微軟 Visual Studio C＋Runtime 安裝程序是失效的、垃圾的

微軟用易受攻擊的工具創建了可執行安裝程序。

安全研究人員斯蒂芬?坎撒克（Stefan Kanthak）聲稱，微軟Visual C++ Redistributable for Visual Studio 2017可執行安裝程序（x86和x64）是用幾年前的不安全工具創建的，因而留下了讓不法分子可以提升許可權的漏洞。

坎撒克在8月14日發到8月21日發布的Full Disclosure（全面披露）安全郵件列表的一則帖子（http://seclists.org/fulldisclosure/2018/Aug/35）中直截了當地指出：「微軟用過時的垃圾（CRAP）創建了最新的可執行安裝程序，居然還敢將它們分發給數以億計的客戶，那些眾所周知的漏洞會被人利用！」他這樣寫道。

坎撒克所指的垃圾恰恰是WiX工具集v3.7，這個版本過時的開源軟體用來構建Windows安裝軟體包。

早在2016年1月，WiX經銷商FireGiant就發布了關於WiX v3.10.2版本的詳細信息，這個安全更新用於修復影響該軟體之前版本的DLL劫持漏洞。FireGiant的聯合創始人之一是羅布?門辛（Rob Mensching），1999年他在微軟開發出了WiX。

DLL劫持漏洞讓與可執行文件放在同一個目錄中的惡意軟體得以在可執行文件運行時載入。安裝程序之所以特別容易受到攻擊，是由於它們往往被下載到其他許多文件也在其中的Downloads目錄。

FireGiant解釋：「視你的瀏覽器及其設置而定，傳播惡意軟體的網站可以自動將DLL下載到你的Downloads文件夾。如果DLL的名稱與你的軟體包載入的系統DLL一樣，Windows就會載入並執行Downloads文件夾中的惡意軟體，而不是Windows系統文件夾中的DLL。」

該公司特別感謝坎撒克披露了這個問題。

坎撒克在發給IT外媒The Register的電子郵件中說：「這是本地攻擊。如果攻擊者能夠濫用你的網路瀏覽器來執行『路過式』下載，從而下載通常由可執行安裝程序側面安裝（side-load）的其中一個DLL，它就變成一種遠程攻擊。」

坎撒克表示，他向微軟反映了這個問題，他在過去的二十年中多次報告相關缺陷。他補充道，所有版本的Windows都可能容易受到這種類型的攻擊，因為模塊載入器會先搜索Applications目錄中的DLL。

據坎撒克聲稱，微軟的安裝程序是在10周前構建的，在11周前進行了數字簽名，但是可執行文件本身卻是在2015年2月13日即3年半前用Visual Studio 2010構建的，用於Windows XP和更新版本的Windows NT上。他指出，微軟在10個月前就停止支持Windows XP了。

被問及此事時，微軟表示它在上周的8月份安全更新中修復了這個問題。微軟發言人在發給The Register的電子郵件中表示，「如果客戶安裝了更新或啟用了自動更新功能，就會受到保護、遠離CVE-2018-0952。」

但是坎撒克堅稱微軟睜亮眼說瞎話。他說：「無論微軟說什麼，那完全是扯淡，這是十足的謊言！CVE-2018-0952修復了Visual Studio中一個毫不相關的漏洞。用WIX工具集構建的安裝程序根本沒有修復程序！」

坎撒克表示，三年前他就向FireGiant的門辛通報了這個問題。他說：「就在幾周前他再次與我聯繫，尋求幫助：他的所有修復程序都無法阻止這種類型的攻擊。」

Register試圖聯繫FireGiant的門辛以證實這個說法，但還沒有收到回復。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！