微軟Windows 11高危漏洞被公開 只因懸賞獎金打骨折
GitHub 上突然有人上傳了一個 Windows 11 最新漏洞的利用辦法,幾天之內暴漲 1300 多星。話說,發現漏洞不是可以報告給微軟領取高額賞金來著,他怎么不要了?按這位黑客自己的說法“現在微軟的賞金已成了垃圾”。
訪問:
阿里云11.11上云狂歡節活動大廳
▲ 學名“概念性驗證攻擊程序”
微軟漏洞發現賞金現已大幅縮水,曾有白帽黑客抱怨本來該獲得 1 萬美元的漏洞,最后只拿到 1 千美元,直接縮水 90%。
這次的這位黑客 Naceri 也很失望,索性剩下那點錢也不要了,直接公開算了。
通過這個漏洞,惡意程序能在幾秒內獲得管理員權限,能在你電腦上為所欲為的那種。
漏洞出在 Windows Installer Service 上,就是用.MSI 文件安裝和卸載軟件時用到的服務。
Naceri 在 GitHub 頁面上說漏洞會影響到最新的 Windows 11 和服務器版 Windows Server 2022。
不過安全技術網站 Bleeping Computer 測試發現,現在最普及的 Windows 10 也逃不過。
現在,思科安全情報團隊 Talos 已偵測到了利用這個漏洞的惡意程序。
還有人 7 個月沒收到錢
微軟漏洞懸賞縮水這件事非常打擊白帽黑客們的積極性。
另一位發現了 Hyper-V 虛擬機漏洞的老選手就在Twitter上直呼新規定“不公平!”
按照微軟懸賞計劃公開的說法,此類漏洞賞金上限可達 25 萬美元,結果他只拿到了 5000 美元。
白帽黑客因微軟摳門憤而公開漏洞這事也不是第一次發生。
去年 9 月,一位長期從事漏洞挖掘的研究者 Lykkegaard 發現了能在 System32 目錄添加任意文件的方法,而且一旦寫入就無法再刪除或修改。
相當嚴重的一個 Bug,他選擇直接給公開了,因為當時微軟還拖欠他之前的賞金長達 7 個月。
Lykkegaard 找到這個漏洞用了 30 個小時,按照縮水后的規則只能拿到 2 千美元。
他一算這時薪才 66 美元,關鍵還不一定能拿得到,實在不值得。
公開漏洞是一把雙刃劍,雖然可能被人惡意利用,但也能讓更多第三方技術高手參與修復。
不過這一次的漏洞卻不是那么好修復的。
其實這次與 Windows Installer 相關的漏洞,微軟已經發布過一次補丁。
結果這個補丁非但沒能完全解決問題,還引發了更復雜的漏洞。
白帽黑客 Naceri 這次公開的實際就是繞過上一個安全補丁的辦法,而且他警告再次嘗試修復可能帶來額外的問題。
不建議第三方嘗試修補二進制文件,可能會破壞 Windows Installer。
所幸的是,第三方社區 0patch 還是在幾天之后成功制作并發布了補丁,
如果你擔心遇到攻擊,可以到通過 0patch 服務安裝補丁,地址在文章結尾。
至于微軟自己,有什么說法?
我們知悉有關資料披露,并會采取一切必要措施,確保客戶的安全和保障。使用上述方法的攻擊者必須已經具備在目標受害者的機器上運行代碼的權限和能力。
翻譯一下大概是:
補丁地址:
https://0patch.com
參考鏈接:
推薦
直播更多》
-
特斯拉公司CEO埃隆馬斯克 向Twitter發出收購要約
和外界預期的一樣,特斯拉公司 CEO 埃...
-
特斯拉公司CEO埃隆馬斯克 向Twitter發出收購要約
和外界預期的一樣,特斯拉公司 CEO 埃...
-
筆記本電腦代工廠廣達發布公告 配合防疫政策暫時停工
筆記本電腦代工廠廣達今(13)日發布公告...
-
英特爾公司宣布斥資30億美元 擴建美國奧勒岡州D1X工廠
英特爾公司宣布斥資 30 億美元,擴建...
-
莆田電信積極組織開展安全運營專項工作 強化員工安全意識
為全面落實穩字當頭、穩中求進的云網安...
-
精準落實優惠稅率 河北高企稅費減免超百億元
近日,記者從河北省稅務局獲悉,2021年...
資訊更多》
焦點
- 奇瑞新能源一季度達成50013輛銷量 實現255.4%同比增長
- 昆山重新調整劃定5個靜態管理區 延長靜默期7天
- 受蘋果用戶隱私政策調整影響 科技巨頭2022年營收將減少近160億美元
- 加快湖北數字化轉型 5G信息技術重塑制造業發展形態
- 斯坦福大學團隊發表論文 展示大腦運動皮層神經網絡如何實現新記憶索引
- 廣東首座華南唯一 廣州匯云數據中心入選2021年國家新型數據中心名單
- 慢性疾病嚴重威脅我國居民健康 低齡化趨勢明顯
- 消除線路施工安全隱患 智慧光網云守護系統成為工地“火眼金睛”
- IMT-2020推進組蜂窩車聯工作組第二十次全體會議 近日在線上舉行
- 氣候變暖將珊瑚推向耐熱極限 人工智能助力尋找耐熱珊瑚