前段时间,Google 专门披露安全漏洞的部门“威胁分析集团”(Threat Analysis group)发现了Windows的一个漏洞,具体描述为:
由于该漏洞的存在,将允许攻击者利用 win32k 系统上的一处瑕疵躲避安全沙盒。一旦该漏洞被黑客利用,所发起的攻击所带来后果的严重性,足以将该漏洞定为“临危”级别。目前该漏洞正在被频繁利用。
而后,Google将该漏洞后告知了微软。10天后,Google对外公布了这个临危级别的重大漏洞,同时发布相关修补程序来保护 Chrome 用户。而此时,微软还未来得及完成修补程序的开发。
对微软而言,Google 披露的信息无疑将微软的客户置于风险之中,在修补程序未完成的情况下,如果让其他黑客熟知微软的漏洞,很有能会对其进行攻击。为此,微软给出紧急解决方案,建议客户使用 Windows 10 系统和微软的 Edge 浏览器。
面对微软的不满,Google 则拿出自己制定的政策,他们表示,Google 的举动符合在 2013 年自己制定的产品漏洞披露资讯相关规则。Google 在发现供应商产品上的某一漏洞后,会及时向其进行通报,并给出 7 天宽限期让其发布相关修补程序。即在报告给外部公司 7 天之后,可以对外公开漏洞。不过为了不正面和微软硬拼,Google 说在他们公开的信息中,只是对该漏洞进行一般性的描述,这些描述并不能让黑客掌握系统的具体漏洞所在。
如今,微软也通过TechNet博客作出回应。微软Windows和设备集团执行副总裁Terry Myerson表示,名为STRONTIUM的黑客团体利用该漏洞执行过网络钓鱼攻击,不过在进一步的调查中发现Windows 10周年更新中Edge浏览器能够帮助用户抵御这方面的侵扰。这项攻击主要利用了Flash Player和Windows Kernel中的两个零日漏洞来执行。
整个操作过程如下:
利用Flash来获取浏览器进程的权限控制
提升权限以逃避浏览器的沙盒
安装后门以便于访问受害者电脑
拥有Windows Defender Advanced Threat Protection (ATP) 的商业用户也应该是安全的。微软表示Defender ATP“在常规检测中能甄别没有任何签名的多个攻击阶段,例如浏览器进程创建非常规的DLL库,意外更改的进程令牌和完整性级别,以及在异常条件下创建DLL库。”
或许现在摆在微软面前最为麻烦的问题就是从Windows Vista到Windows 10十一月更新(Version 1511)都存在这个漏洞。对此微软官方表示将于11月8日修复这个漏洞。
