykkegaard 找到这个漏洞花了 30 个小时,按照缩水后的规则只能拿到 2 千美元。他一
算这时薪才 66 美元,关键还不一定能拿得到,实在不值得。
公开漏洞是双面刃
公开漏洞是一把双面刃,虽然可能被人恶意利用,但也能让更多第三方技术高手参与修复
。
不过,Naceri 这一次发现的漏洞却不是那么好修复的。
其实这次与 Windows Installer 相关的漏洞,微软已经发布过一次更新。
结果这个更新非但没能完全解决问题,还引发了更复杂的漏洞。
白帽骇客 Naceri 这次公开的实际就是绕过上一个安全更新的办法,而且他警告再次尝试
修复可能带来额外的问题。
不建议第三方尝试修补二进制档案,可能会破坏 Windows Installer。所幸的是,第三方
社群 0patch 还是在几天之后成功制作并发布了更新,如果你担心遇到攻击,可以到透过
0patch 服务安装更新。更新网址:https://0patch.com
至于微软自己,有什么说法?
“我们知悉有关资料披露,并会采取一切必要措施,确保客户的安全和保障。使用上述方
法的攻击者必须已经具备在目标受害者的机器上执行程式的权限和能力。”
翻译一下大概是:“别催了,我们会改。”
https://tinyurl.com/vm6e5jcb
Azure和企业用Microsoft 365赚到烂了还这么抠门