針對Windows零日漏洞，微軟是不是太過“無作為”了？

微軟因其對windows零日漏洞的無作為而遭緻嚴重抨擊，該漏洞尚未被修補，目前正在被攻擊者利用。

不久前，谷歌披露了一個windows核心零日漏洞，該漏洞與adobe flash零日漏洞正被攻擊者利用作為攻擊鍊的一部分，而adobe已在10月26日修複了其漏洞。微軟還沒有釋出該windows核心漏洞的更新檔，專家認為該公司并沒有重視這個問題的嚴重性。

malwarebytes公司首席惡意軟體情報分析師jerome segura稱這個windows零日漏洞是特權更新漏洞。

“flash和windows零日漏洞是兩個獨立的漏洞，但它們确實可以結合着使用以感染使用者，”segura稱，“攻擊者開始會利用flash漏洞瞄準浏覽器，逃避沙箱，然後利用windows漏洞執行特權更新。”

微軟不滿谷歌在報告漏洞給微軟和adobe僅10天後就公開披露了這個漏洞，微軟聲稱“谷歌描述的攻擊場景完全可通過部署上周釋出的adobe flash更新來緩解”，并指出這個特定的漏洞利用在windows 10周年更新中“從未有效”。

core security公司進階威脅研究人員willis mcdonald稱，adobe修複其漏洞與緩解windows特權更新漏洞無關。

“微軟指出chrome和微軟edge浏覽器并不易受到攻擊，”mcdonald稱，“這是因為這兩個浏覽器都利用了windows 10中可用的win32k系統調用緩解。任何沒有利用這個win32k系統調用緩解的使用者模式應用能夠調用到win32k.sys，并可能利用此漏洞。”

lastline公司産品及業務開發副總裁brian laing同意mcdonald的觀點。

“這個攻擊并不能通過安裝adobe flash更新來完全緩解，攻擊者很有可能利用其它零日漏洞，讓他們得以利用windows的漏洞，”laing稱，“從我的經驗來看，任何允許特權更新的漏洞都是高度嚴重漏洞，因為攻擊者會繼續尋找新方法來利用該漏洞。”

咨詢公司rendition infosec llc創始人jake williams則表示：“這是可從使用者模式應用通路的核心模式零日漏洞，基本上，這可能是微軟面臨的最糟糕的情況。”

firemon公司首席技術官paul calatayud表示，根據緩解因素來評估漏洞的風險非常危險。

calatayud稱：“微軟認為這個漏洞可通過flash更新來緩解，而且還假定計算機正确更新了flash。關注這種攻擊場景很重要，但很危險，因為你必須對正在進行的威脅模組化進行假設。系統是否完全修複？第三方應用是否完全修複？”

不必要的歸因？

微軟的回應還包括聲稱俄羅斯支援的進階持續性威脅團隊（被稱為strontium, fancy bear, apt28和sofacy）對“少量魚叉式網絡釣魚活動”負責任，該攻擊利用flash和windows零日漏洞來瞄準特定客戶群組。

calatayud稱，對于大多數人來說，這種類型的歸因沒有價值，可能會混淆視聽。

“微軟應該關注核心問題，”calatayud稱，“如果存在已知漏洞利用，攻擊者隻會加快攻擊速度。而且很快這會成為攻擊主流，這個漏洞利用可能會出現在腳本小子使用的攻擊工具中。”

mcdonald指出，微軟将責任歸因到sofacy團夥，可能試圖讓大家認為他們一直在掌控局面以及監控漏洞利用情況。

mcdonald說道：“sofacy通常都是利用adobe flash和windows中的零日漏洞來瞄準特定個人以及企業。是以，通過将cve-2016-7855漏洞利用歸因于sofacy，他們基本上可将漏洞利用的範圍最小化到這個團夥以及其攻擊的特定目标。然而，這并不能給企業帶來安慰，企業都在焦急等待這個特權更新漏洞的更新檔，畢竟其他攻擊者很快會開始利用這個漏洞。”

本文轉自d1net（轉載）