ADVERTISEMENT
各家作業系統以及大廠,都有準備一筆懸賞漏洞的賞金,鼓勵白帽駭客幫企業找到漏洞,並且在漏洞被公布之前,廠商可以搶先將漏洞修補起來,皆大歡喜。
不過,最近GitHub 上突然有人上傳了一個可以利用Windows 11 最新漏洞的辦法,幾天之內暴漲 1300 多個星星。那麼,發現漏洞不是可以報告給微軟來領取高額賞金,他怎麼不要了?按這位駭客自己的說法「現在微軟的賞金已成了垃圾」。
微軟漏洞發現賞金現已大幅縮水,曾有白帽駭客抱怨本來該獲得 1 萬美元的漏洞,最後只拿到 1 千美元,直接縮水 90%。
Under Microsoft's new bug bounty program one of my zerodays has gone from being worth $10,000 to $1,000 💀
— Marcus Hutchins (@MalwareTechBlog) July 27, 2020
這次的這位駭客 Naceri 也很失望,索性剩下那點錢也不要了,直接公開算了。
透過這個漏洞,惡意程式能在幾秒內獲得管理員權限,完全掌控你的你電腦。漏洞出在 Windows Installer Service 上,就是用.MSI 檔案安裝和移除軟體時用到的功能。
Naceri 在 GitHub 頁面上說漏洞會影響到最新的 Windows 11 和伺服器版 Windows Server 2022。
不過安全技術網站 Bleeping Computer 測試發現,現在最普及的 Windows 10 也逃不過。現在,思科安全情報團隊 Talos 也已經偵測到了利用這個漏洞的惡意程式。
還有人 7 個月都沒收到錢
微軟漏洞懸賞縮水這件事對白帽駭客們積極度有很大的影響。
另一位發現了 Hyper-V 虛擬機漏洞的老選手,就在Twitter上直呼新規定「不公平!」
按照微軟懸賞計畫公開的說法,此類漏洞賞金上限可達 25 萬美元,結果他只拿到了 5000 美元。
BE CAREFUL! Microsoft will reduce your bounty at any time! This is a Hyper-V RCE vulnerability be able to trigger from a Guest Machine, but it is just eligible for a $5000.00 bounty award under the Windows Insider Preview Bounty Program. Unfair! @msftsecresponse
— rthhh (@rthhh17) November 9, 2021
@msftsecurity pic.twitter.com/sJw3cjsliF
白帽駭客因微軟摳門憤而公開漏洞這事也不是第一次發生。
去年 9 月,一位長期從事漏洞挖掘的研究者 Lykkegaard 發現了能在 System32 目錄裡加入任意檔案的方法,而且一旦寫入就無法再刪除或修改。
這是相當嚴重的一個 Bug,但他選擇直接公開,因為當時微軟還拖欠他之前的賞金長達 7 個月。
Lykkegaard 找到這個漏洞花了 30 個小時,按照縮水後的規則只能拿到 2 千美元。他一算這時薪才 66 美元,關鍵還不一定能拿得到,實在不值得。
公開漏洞是雙面刃
公開漏洞是一把雙面刃,雖然可能被人惡意利用,但也能讓更多第三方技術高手參與修復。
不過,Naceri 這一次發現的漏洞卻不是那麼好修復的。
其實這次與 Windows Installer 相關的漏洞,微軟已經發布過一次更新。
結果這個更新非但沒能完全解決問題,還引發了更複雜的漏洞。
白帽駭客 Naceri 這次公開的實際就是繞過上一個安全更新的辦法,而且他警告再次嘗試修復可能帶來額外的問題。
不建議第三方嘗試修補二進制檔案,可能會破壞 Windows Installer。所幸的是,第三方社群 0patch 還是在幾天之後成功製作並發布了更新,如果你擔心遇到攻擊,可以到透過 0patch 服務安裝更新。更新網址:https://0patch.com
至於微軟自己,有什麼說法?
「我們知悉有關資料披露,並會採取一切必要措施,確保客戶的安全和保障。使用上述方法的攻擊者必須已經具備在目標受害者的機器上執行程式的權限和能力。」
翻譯一下大概是:「別催了,我們會改。」
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!