谷歌近日再次曝光Windows 0day漏洞，稱該漏洞可影響所有現(xiàn)行的Windows操作系統(tǒng)，而微軟還沒來得及修復(fù)。

[[175678]]

根據(jù)谷歌團(tuán)隊(duì)發(fā)布的博文，該漏洞是一個(gè)本地提權(quán)漏洞，可以讓攻擊者逃過沙盒過濾，獲得管理員權(quán)限，并執(zhí)行惡意代碼。

It can be triggered via the win32k.sys system call NtSetWindowLongPtr() for the index GWLP_ID on a window handle with GWL_STYLE set to WS_CHILD.

其實(shí)，10天前谷歌就已經(jīng)將此漏洞上報(bào)給微軟。既然已經(jīng)提交微軟團(tuán)隊(duì)，谷歌為何在短短數(shù)日之后又將之公開?

漏洞已被利用

“上周五，也就是10月21日，我們報(bào)告了(此前未公開的)兩個(gè)0day漏洞分別給Adobe和微軟。Adobe在10月26日更新了Flash，修補(bǔ)了CVE-2016-7855漏洞;此次更新可通過Adobe更新程序和Chrome自動更新實(shí)現(xiàn)。”

7天之后，谷歌團(tuán)隊(duì)發(fā)現(xiàn)Windows系統(tǒng)中依然存在谷歌上報(bào)的高危漏洞，并且微軟沒有發(fā)布任何安全公告或者補(bǔ)丁。同時(shí)，谷歌團(tuán)隊(duì)發(fā)現(xiàn)此漏洞正被積極利用，俄羅斯APT黑客組織Strontium，也就是Fancy Bear，正利用此漏洞部署“小規(guī)模”攻擊，此組織也是美國民主黨全國委員會(DNC)被黑事件的重點(diǎn)懷疑對象，這一信息也得到了微軟的確認(rèn)。

因此，谷歌認(rèn)為此漏洞特別嚴(yán)重。于是谷歌團(tuán)隊(duì)將此漏洞公開，該舉動符合谷歌在2013年制定的產(chǎn)品漏洞披露信息相關(guān)政策：

我們建議，廠商在60天內(nèi)修復(fù)高危漏洞，如果無法修復(fù)，廠商也應(yīng)知會公眾風(fēng)險(xiǎn)相關(guān)信息，并提供變通方案。如果廠商需要更多時(shí)間修復(fù)漏洞，我們鼓勵(lì)研究人員發(fā)布自己的相關(guān)發(fā)現(xiàn)。但是，根據(jù)我們的經(jīng)驗(yàn)，我們認(rèn)為對于高危的、正被積極利用的漏洞，廠商應(yīng)在7天內(nèi)采取更加緊急的措施。

7天的時(shí)限比較緊迫，對于某些廠商而言，如果要更新產(chǎn)品，7天可能有些短。但是，廠商發(fā)布可能的緩解措施，比如臨時(shí)關(guān)閉某項(xiàng)服務(wù)、限制訪問或者聯(lián)系廠商獲取更多信息，7天是足夠的。因此，如果7天之后，廠商未提供補(bǔ)丁或建議，我們將支持研究者公開細(xì)節(jié)，以便用戶采取防范措施。

谷歌不是第一次這么干了

谷歌團(tuán)隊(duì)認(rèn)為公開漏洞有兩大好處：1.可讓用戶至少知曉問題的存在;2.可以敦促開發(fā)者發(fā)布補(bǔ)丁。

谷歌工程師特別擅長尋找微軟軟件里的漏洞：在2010年6月，谷歌工程師發(fā)現(xiàn)了一個(gè)Windows高危漏洞，只給了微軟5天響應(yīng)時(shí)間，5天后，工程師將漏洞細(xì)節(jié)發(fā)布在網(wǎng)上(其中包括一個(gè)示例攻擊代碼);去年1月，谷歌Project Zero在給微軟提交漏洞信息后，給了微軟90天期限修復(fù)，但微軟沒有在期限內(nèi)修復(fù)，于是谷歌就曝光了漏洞細(xì)節(jié)。具體事件FreeBuf也曾報(bào)道過，詳情請戳這里。

當(dāng)時(shí)，微軟的高級總監(jiān)Chris Betz就曾喊話谷歌：“我們請谷歌與我們合作，等到1月13日我們發(fā)布補(bǔ)丁時(shí)，再公布漏洞細(xì)節(jié)，以保護(hù)客戶。”他認(rèn)為谷歌頑固執(zhí)行其90天期限，不像是堅(jiān)守原則，更像是套路，最后受傷的都是客戶。“谷歌認(rèn)為正確的，對客戶來說不一定就是對的。我們敦促谷歌，將保護(hù)客戶作為我們的首要共同目標(biāo)。”

此話一出，谷歌方面重新考量自己的Project Zero，修改了披露規(guī)則，在原有90天的基礎(chǔ)上又寬限了14天(詳細(xì)情況請點(diǎn)這里)。

微軟：不開心

[[175679]]

對于谷歌此次的曝光，微軟肯定是不開心了，他們指責(zé)谷歌欺騙網(wǎng)民，混淆事實(shí)。微軟首先在一篇聲明當(dāng)中回應(yīng)：

“我們認(rèn)為公開漏洞時(shí)應(yīng)互相配合，谷歌此番公開漏洞，將客戶置于風(fēng)險(xiǎn)之中。”

微軟官方隨后針對攻擊事件在11月1日發(fā)布了安全公告：

“近日，微軟威脅情報(bào)稱為Strontium的活動組織，發(fā)動了一次小流量魚叉式釣魚攻擊。我們已經(jīng)得知，使用Windows 10 周年更新版上的Microsoft Edge的用戶不會受到此次攻擊的影響。此次攻擊，最初由谷歌威脅分析小組發(fā)現(xiàn)，利用的是Adobe Flash的兩個(gè)0day漏洞和Windows的底層內(nèi)核，針對特定的客戶群體。”

微軟發(fā)言人也表示并不是所有Windows版本都受到了影響：

“谷歌將這個(gè)本地提權(quán)漏洞描述為‘高危’、‘特別嚴(yán)重’，我們并不同意。因?yàn)樗麄兠枋龅墓魣鼍埃谏现蹵dobe Flash更新部署后就已經(jīng)全面緩解了。另外，我們的分析認(rèn)為，這種攻擊針對Windows 10周年更新是無效的，因?yàn)橄惹拔覀兙鸵呀?jīng)對系統(tǒng)進(jìn)行了安全方面的加強(qiáng)。”

Windows執(zhí)行副總Terry Myerson則表示谷歌的行為“令人失望”。Myerson認(rèn)為，Strontium黑客組織利用谷歌報(bào)告的漏洞發(fā)動的魚叉式釣魚攻擊是很有限的，因此大部分Windows用戶都沒有成為攻擊目標(biāo)，谷歌不必如此著急將漏洞公開。

Myerson表示，微軟將在下周二，也就是Patch Tuesday發(fā)布時(shí)，修復(fù)此漏洞。Myerson還建議用戶在等待補(bǔ)丁的同時(shí)，先將系統(tǒng)升級為Windows 10，以免受到進(jìn)一步攻擊。

文章轉(zhuǎn)載自微信公眾號“柯力士信息安全”