CVE-2017-0199幕後故事：微軟修復太拖沓，導致漏洞被野外利用

事實上，對於我們任何一台電腦而言，一個擁有中等能力的黑客就可以完成攻擊，這顯然與我們的想像不符。為什麼會這樣呢？在本文中我會通過CVE-2017-0199從發現到修復完成的全過程以及其背後的故事來說明這一點。

CVE-2017-0199的漏洞補丁發布日期為2017年4月11號，但據相關網路安全專家透露，該漏洞從發現到解決的過程經歷了漫長的9個月，這是一段非常長的時間。一般來說，Google的安全研究人員在發布其所發現的漏洞之前，會給予供應商90天的時間來進行修補，不過微軟公司則拒絕透露他們通常需要多長時間來修補漏洞，但顯然這一次的時間太長了。

而在微軟對這一漏洞進行過調查之後發現，有黑客發現了這一問題並且操作其軟體去長期的對一些俄羅斯人或者烏克蘭人進行監視。另外還有一個團伙則在利用該漏洞對澳大利亞以及其他國家的數百萬個銀行賬戶進行竊取而努力。目前網路安全公司的研究人員已經對這些攻擊代碼以及版本進行了研究分析，從而對其有了深刻的認識。

關於這個漏洞的完整故事要從去年七月開始。

當時愛達荷州州立大學2010年畢業的研究生，現就職於boutique安全公司Optiv Inc的顧問瑞恩·漢森發現了微軟的Word一種處理文檔格式的漏洞，該漏洞允許他能夠插入一個可以控制電腦的惡意程序鏈接。

組合漏洞

當時他在Twitter上表示，他通過幾個月的時間將其發現的這個問題與其它一些漏洞進行結合，使其影響更為致命。在這之後的十月，他將這一漏洞報告給了微軟。微軟向他支付了幾千美金以及其他的一些賞金，用來對這一問題的發現進行獎賞。

微軟在不久之後就發布了修復方案，並認為可以解決這一問題了。然而這一切並不像他們想的那麼簡單，用戶通過對Word設置的一次快速更改就讓這一切成了一場虛無。那麼如果微軟向客戶通知有關該錯誤和建議的更改，黑客又該如何去攻破這些問題呢？再或者，微軟也可能已經創建了一個補丁，作為其下個月的更新部分呢？不過遺憾的是微軟並沒有立即給出補丁，而是在繼續深入挖掘。沒人意識到所有人都可能使用到漢森的方法，卻還想要給他一個全面的解決方案。

微軟通過發言人表示：「我們進行了一項調查，以確定其它可能類似的方法，並確保我們的修復的不僅僅是報告中所出現的問題。」 這是一次非常複雜的調查，而另一方面漢森拒絕了採訪要求。

這次的事件顯示，微軟在安全問題上的進展以及整個軟體行業的進步在一個時代發生巨大的時代仍然是不均衡的。

美國指責俄方黑客組織干涉了2016年總統選舉，而反對美國政府的黑客組織則爆出了中央情報局和國家安全局使用的黑客工具。這一切看起來都是那麼的激烈。

攻擊開始

目前還不清楚未知的黑客最初是否發現了漢森的錯誤，在我看來很有可能是同時發現了修補過程中的漏洞，甚至是針對Optiv或Microsoft進行了黑客攻擊。

1月份，隨著微軟公司的解決方案出現，攻擊開始了。

研究人員說，第一個已知的受害者是通過發送電子郵件，誘使他們點擊一個俄羅斯文件的鏈接——「俄羅斯的軍事問題以及俄羅斯支持的反叛分子在烏克蘭東部地區聚集的地址」。然後，他們的電腦就被從Gamma Group（一家向多個政府機構銷售軟體的私人公司）的間諜軟體感染了。

最初的攻擊只是針對少數目標進行的，所以始終未被注意到。但是3月份，FireEye的安全研究人員注意到，有人使用這一漏洞分發了一個名為Latenbot的臭名昭著的金融黑客軟體。

FireEye進一步探測後發現了早期的俄語攻擊，並警告了微軟。該公司證實，三月份的這次攻擊發生時，4月11日將要發布的補丁已經準備就緒。

而這時，另一家安全公司McAfee在4月6日同樣發現了使用Microsoft Word漏洞的一些攻擊。他們將其描述為「經過迅速而且深入的研究」之後，確定了漏洞沒有修補，然後聯繫了微軟並在4月7日發表了博客。博客文章包含足夠的細節，其他黑客就可以模仿攻擊。

其他軟體安全專業人士還表示，McAfee並沒有像Optiv和FireEye一樣，他並沒有等到補丁出來就公布了細節。

邁克菲副總裁文森特·韋博（Vincent Weafer）還指責稱「這是與我們的合作夥伴微軟在溝通中出現的一次問題」。不過他沒有詳細的進行說明。

FireEye研究員約翰·霍特奎斯特（John Hultquist）說，4月9日時他們發現了一個利用這個漏洞的方案已經在地下市場出售了。

隨後這一攻擊成為了一種主流——有人用它發送文件欺騙以及Dridex銀行詐騙軟體到澳大利亞的數百萬台電腦上。

最後，在星期二，漢森發現這一漏洞的六個月後，微軟發布了補丁。一如以往，很多電腦用戶並沒有及時的安裝補丁。

網路安全公司Morphisec副總裁邁克爾·戈雷利克（Michael Gorelik）說，Ben-Gurion大學在以色列的工作人員在補丁發布之後被黑客入侵了，他們鏈接到了伊朗，然後接管了他們的電子郵件帳戶，並將感染的文件發送給了技術公司和醫療專業人士的聯繫人。

HackerOne首席執行官Marten Mickos說，六個月的延誤是非常不好的，但這期間並不是毫無動作的，他們也在積極的協調研究人員和供應商之間的修補工作。

「正常的修復時間是幾個星期，」 Mickos說。

Optiv通過一位女發言人表示，在適當的情況下，通常會給供應商45天的時間進行修補，然後再發布研究，並且在這種情況下「實質上遵守」實踐。

發言人說，Optiv現在正在比較漢森告訴微軟的細節，以及在野外使用的間諜和罪犯，試圖找出研究人員的工作是否對全球黑客狂潮負有部分責任。

這一次的狂歡包括一個或多個人創造的一個黑客工具，FireEye Hultquist所說的可能是一個國家政府，並且它將其賣給了某個犯罪集團。。

如果發布補丁需要時間，那些了解缺陷的人就快速行動了。

在補丁發布之前的最後一個周末，罪犯很有可能將其賣給了Dridex黑客，或者原始製造商，從而可以實現第三次兌現，Hultquist說，在最終效力失效之前他們可能會有效地進行最後一次清關銷售。

比較遺憾的是，目前尚不清楚有多少人被最終感染或多少錢被盜。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！