研究人员抱怨微软的吝啬随后公开零日漏洞 已经有黑客开始探索
微软在安全研究方面投入的资金非常多,当然也有详细的漏洞赏金计划来划定研究人员提交漏洞的最高赏金上限。
而在2020年4月微软对赏金漏洞计划进行调整 , 有研究人员发现的漏洞由原先的奖励 10,000 美元变成1000美元。
这名研究人员抱怨微软的吝啬然后直接将漏洞详情公开,利用该漏洞攻击者可以在目标设备上提升到管理员权限。
例如在企业环境中员工使用的是管理员分配的普通账户,通过此漏洞员工可以将权限提升至管理员执行其他操作。
受影响的操作系统包括Windows 10、Windows 11以及Windows Server 系列服务器操作系统因此危害并不低。
就此事件微软发布声明表示该公司已经知道这枚漏洞被披露、当前正在采取必要的措施确保客户安全和受到保护。
微软称想要使用上述方法的攻击者必须已经拥有访问权限且能够在目标受害者设备上运行代码才能完成权限提升。
但话虽如此不过这种权限提升漏洞实际上危害并不低,微软当前可能已经在制作修复程序以便能够及时封堵漏洞。
这枚漏洞对企业内部环境的危害性可能会更强,主要是权限提升至管理员后黑客能够执行更多复杂操作完成攻击。
例如当一台设备被感染并提升至管理员权限后,黑客或许可以通过其他方式在内网中横向传播以便感染更多设备。
在研究人员将漏洞公开后敏锐的黑客似乎看到了机会:思科安全情报与研究小组已经发现利用该漏洞的部分样本。
思科表示在调查中已经能识别到几个尝试开采此漏洞的样本,不过由于数量较少这可能只是黑客在进行概念验证。
如果微软不及时修复漏洞的话那么很有可能该漏洞会被武器化,毫无疑问接下来每天都会有更多黑客尝试去开采。
不过微软并没有就漏洞赏金计划发布声明,不知道经这起事件后微软是否会考虑重新修订此前修改后的赏金计划。