微軟漏洞到底有多嚴(yán)重？

一個(gè)已經(jīng)修復(fù)一個(gè)月的微軟系統(tǒng)漏洞，今天突然在HackerNews上火了起來。

不光如此，還有開發(fā)者專門在GitHub為這個(gè)漏洞建立項(xiàng)目。

但是，大家熱議的焦點(diǎn)并不在漏洞本身，而是本來十分嚴(yán)重的漏洞，微軟卻將它標(biāo)記為最低等級，并竭力淡化影響。

修復(fù)漏洞的速度也很慢。

微軟對于嚴(yán)重漏洞「大事化小」的做法，引來網(wǎng)友一致吐槽，甚至還有人翻起了微軟的「舊賬」。

這個(gè)漏洞到底有多嚴(yán)重？微軟真的「護(hù)短」嗎？

什么樣的漏洞？

今年8月，微軟團(tuán)隊(duì)協(xié)作工具M(jìn)icrosoft Teams，被指出存在嚴(yán)重的遠(yuǎn)程執(zhí)行漏洞。

這個(gè)遠(yuǎn)程代碼執(zhí)行漏洞可由teams.microsoft.com的新XSS（跨站點(diǎn)腳本）注入觸發(fā)。

黑客在受害者的PC上執(zhí)行任意代碼，而無需用戶交互。

在Teams的所有支持的平臺（Windows、macOS、Linux）桌面應(yīng)用程序都可能受到影響

攻擊者只需要在Teams中給目標(biāo)發(fā)送一條看起來很正常的消息。受害者只要點(diǎn)擊查看消息，然后就會遠(yuǎn)程執(zhí)行代碼。

整個(gè)過程不用任何其他互動。

在演示中，攻擊者只需要發(fā)送一個(gè)非交互式的HTTP請求即可。

在遠(yuǎn)程代碼開始執(zhí)行時(shí)，可以看到屏幕上一閃而過的模板字符串注入，但普通用戶很難察覺到。

此后，公司的內(nèi)部網(wǎng)絡(luò)，個(gè)人文件，Office文檔/郵件/便箋，加密聊天等等都會成為攻擊或盜取對象。

定位「最低級」，合理嗎？

微軟將這個(gè)漏洞定為「重要、有欺騙性」，幾乎是Office365 Cloud 漏洞賞金計(jì)劃中級別最低的漏洞。

但從漏洞本身能造成的危害上來說，Teams漏洞可以導(dǎo)致：

在私人設(shè)備上任意執(zhí)行命令，而不與受害者進(jìn)行交互（隱蔽性）。

除了Teams，還可以訪問私人聊天、文件、內(nèi)部網(wǎng)絡(luò)、私人密鑰和個(gè)人數(shù)據(jù)。

訪問SSO令牌，因此除了Teams（Outlook，Office365等）之外，還可以調(diào)用其他微軟服務(wù)。

通過重定向到攻擊者網(wǎng)站或要求輸入SSO憑證，可能會受到釣魚攻擊

記錄鍵盤輸入內(nèi)容。

利用這種攻擊方法還有一個(gè)致命的危害，即可以將執(zhí)行代碼做成蠕蟲，通過Teams的用戶關(guān)系網(wǎng)絡(luò)自動傳播。

GitHub用戶Oskarsve說，他們的團(tuán)隊(duì)甚至誕生了一個(gè)新的「?！梗含F(xiàn)在只要出現(xiàn)遠(yuǎn)程執(zhí)行bug，都會說成「重要、有欺騙性」。

危害大、隱蔽性強(qiáng)、傳染性強(qiáng)，這樣的漏洞被定位最低級別，并且發(fā)現(xiàn)的時(shí)間是在今年8月份，而直到11月才完全修復(fù)。

微軟的態(tài)度，是網(wǎng)友們不滿的主要原因。

微軟：沒有義務(wù)做出解釋

微軟Teams漏洞被發(fā)現(xiàn)以后，Github用戶oskarsve數(shù)次向微軟安全響應(yīng)中心反映，并詳細(xì)列出了漏洞可能帶來的嚴(yán)重后果。

三個(gè)月后，微軟方面終于有了結(jié)論，給了這個(gè)漏洞一個(gè)最低的級別。

同時(shí)，微軟方面還給出一個(gè)匪夷所思的說明：

桌面應(yīng)用的漏洞「超出范圍」（out of scope）。

但桌面應(yīng)用是大多數(shù)用戶使用Teams的方式。

oskarsve認(rèn)為微軟的做法十分離譜，給出的說明也在敷衍用戶。

漏洞修復(fù)以后，面對用戶的質(zhì)疑，和對漏洞危害性的詢問，微軟都拒絕回應(yīng)。

11月底，微軟方面又補(bǔ)了一句：

當(dāng)前微軟政策規(guī)定，無需對可自動更新的產(chǎn)品做CVE（通用漏洞披露）。

回復(fù)慢、還拒絕交流的態(tài)度惹惱了很多用戶。

Oskarsve在GitHub就此事建了主頁，并且詳細(xì)列出時(shí)間線，Hackernews一下炸開了鍋。

大家紛紛翻起了微軟的黑歷史。

比如，有用戶反映，微軟對于自家產(chǎn)品的漏洞，一直都是大事化小、不解釋的態(tài)度。

早在20年前IE5瀏覽器上線時(shí)，要報(bào)告bug，必須要用信用卡支付100美元定金。

如果bug屬實(shí)，100美元退還，如果沒bug，100美元就作為浪費(fèi)微軟時(shí)間的補(bǔ)償?！竏oge」

后來有人詳細(xì)說明了當(dāng)時(shí)的政策：

收費(fèi)項(xiàng)目是微軟技術(shù)支持電話的服務(wù)費(fèi)，如果最后證實(shí)是微軟方面的bug，則用戶無需支付這筆費(fèi)用。

此外，還有用戶說，IE7時(shí)代時(shí)，瀏覽器和ClickOnce啟動器無法兼容，向微軟團(tuán)隊(duì)反映數(shù)月也無果。

最后還引起了微軟和ClickOnce工作人員之間的論戰(zhàn)。

這個(gè)問題直到Edge瀏覽器時(shí)代依然存在。

翻一翻HC上關(guān)于這則消息的評論，240多條討論，大多都是這樣故事。

微軟在桌面PC上的優(yōu)勢和壟斷難破，用戶苦之久矣……

微軟漏洞有過讓你糟心的經(jīng)歷嗎？
責(zé)任編輯:pj