微软拖延两年时间才修复Windows严重级安全漏洞引起研究人员不满

2018年8月份有安全研究人员发现 Windows 系统签名验证漏洞,随后这枚漏洞被提交给微软并且得到微软确认。

这枚漏洞后来分配的漏洞编号是CVE-2020-1464号 , 微软官方对这枚安全漏洞的评级为严重 , CVSS评分为5.3分。

值得注意的是微软在2020年8月份的例行安全更新中才修复该漏洞,该公司并未解释为何需要花费两年时间修复。

在这枚漏洞被修复后研究人员发文抨击微软,因为这枚漏洞早就遭到利用、微软将数以亿计的用户暴露在风险中。

更新:漏洞被谷歌发现是2019年1月、被黑客利用可以追溯到2018年8月 , 所以微软应该是拖延了18个月才修复。

微软拖延两年时间才修复Windows严重级安全漏洞引起研究人员不满

上图:研究人员制作的套娃包含有有效的微软签名

利用漏洞篡改软件安装包绕过验证:

数字签名是操作系统和软件开发商们普遍使用的安全策略,数字签名可用来确保软件包不被篡改获得系统的信任。

若软件包遭到篡改则签名会自动失效,在某些特殊领域若没有数字签名是不会放行的,因为只可安装受信任软件。

研究人员发现的这名漏洞则是让签名校验形同虚设 ,黑客将恶意Java包 (.jar) 嵌入合法软件但不会破坏数字签名。

因此黑客可以冒充任意知名开发商例如微软和谷歌等,篡改其软件包加载恶意代码然后通过网络渠道进行钓鱼等。

在两年前研究人员向微软通报时微软已经告知研究人员该漏洞在野外遭到利用,对用户和系统具有较高安全风险。

微软为何花费两年修复原因成迷:

让人非常意外的是早在两年前微软就告知研究人员不会在当前版本里修复,当时研究人员只认为可能会稍微迟点。

万万没想到两年后的现在微软才发布安全更新修复这枚漏洞,事实上在两年里已经有无数黑客利用这枚安全漏洞。

谷歌旗下安全扫描服务VirusTotal发现大量恶意包进行免杀检测 ,  随后谷歌安全研究人员发布博文详细说明漏洞。

并非所有杀毒软件都无法发现这种套娃式恶意软件,但有些杀毒软件看到有数字签名就会放行于是被恶意包绕过。

研究人员对于微软花费两年时间修复漏洞非常不解,实际上该漏洞也不止一次被研究人员拿出来分析并通报微软。

不过微软至今没有解释为什么如此严重的安全漏洞迟迟不愿意修复,微软只表示安装最新安全更新即可抵御漏洞。

本文来源 KrebsonSecurity,由 山外的鸭子哥 整理编辑,其版权均为 KrebsonSecurity 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

6 条评论,访客:6 条,站长:0 条
  1. BeMWL
    BeMWL发布于: 
    Chromium Edge 84.0.522.63 Chromium Edge 84.0.522.63 Windows 10 64位版 Windows 10 64位版

    阿三遍布老美

  2. bakura
    bakura发布于: 
    Google Chrome 62.0.3202.75 Google Chrome 62.0.3202.75 Windows 7 64位版 Windows 7 64位版

    阿三程序猿,这能解释了吧。

  3. chi2019
    chi2019发布于: 
    Chromium Edge 84.0.522.63 Chromium Edge 84.0.522.63 Windows 10 64位版 Windows 10 64位版

    是否可以这样理解,不管什么软件,我只要是从其官网下载的,就无需在意该漏洞

    • 木头科学二百五
      木头科学二百五发布于: 
      Chromium Edge 86.0.615.0 Chromium Edge 86.0.615.0 Windows 10 64位版 Windows 10 64位版

      那也得有两个前提:一是此软件开发商自身不是恶意开发商或流氓厂商;二是此软件开发商自身没有被黑客攻陷,这样的事情还出现过挺多,比如CCleaner不止一次,还有很多大厂使用的SDK事件。

      • 山外的鸭子哥
        山外的鸭子哥发布于: 
        Google Chrome 84.0.4147.135 Google Chrome 84.0.4147.135 Windows 10 64位版 Windows 10 64位版

        C不能在这里做案例,CC是内部服务器被入侵了,在打包官方版时就已经自带恶意模块然后进行签名了

        • 木头科学二百五
          木头科学二百五发布于: 
          Google Chrome 87.0.4242.0 Google Chrome 87.0.4242.0 Windows 10 64位版 Windows 10 64位版

          对呀,我这里就是在回复这位仁兄的评论嘛,他问的是,只要是从其官网下载的,就无需在意安全性。那么此软件开发商自身被黑客攻陷当然会导致在其官网下载的内容出现问题,所以在这种特殊情况下会导致从官网下载也不安全。

发表评论