原标题:前资安研究员在推特公开未知漏洞,后续效应有待观察
图片来源:SandboxEscaper的Twitter个人页面
一般而言,资安研究员若是发现到软件的弱点,会先行通报厂商,让厂商能进行相关的修补作业,待完成并提供更新档案后,资安研究员才会公开揭露他们发现的细节,减少弱点遭到大肆滥用的可能。不过,最近有名前漏洞研究员,以推特帐号SandboxEscaper发表一篇贴文,将研究结果直接公开,表示她发现了一个Windows零时差漏洞,并在GitHub上提供了概念性验证用的攻击程式,随后,美国电脑网络危机处理暨协调中心(CERT/CC)弱点分析师Will△Dormann,也依循SandboxEscaper推文的资料,证实了这个弱点的存在。不过,截至目前为止,微软还没有提供任何的修补软件。
依据正常的软件漏洞通报流程,一般民众可能会经由特定的通报平台,而资安研究团队会直接联系软件开发厂商,经由厂商与通报者多次的确认、验证,并等待厂商修补完成之后,才会完全公布漏洞的细节。然而,像前述直接在社交网站上公开的做法,便会让这些软件的弱点,成为有心人士可能滥用的目标。
漏洞通报管道多元,但难防有人直接在社交网站上公开在台湾,目前可提供漏洞通报的平台,包含了HITCON△ZeroDay,以及台湾电脑网络危机处理暨协调中心(TWCERT/CC)等,鼓励研究人员能够提供他们找到的弱点,用来减少漏洞被滥用的机会。而不少科技公司为了改良自家的产品或服务平台,像是微软、Google、苹果、脸书,甚至是台湾人常用的社交软件,它们也提供了抓漏悬赏计划。然而,SandboxEscaper不只直接在推特上公开前述的漏洞,甚至表明不打算将相关资讯交给微软,虽然这名研究员的动机不明,但是上述的做法,已经让执行Windows作业系统的电脑,暴露在该漏洞所造成的风险之中。
这个被公开的漏洞,可让有心人士利用工作排程器,并且让本地端处理程序进阶通讯(Advanced△Local△Procedure△Call,ALPC)介面发生错误,进而提升存取权限。
美国电脑网络危机处理暨协调中心弱点分析师Will△Dormann,则依据推文提供的资料进一步验证,这个漏洞影响Windows△10与Windows△Server△2016,并将这个漏洞登录到CERT,并给予CVSS指标6.4至6.8分,就弱点本身的层面而言,风险程度算是中等(高风险为7分以上)。但真正的问题是,SandboxEscaper直接公开有关细节后,在微软尚未提供任何修正档案的空窗期之前,该漏洞可能会遭到滥用。此外,SandboxEscaper在自己的博客上,也列出她曾发现的漏洞清单,其中,包含了一个Windows△10 LPE弱点的CVE-2018-8440,是否就是表示这次所揭露的弱点,已受到CVE列管,这名前研究员并未证实。
目前为止,微软尚未提供相关的修补程式,因此许多外媒推测,微软应该会在9月份例行的修补星期二,才推出有关的更新软件。不过,资安公司的Acros△Security,宣称他们旗下的0patch零时差漏洞修补平台,在揭露的24小时后,推出相关的微修补档案预览版本,可供应急。
附带一提的是,虽然SandboxEscaper这样直接公开漏洞的行为并不可取,但由于她的推文带有自暴自弃的内容,加上前几天(24日)在自己博客中,这名研究员也表明想求职,因此在这篇推文中,不只多位研究员回报成功验证,也有许多人推文帮她打气,鼓励她勇于参与厂商的抓漏奖励计划。
?
iThome△Security
相关:
不负责爆料?研究人员揭露还没有修补程式的Windows 工作排程器零时差漏洞
示意图,与新闻事件无关。 一位研究人员在没有通报微软的情况下,就通过推特公布了微软工作排程器(task△scheduler)一项权限升级的零时差攻击漏洞,以及PoC攻击程式码。名为SandboxEscaper的研究人员并未说明任何
上周三才修补Struts 2漏洞,概念性验证攻击程式周五就现身
示意图,与新闻事件无关。 图片来源: Apache△Software△Foundation Apache软件基金会(Apache△Software△Foundation)甫于上周三(8/22)修补了编号为CVE-2018-11776的Struts△2安全漏洞,但Recorded△Future的安
资安工程师Daniel△Le△Gall在SCRT资讯安全博客发表文章,他发现脸书一台伺服器存在远端程式码执行漏洞,在他回报脸书后,脸书已经修正漏洞并给作者5,000美元作为奖励。Daniel△Le△Gall经常性的对有参加Bug△Bounty
《Fortnite》Android Installer 有漏洞 黑客可借此安装恶意软件 | 香港 UNWIRE.HK 玩生活.乐科技
当游戏商 Epic Games 宣布跳过 Google Play 商店,直接推外出游玩戏《Fortnite》的 Android 版,当时很多资讯保安专家都担心,鼓励玩家和不了解资讯安全的用户自行下载和安装软件,会引发安全问题。结果专家们的担忧
女乘客遭司机奸杀 揭滴滴出行严重漏洞 | 香港 UNWIRE.HK 玩生活.乐科技
大陆温州市日前发生了一宗和叫车软件有关的悲剧,当地公安证实在 8 月 24 日,一位女乘客被滴滴出行的司机先奸后杀。该手机叫车软件公司发声明对事件深表遗憾,同时也承认他们的安全措施出现严重问题,因为此次惨剧原