微软漏洞微软：修复系统漏洞你们还骂我微软

贾浩南是奥菲寺人
量子报道| QbitAI，微信官方账号
一个修复了一个月的微软系统bug，今天突然在HackerNews上火了。
不仅如此，还有开发人员针对GitHub中的这个漏洞构建项目。

文章图片

然而，热门话题不是漏洞本身，而是一个非常严重的漏洞，但微软将其标记为最低级别，并尽力淡化其影响。
修复漏洞也很慢。
微软对于严重漏洞“化大为小”的做法，引来网友一致吐槽，甚至有人翻了微软的“旧账”。
这个漏洞有多严重？微软真的“护短”了吗？
什么样的漏洞？
今年8月，微软团队协作工具Microsoft Teams被指出存在严重的远程执行漏洞。
这个远程代码执行漏洞可以由teams.microsoft.com的新XSS注入触发。

文章图片

黑客在受害者的电脑上执行任意代码，无需用户交互。
团队中所有受支持平台上的桌面应用程序都可能受到影响
攻击者只需要发送一条对团队中的目标来说看起来正常的消息。受害者只需点击查看消息，然后远程执行代码。
整个过程不需要任何其他的互动。

文章图片

在演示中，攻击者只需要发送一个非交互式的HTTP请求。
当远程代码开始执行时，可以看到屏幕上闪现的模板字符串注入，但普通用户很难检测到。
之后是公司内部网络、个人档案、Office文档/邮件/笔记、加密聊天等。都会被攻击或偷窃。
定位最低层合理吗？
微软将此漏洞定义为“重要且具有欺骗性”，这几乎是Office365云漏洞奖励计划中的最低级别漏洞。

文章图片

但是就漏洞本身造成的伤害而言，团队的漏洞可能导致:
在私人设备上任意执行命令，不与受害者交互。
除了团队，您还可以访问私人聊天、文件、内部网、私钥和个人数据。
访问单点登录令牌，这样您就可以调用除团队之外的其他微软服务。
通过重定向到攻击者的网站或要求单点登录凭据，您可能会遭受网络钓鱼攻击
记录键盘输入。
使用这种攻击方式还有一个致命的危害，就是执行代码会被做成蠕虫，通过Teams的用户关系网络自动传播。
GitHub用户Oskarsve表示，他们的团队甚至诞生了一个新的“梗”:现在，每当出现远程执行的bug，都会被说成是“重要且具有欺骗性”。
有害、隐蔽、传染，此类漏洞位于最低层，于今年8月被发现，但直到11月才彻底修复。
微软的态度是网友不满的主要原因。
【微软漏洞微软：修复系统漏洞你们还骂我】微软:没有解释的义务
微软Teams漏洞被发现后，Github用户oskarsve多次向微软安全响应中心报告，并详细列出了该漏洞可能带来的严重后果。

文章图片

三个月后，微软终于得出了一个结论，给了这个漏洞一个最低级别。
同时，微软也给出了一个不可思议的解释:
桌面应用程序中的漏洞“超出范围”。
但是桌面应用程序是大多数用户使用团队的方式。
Oskarsve认为微软的做法令人发指，给出的解释都是敷衍用户。

微软漏洞 微软：修复系统漏洞你们还骂我

推荐阅读

微软漏洞微软：修复系统漏洞你们还骂我