[[176315]]

微軟因其對Windows零日漏洞的無作為而遭致嚴重抨擊，該漏洞尚未被修補，目前正在被攻擊者利用。

不久前，谷歌披露了一個Windows內(nèi)核零日漏洞，該漏洞與Adobe Flash零日漏洞正被攻擊者利用作為攻擊鏈的一部分，而Adobe已在10月26日修復(fù)了其漏洞。微軟還沒有發(fā)布該Windows內(nèi)核漏洞的補丁，專家認為該公司并沒有重視這個問題的嚴重性。

Malwarebytes公司首席惡意軟件情報分析師Jerome Segura稱這個Windows零日漏洞是特權(quán)升級漏洞。

“Flash和Windows零日漏洞是兩個獨立的漏洞，但它們確實可以結(jié)合著使用以感染用戶，”Segura稱，“攻擊者開始會利用Flash漏洞瞄準瀏覽器，逃避沙箱，然后利用Windows漏洞執(zhí)行特權(quán)升級。”

微軟不滿谷歌在報告漏洞給微軟和Adobe僅10天后就公開披露了這個漏洞，微軟聲稱“谷歌描述的攻擊場景完全可通過部署上周發(fā)布的Adobe Flash更新來緩解”，并指出這個特定的漏洞利用在Windows 10周年更新中“從未有效”。

Core Security公司高級威脅研究人員Willis McDonald稱，Adobe修復(fù)其漏洞與緩解Windows特權(quán)升級漏洞無關(guān)。

“微軟指出Chrome和微軟Edge瀏覽器并不易受到攻擊，”McDonald稱，“這是因為這兩個瀏覽器都利用了Windows 10中可用的Win32k系統(tǒng)調(diào)用緩解。任何沒有利用這個Win32k系統(tǒng)調(diào)用緩解的用戶模式應(yīng)用能夠調(diào)用到win32k.sys，并可能利用此漏洞。”

Lastline公司產(chǎn)品及業(yè)務(wù)開發(fā)副總裁Brian Laing同意McDonald的觀點。

“這個攻擊并不能通過安裝Adobe Flash更新來完全緩解，攻擊者很有可能利用其它零日漏洞，讓他們得以利用Windows的漏洞，”Laing稱，“從我的經(jīng)驗來看，任何允許特權(quán)升級的漏洞都是高度嚴重漏洞，因為攻擊者會繼續(xù)尋找新方法來利用該漏洞。”

咨詢公司Rendition InfoSec LLC創(chuàng)始人Jake Williams則表示：“這是可從用戶模式應(yīng)用訪問的內(nèi)核模式零日漏洞，基本上，這可能是微軟面臨的最糟糕的情況。”

FireMon公司首席技術(shù)官Paul Calatayud表示，根據(jù)緩解因素來評估漏洞的風(fēng)險非常危險。

Calatayud稱：“微軟認為這個漏洞可通過Flash更新來緩解，而且還假定計算機正確更新了Flash。關(guān)注這種攻擊場景很重要，但很危險，因為你必須對正在進行的威脅建模進行假設(shè)。系統(tǒng)是否完全修復(fù)?第三方應(yīng)用是否完全修復(fù)?”

不必要的歸因?

微軟的回應(yīng)還包括聲稱俄羅斯支持的高級持續(xù)性威脅團隊(被稱為STRONTIUM, FANCY BEAR, APT28和Sofacy)對“少量魚叉式網(wǎng)絡(luò)釣魚活動”負責(zé)任，該攻擊利用Flash和Windows零日漏洞來瞄準特定客戶群組。

Calatayud稱，對于大多數(shù)人來說，這種類型的歸因沒有價值，可能會混淆視聽。

“微軟應(yīng)該關(guān)注核心問題，”Calatayud稱，“如果存在已知漏洞利用，攻擊者只會加快攻擊速度。而且很快這會成為攻擊主流，這個漏洞利用可能會出現(xiàn)在腳本小子使用的攻擊工具中。”

McDonald指出，微軟將責(zé)任歸因到Sofacy團伙，可能試圖讓大家認為他們一直在掌控局面以及監(jiān)控漏洞利用情況。

McDonald說道：“Sofacy通常都是利用Adobe Flash和Windows中的零日漏洞來瞄準特定個人以及企業(yè)。因此，通過將CVE-2016-7855漏洞利用歸因于Sofacy，他們基本上可將漏洞利用的范圍最小化到這個團伙以及其攻擊的特定目標。然而，這并不能給企業(yè)帶來安慰，企業(yè)都在焦急等待這個特權(quán)升級漏洞的補丁，畢竟其他攻擊者很快會開始利用這個漏洞。”