一个已经修复一个月的微软系统漏洞,今天突然在HackerNews上火了起来。

不光如此,还有开发者专门在GitHub为这个漏洞建立项目。

微软:修复系统漏洞你们还骂我?-风君雪科技博客

但是,大家热议的焦点并不在漏洞本身,而是本来十分严重的漏洞,微软却将它标记为最低等级,并竭力淡化影响。

修复漏洞的速度也很慢。

微软对于严重漏洞「大事化小」的做法,引来网友一致吐槽,甚至还有人翻起了微软的「旧账」。

这个漏洞到底有多严重?微软真的「护短」吗?

今年8月,微软团队协作工具Microsoft Teams,被指出存在严重的远程执行漏洞。

这个远程代码执行漏洞可由teams.microsoft.com的新XSS(跨站点脚本)注入触发。

微软:修复系统漏洞你们还骂我?-风君雪科技博客

黑客在受害者的PC上执行任意代码,而无需用户交互。

在Teams的所有支持的平台(Windows、macOS、Linux)桌面应用程序都可能受到影响

攻击者只需要在Teams中给目标发送一条看起来很正常的消息。受害者只要点击查看消息,然后就会远程执行代码。

整个过程不用任何其他互动。

微软:修复系统漏洞你们还骂我?-风君雪科技博客

在演示中,攻击者只需要发送一个非交互式的HTTP请求即可。

在远程代码开始执行时,可以看到屏幕上一闪而过的模板字符串注入,但普通用户很难察觉到。

此后,公司的内部网络,个人文件,Office文档/邮件/便笺,加密聊天等等都会成为攻击或盗取对象。

定位「最低级」,合理吗?

微软将这个漏洞定为「重要、有欺骗性」,几乎是Office365 Cloud 漏洞赏金计划中级别最低的漏洞。

微软:修复系统漏洞你们还骂我?-风君雪科技博客

但从漏洞本身能造成的危害上来说,Teams漏洞可以导致:

在私人设备上任意执行命令,而不与受害者进行交互(隐蔽性)。

除了Teams,还可以访问私人聊天、文件、内部网络、私人密钥和个人数据。

访问SSO令牌,因此除了Teams(Outlook,Office365等)之外,还可以调用其他微软服务。

通过重定向到攻击者网站或要求输入SSO凭证,可能会受到钓鱼攻击

记录键盘输入内容。

利用这种攻击方法还有一个致命的危害,即可以将执行代码做成蠕虫,通过Teams的用户关系网络自动传播。

GitHub用户Oskarsve说,他们的团队甚至诞生了一个新的「梗」:现在只要出现远程执行bug,都会说成「重要、有欺骗性」。

危害大、隐蔽性强、传染性强,这样的漏洞被定位最低级别,并且发现的时间是在今年8月份,而直到11月才完全修复。

微软的态度,是网友们不满的主要原因。

微软Teams漏洞被发现以后,Github用户oskarsve数次向微软安全响应中心反映,并详细列出了漏洞可能带来的严重后果。

微软:修复系统漏洞你们还骂我?-风君雪科技博客

三个月后,微软方面终于有了结论,给了这个漏洞一个最低的级别。

同时,微软方面还给出一个匪夷所思的说明:

桌面应用的漏洞「超出范围」(out of scope)。

但桌面应用是大多数用户使用Teams的方式。

oskarsve认为微软的做法十分离谱,给出的说明也在敷衍用户。

漏洞修复以后,面对用户的质疑,和对漏洞危害性的询问,微软都拒绝回应。

11月底,微软方面又补了一句:

当前微软政策规定,无需对可自动更新的产品做CVE(通用漏洞披露)。

回复慢、还拒绝交流的态度惹恼了很多用户。

Oskarsve在GitHub就此事建了主页,并且详细列出时间线,Hackernews一下炸开了锅。

微软:修复系统漏洞你们还骂我?-风君雪科技博客

大家纷纷翻起了微软的黑历史。

微软:修复系统漏洞你们还骂我?-风君雪科技博客

比如,有用户反映,微软对于自家产品的漏洞,一直都是大事化小、不解释的态度。

早在20年前IE5浏览器上线时,要报告bug,必须要用信用卡支付100美元定金。

如果bug属实,100美元退还,如果没bug,100美元就作为浪费微软时间的补偿。「doge」

后来有人详细说明了当时的政策:

收费项目是微软技术支持电话的服务费,如果最后证实是微软方面的bug,则用户无需支付这笔费用。

此外,还有用户说,IE7时代时,浏览器和ClickOnce启动器无法兼容,向微软团队反映数月也无果。

最后还引起了微软和ClickOnce工作人员之间的论战。

这个问题直到Edge浏览器时代依然存在。

微软:修复系统漏洞你们还骂我?-风君雪科技博客

翻一翻HC上关于这则消息的评论,240多条讨论,大多都是这样故事。

微软在桌面PC上的优势和垄断难破,用户苦之久矣……

微软漏洞有过让你糟心的经历吗?

微软:修复系统漏洞你们还骂我?-风君雪科技博客