GitHub 上突然有人上传了一个 Win11 最新漏洞的利用办法,几天之内暴涨 1300 多星。
▲ 学名“概念性验证攻击程序”
话说,发现漏洞不是可以报告给微软领取高额赏金来着,他怎么不要了?
按这位黑客自己的说法“现在微软的赏金已成了垃圾”。
微软漏洞发现赏金现已大幅缩水,曾有白帽黑客抱怨本来该获得 1 万美元的漏洞,最后只拿到 1 千美元,直接缩水 90%。
这次的这位黑客 Naceri 也很失望,索性剩下那点钱也不要了,直接公开算了。
通过这个漏洞,恶意程序能在几秒内获得管理员权限,能在你电脑上为所欲为的那种。
漏洞出在 Windows Installer Service 上,就是用.msi 文件安装和卸载软件时用到的服务。
Naceri 在 GitHub 页面上说漏洞会影响到最新的 Win11 和服务器版 Windows Server 2022。
不过安全技术网站 Bleeping Computer 测试发现,现在最普及的 Win10 也逃不过。
现在,思科安全情报团队 Talos 已侦测到了利用这个漏洞的恶意程序。
还有人 7 个月没收到钱
微软漏洞悬赏缩水这件事非常打击白帽黑客们的积极性。
另一位发现了 Hyper-V 虚拟机漏洞的老选手就在推特上直呼新规定“不公平!”
按照微软悬赏计划公开的说法,此类漏洞赏金上限可达 25 万美元,结果他只拿到了 5000 美元。
白帽黑客因微软抠门愤而公开漏洞这事也不是第一次发生。
去年 9 月,一位长期从事漏洞挖掘的研究者 Lykkegaard 发现了能在 System32 目录添加任意文件的方法,而且一旦写入就无法再删除或修改。
相当严重的一个 Bug,他选择直接给公开了,因为当时微软还拖欠他之前的赏金长达 7 个月。
Lykkegaard 找到这个漏洞用了 30 个小时,按照缩水后的规则只能拿到 2 千美元。
他一算这时薪才 66 美元,关键还不一定能拿得到,实在不值得。
公开漏洞是一把双刃剑,虽然可能被人恶意利用,但也能让更多第三方技术高手参与修复。
不过这一次的漏洞却不是那么好修复的。
其实这次与 Windows Installer 相关的漏洞,微软已经发布过一次补丁。
结果这个补丁非但没能完全解决问题,还引发了更复杂的漏洞。
白帽黑客 Naceri 这次公开的实际就是绕过上一个安全补丁的办法,而且他警告再次尝试修复可能带来额外的问题。
不建议第三方尝试修补二进制文件,可能会破坏 Windows Installer。
所幸的是,第三方社区 0patch 还是在几天之后成功制作并发布了补丁,
如果你担心遇到攻击,可以到通过 0patch 服务安装补丁,地址在文章结尾。
至于微软自己,有什么说法?
我们知悉有关资料披露,并会采取一切必要措施,确保客户的安全和保障。使用上述方法的攻击者必须已经具备在目标受害者的机器上运行代码的权限和能力。
翻译一下大概是:
补丁地址:
https://0patch.com
参考链接:
[1]https://github.com/klinix5/InstallerFileTakeOver
[2]https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/
[3]https://blog.talosintelligence.com/2021/11/attackers-exploiting-zero-day.html
[4]https://www.bleepingcomputer.com/news/security/windows-10-sandbox-activation-enables-zero-day-vulnerability/