微軟漏洞到底有多嚴(yán)重？

一個(gè)已經(jīng)修復(fù)一個(gè)月的微軟系統(tǒng)漏洞，今天突然在HackerNews上火了起來(lái)。

不光如此，還有開發(fā)者專門在GitHub為這個(gè)漏洞建立項(xiàng)目。

但是，大家熱議的焦點(diǎn)并不在漏洞本身，而是本來(lái)十分嚴(yán)重的漏洞，微軟卻將它標(biāo)記為最低等級(jí)，并竭力淡化影響。

修復(fù)漏洞的速度也很慢。

微軟對(duì)于嚴(yán)重漏洞「大事化小」的做法，引來(lái)網(wǎng)友一致吐槽，甚至還有人翻起了微軟的「舊賬」。

這個(gè)漏洞到底有多嚴(yán)重？微軟真的「護(hù)短」嗎？

什么樣的漏洞？

今年8月，微軟團(tuán)隊(duì)協(xié)作工具M(jìn)icrosoft Teams，被指出存在嚴(yán)重的遠(yuǎn)程執(zhí)行漏洞。

這個(gè)遠(yuǎn)程代碼執(zhí)行漏洞可由teams.microsoft.com的新XSS（跨站點(diǎn)腳本）注入觸發(fā)。

黑客在受害者的PC上執(zhí)行任意代碼，而無(wú)需用戶交互。

在Teams的所有支持的平臺(tái)（Windows、macOS、Linux）桌面應(yīng)用程序都可能受到影響

攻擊者只需要在Teams中給目標(biāo)發(fā)送一條看起來(lái)很正常的消息。受害者只要點(diǎn)擊查看消息，然后就會(huì)遠(yuǎn)程執(zhí)行代碼。

整個(gè)過(guò)程不用任何其他互動(dòng)。

在演示中，攻擊者只需要發(fā)送一個(gè)非交互式的HTTP請(qǐng)求即可。

在遠(yuǎn)程代碼開始執(zhí)行時(shí)，可以看到屏幕上一閃而過(guò)的模板字符串注入，但普通用戶很難察覺(jué)到。

此后，公司的內(nèi)部網(wǎng)絡(luò)，個(gè)人文件，Office文檔/郵件/便箋，加密聊天等等都會(huì)成為攻擊或盜取對(duì)象。

定位「最低級(jí)」，合理嗎？

微軟將這個(gè)漏洞定為「重要、有欺騙性」，幾乎是Office365 Cloud 漏洞賞金計(jì)劃中級(jí)別最低的漏洞。

但從漏洞本身能造成的危害上來(lái)說(shuō)，Teams漏洞可以導(dǎo)致：

在私人設(shè)備上任意執(zhí)行命令，而不與受害者進(jìn)行交互（隱蔽性）。

除了Teams，還可以訪問(wèn)私人聊天、文件、內(nèi)部網(wǎng)絡(luò)、私人密鑰和個(gè)人數(shù)據(jù)。

訪問(wèn)SSO令牌，因此除了Teams（Outlook，Office365等）之外，還可以調(diào)用其他微軟服務(wù)。

通過(guò)重定向到攻擊者網(wǎng)站或要求輸入SSO憑證，可能會(huì)受到釣魚攻擊

記錄鍵盤輸入內(nèi)容。

利用這種攻擊方法還有一個(gè)致命的危害，即可以將執(zhí)行代碼做成蠕蟲，通過(guò)Teams的用戶關(guān)系網(wǎng)絡(luò)自動(dòng)傳播。

GitHub用戶Oskarsve說(shuō)，他們的團(tuán)隊(duì)甚至誕生了一個(gè)新的「?！梗含F(xiàn)在只要出現(xiàn)遠(yuǎn)程執(zhí)行bug，都會(huì)說(shuō)成「重要、有欺騙性」。

危害大、隱蔽性強(qiáng)、傳染性強(qiáng)，這樣的漏洞被定位最低級(jí)別，并且發(fā)現(xiàn)的時(shí)間是在今年8月份，而直到11月才完全修復(fù)。

微軟的態(tài)度，是網(wǎng)友們不滿的主要原因。

微軟：沒(méi)有義務(wù)做出解釋

微軟Teams漏洞被發(fā)現(xiàn)以后，Github用戶oskarsve數(shù)次向微軟安全響應(yīng)中心反映，并詳細(xì)列出了漏洞可能帶來(lái)的嚴(yán)重后果。

三個(gè)月后，微軟方面終于有了結(jié)論，給了這個(gè)漏洞一個(gè)最低的級(jí)別。

同時(shí)，微軟方面還給出一個(gè)匪夷所思的說(shuō)明：

桌面應(yīng)用的漏洞「超出范圍」（out of scope）。

但桌面應(yīng)用是大多數(shù)用戶使用Teams的方式。

oskarsve認(rèn)為微軟的做法十分離譜，給出的說(shuō)明也在敷衍用戶。

漏洞修復(fù)以后，面對(duì)用戶的質(zhì)疑，和對(duì)漏洞危害性的詢問(wèn)，微軟都拒絕回應(yīng)。

11月底，微軟方面又補(bǔ)了一句：

當(dāng)前微軟政策規(guī)定，無(wú)需對(duì)可自動(dòng)更新的產(chǎn)品做CVE（通用漏洞披露）。

回復(fù)慢、還拒絕交流的態(tài)度惹惱了很多用戶。

Oskarsve在GitHub就此事建了主頁(yè)，并且詳細(xì)列出時(shí)間線，Hackernews一下炸開了鍋。

大家紛紛翻起了微軟的黑歷史。

比如，有用戶反映，微軟對(duì)于自家產(chǎn)品的漏洞，一直都是大事化小、不解釋的態(tài)度。

早在20年前IE5瀏覽器上線時(shí)，要報(bào)告bug，必須要用信用卡支付100美元定金。

如果bug屬實(shí)，100美元退還，如果沒(méi)bug，100美元就作為浪費(fèi)微軟時(shí)間的補(bǔ)償?！竏oge」

后來(lái)有人詳細(xì)說(shuō)明了當(dāng)時(shí)的政策：

收費(fèi)項(xiàng)目是微軟技術(shù)支持電話的服務(wù)費(fèi)，如果最后證實(shí)是微軟方面的bug，則用戶無(wú)需支付這筆費(fèi)用。

此外，還有用戶說(shuō)，IE7時(shí)代時(shí)，瀏覽器和ClickOnce啟動(dòng)器無(wú)法兼容，向微軟團(tuán)隊(duì)反映數(shù)月也無(wú)果。

最后還引起了微軟和ClickOnce工作人員之間的論戰(zhàn)。

這個(gè)問(wèn)題直到Edge瀏覽器時(shí)代依然存在。

翻一翻HC上關(guān)于這則消息的評(píng)論，240多條討論，大多都是這樣故事。

微軟在桌面PC上的優(yōu)勢(shì)和壟斷難破，用戶苦之久矣……

微軟漏洞有過(guò)讓你糟心的經(jīng)歷嗎？
責(zé)任編輯:pj