一個已經修復一個月的微軟系統漏洞 今天突然在HackerNews上火了起來。

不光如此 還有開發者專門在GitHub為這個漏洞建立項目。

但是 大家熱議的焦點并不在漏洞本身 而是本來十分嚴重的漏洞 微軟卻將它標記為最低等級 并竭力淡化影響。

修復漏洞的速度也很慢。

微軟對于嚴重漏洞「大事化小」的做法 引來網友一致吐槽 甚至還有人翻起了微軟的「舊賬」。

這個漏洞到底有多嚴重？微軟真的「護短」嗎？

什么樣的漏洞？

今年8月 微軟團隊協作工具MicrosoftTeams被指出存在嚴重的遠程執行漏洞。

這個遠程代碼執行漏洞可由teams.microsoft.com的新XSS（跨站點腳本）注入觸發。

黑客在受害者的PC上執行任意代碼 而無需用戶交互。

在Teams的所有支持的平臺（Windows、macOS、Linux）桌面應用程序都可能受到影響

攻擊者只需要在Teams中給目標發送一條看起來很正常的消息。受害者只要點擊查看消息 然后就會遠程執行代碼。

整個過程不用任何其他互動。

在演示中 攻擊者只需要發送一個非交互式的HTTP請求即可。

在遠程代碼開始執行時 可以看到屏幕上一閃而過的模板字符串注入 但普通用戶很難察覺到。

此后 公司的內部網絡 個人文件 Office文檔/郵件/便箋 加密聊天等等都會成為攻擊或盜取對象。

定位「最低級」 合理嗎？

微軟將這個漏洞定為「重要、有欺騙性」 幾乎是Office365 Cloud 漏洞賞金計劃中級別最低的漏洞。

但從漏洞本身能造成的危害上來說 Teams漏洞可以導致：

在私人設備上任意執行命令 而不與受害者進行交互（隱蔽性）。

除了Teams 還可以訪問私人聊天、文件、內部網絡、私人密鑰和個人數據。

訪問SSO令牌 因此除了Teams（Outlook Office365等）之外 還可以調用其他微軟服務。

通過重定向到攻擊者網站或要求輸入SSO憑證 可能會受到釣魚攻擊

記錄鍵盤輸入內容。

利用這種攻擊方法還有一個致命的危害 即可以將執行代碼做成蠕蟲 通過Teams的用戶關系網絡自動傳播。

GitHub用戶Oskarsve說 他們的團隊甚至誕生了一個新的「梗」：現在只要出現遠程執行bug 都會說成「重要、有欺騙性」。

危害大、隱蔽性強、傳染性強 這樣的漏洞被定位最低級別 并且發現的時間是在今年8月份 而直到11月才完全修復。

微軟的態度 是網友們不滿的主要原因。

微軟：沒有義務做出解釋

微軟Teams漏洞被發現以后 Github用戶oskarsve數次向微軟安全響應中心反映 并詳細列出了漏洞可能帶來的嚴重后果。

三個月后 微軟方面終于有了結論 給了這個漏洞一個最低的級別。

同時 微軟方面還給出一個匪夷所思的說明：

桌面應用的漏洞「超出范圍」（out of scope）。

但桌面應用是大多數用戶使用Teams的方式。

oskarsve認為微軟的做法十分離譜 給出的說明也在敷衍用戶。

漏洞修復以后 面對用戶的質疑 和對漏洞危害性的詢問 微軟都拒絕回應。

11月底 微軟方面又補了一句：

當前微軟政策規定 無需對可自動更新的產品做CVE（通用漏洞披露）。

回復慢、還拒絕交流的態度惹惱了很多用戶。

Oskarsve在GitHub就此事建了主頁 并且詳細列出時間線 Hackernews一下炸開了鍋。

大家紛紛翻起了微軟的黑歷史。

比如 有用戶反映 微軟對于自家產品的漏洞 一直都是大事化小、不解釋的態度。

早在20年前IE5瀏覽器上線時 要報告bug 必須要用信用卡支付100美元定金。

如果bug屬實 100美元退還 如果沒bug 100美元就作為浪費微軟時間的補償。「doge」

后來有人詳細說明了當時的政策：

收費項目是微軟技術支持電話的服務費 如果最后證實是微軟方面的bug 則用戶無需支付這筆費用。

此外 還有用戶說 IE7時代時 瀏覽器和ClickOnce啟動器無法兼容 向微軟團隊反映數月也無果。

最后還引起了微軟和ClickOnce工作人員之間的論戰。

這個問題直到Edge瀏覽器時代依然存在。

翻一翻HC上關于這則消息的評論 240多條討論 大多都是這樣故事。

微軟在桌面PC上的優勢和壟斷難破 用戶苦之久矣……

微軟漏洞有過讓你糟心的經歷嗎？ 責任編輯:pj