[微软] 微软形同虚设的安全补丁 让中国黑客再度得手
越南研究人员丁·科亚在柏林黑客大赛Pwn2Own上。图片来源:Trend Micro ZDI
在以往的一些事件中,例如2021年微软Exchange电子邮件系统遭遇的大规模遭黑客攻击,中方曾在被发现前展现令人印象深刻的技术实力。然而,在SharePoint所受攻击中,问题的源头可追溯至5月在柏林举行的一场黑客竞赛,当时越南研究人员丁·科亚(Dinh Khoa)赢得了10万美元和一台笔记本电脑。
“这是一个非常难攻克的目标,所以我们花了很多时间深入研究,”科亚在赛后发布到网上的一段采访中说。
他在观众的掌声中展示了如何攻破一个SharePoint系统,并很快被带到一个单间,向微软的一名代表和网络安全公司趋势科技(Trend Micro)旗下零日计划(Zero Day Initiative)的威胁感知负责人达斯汀·查尔兹(Dustin Childs)解释了这些漏洞。两个月后,也就是7月8日,微软修复了相关漏洞。它们是微软当月修复的130个漏洞中的两个。
尽管就在两个月前,这两个漏洞刚被人当着约50名观众的面组合起来用以攻击一台SharePoint服务器,但微软方面却表示,其中一个漏洞被用于实际攻击的可能性“未经证实”。
“一个现成可用的攻击工具”
查尔兹表示,他觉得微软的説法有些耐人寻味。“我们当时可是给出了一个现成可用的攻击工具,”他说。
微软和趋势科技后来都表示,黑客实际上在7月7日,也就是补丁发布的前一天,就已经开始利用这些漏洞。查尔兹说,目前尚不清楚涉事黑客是如何得知这些漏洞的。趋势科技表示,在其观察到的攻击中,有一家科技公司遭到了入侵,但未透露该科技公司的名称。
在微软发布补丁后的几天里,安全研究人员对补丁进行了检查,以更多地了解丁·科亚的黑客攻击是如何运作的。微软公司称,7月9日,微软得知其补丁可以被绕过,公司开始准备新的修复程序。不到一周,研究人员也公开声称找到了绕过补丁的方法。上周五,一名安全研究员公开展示了如何做到这一点。他说,他是在谷歌(Google)的Gemini人工智能(AI)技术的帮助下发现这一方法的。
“那篇帖子让更多的人也能做到这一点,”网络安全公司Eye Security的首席技术官皮特·克尔霍夫斯(Piet Kerkhofs)说。
就在同一个周五,Eye Security的研究人员在他们一个客户的SharePoint服务器上发现了一个未经授权的脚本。随着Eye Security团队深入调查,他们开始在互联网上约150台其他SharePoint服务器上发现了相同的脚本。
为回应美国政府发布的一份报告,微软承诺将重新致力于保护其产品和客户免受不良行为者的侵害。图片来源:Adam Gray/Bloomberg News
[加西网正招聘多名全职sales 待遇优]
| 分享: |
| 注: | 在此页阅读全文 |
| 延伸阅读 | 更多... |
推荐: