[[176315]]

微軟因其對Windows零日漏洞的無作為而遭致嚴(yán)重抨擊，該漏洞尚未被修補(bǔ)，目前正在被攻擊者利用。

不久前，谷歌披露了一個Windows內(nèi)核零日漏洞，該漏洞與Adobe Flash零日漏洞正被攻擊者利用作為攻擊鏈的一部分，而Adobe已在10月26日修復(fù)了其漏洞。微軟還沒有發(fā)布該Windows內(nèi)核漏洞的補(bǔ)丁，專家認(rèn)為該公司并沒有重視這個問題的嚴(yán)重性。

Malwarebytes公司首席惡意軟件情報分析師Jerome Segura稱這個Windows零日漏洞是特權(quán)升級漏洞。

“Flash和Windows零日漏洞是兩個獨(dú)立的漏洞，但它們確實(shí)可以結(jié)合著使用以感染用戶，”Segura稱，“攻擊者開始會利用Flash漏洞瞄準(zhǔn)瀏覽器，逃避沙箱，然后利用Windows漏洞執(zhí)行特權(quán)升級。”

微軟不滿谷歌在報告漏洞給微軟和Adobe僅10天后就公開披露了這個漏洞，微軟聲稱“谷歌描述的攻擊場景完全可通過部署上周發(fā)布的Adobe Flash更新來緩解”，并指出這個特定的漏洞利用在Windows 10周年更新中“從未有效”。

Core Security公司高級威脅研究人員Willis McDonald稱，Adobe修復(fù)其漏洞與緩解Windows特權(quán)升級漏洞無關(guān)。

“微軟指出Chrome和微軟Edge瀏覽器并不易受到攻擊，”McDonald稱，“這是因?yàn)檫@兩個瀏覽器都利用了Windows 10中可用的Win32k系統(tǒng)調(diào)用緩解。任何沒有利用這個Win32k系統(tǒng)調(diào)用緩解的用戶模式應(yīng)用能夠調(diào)用到win32k.sys，并可能利用此漏洞。”

Lastline公司產(chǎn)品及業(yè)務(wù)開發(fā)副總裁Brian Laing同意McDonald的觀點(diǎn)。

“這個攻擊并不能通過安裝Adobe Flash更新來完全緩解，攻擊者很有可能利用其它零日漏洞，讓他們得以利用Windows的漏洞，”Laing稱，“從我的經(jīng)驗(yàn)來看，任何允許特權(quán)升級的漏洞都是高度嚴(yán)重漏洞，因?yàn)楣粽邥^續(xù)尋找新方法來利用該漏洞。”

咨詢公司Rendition InfoSec LLC創(chuàng)始人Jake Williams則表示：“這是可從用戶模式應(yīng)用訪問的內(nèi)核模式零日漏洞，基本上，這可能是微軟面臨的最糟糕的情況。”

FireMon公司首席技術(shù)官Paul Calatayud表示，根據(jù)緩解因素來評估漏洞的風(fēng)險非常危險。

Calatayud稱：“微軟認(rèn)為這個漏洞可通過Flash更新來緩解，而且還假定計算機(jī)正確更新了Flash。關(guān)注這種攻擊場景很重要，但很危險，因?yàn)槟惚仨殞φ谶M(jìn)行的威脅建模進(jìn)行假設(shè)。系統(tǒng)是否完全修復(fù)?第三方應(yīng)用是否完全修復(fù)?”

不必要的歸因?

微軟的回應(yīng)還包括聲稱俄羅斯支持的高級持續(xù)性威脅團(tuán)隊(被稱為STRONTIUM, FANCY BEAR, APT28和Sofacy)對“少量魚叉式網(wǎng)絡(luò)釣魚活動”負(fù)責(zé)任，該攻擊利用Flash和Windows零日漏洞來瞄準(zhǔn)特定客戶群組。

Calatayud稱，對于大多數(shù)人來說，這種類型的歸因沒有價值，可能會混淆視聽。

“微軟應(yīng)該關(guān)注核心問題，”Calatayud稱，“如果存在已知漏洞利用，攻擊者只會加快攻擊速度。而且很快這會成為攻擊主流，這個漏洞利用可能會出現(xiàn)在腳本小子使用的攻擊工具中。”

McDonald指出，微軟將責(zé)任歸因到Sofacy團(tuán)伙，可能試圖讓大家認(rèn)為他們一直在掌控局面以及監(jiān)控漏洞利用情況。

McDonald說道：“Sofacy通常都是利用Adobe Flash和Windows中的零日漏洞來瞄準(zhǔn)特定個人以及企業(yè)。因此，通過將CVE-2016-7855漏洞利用歸因于Sofacy，他們基本上可將漏洞利用的范圍最小化到這個團(tuán)伙以及其攻擊的特定目標(biāo)。然而，這并不能給企業(yè)帶來安慰，企業(yè)都在焦急等待這個特權(quán)升級漏洞的補(bǔ)丁，畢竟其他攻擊者很快會開始利用這個漏洞。”