导语:CVE-2017-0199的漏洞补丁发布日期为2017年4月11号,但据相关网络安全专家透露,该漏洞从发现到解决的过程经历了漫长的9个月,这是一段非常长的时间。
事实上,对于我们任何一台电脑而言,一个拥有中等能力的黑客就可以完成攻击,这显然与我们的想象不符。为什么会这样呢?在本文中我会通过CVE-2017-0199从发现到修复完成的全过程以及其背后的故事来说明这一点。
CVE-2017-0199的漏洞补丁发布日期为2017年4月11号,但据相关网络安全专家透露,该漏洞从发现到解决的过程经历了漫长的9个月,这是一段非常长的时间。一般来说,Google的安全研究人员在发布其所发现的漏洞之前,会给予供应商90天的时间来进行修补,不过微软公司则拒绝透露他们通常需要多长时间来修补漏洞,但显然这一次的时间太长了。
而在微软对这一漏洞进行过调查之后发现,有黑客发现了这一问题并且操作其软件去长期的对一些俄罗斯人或者乌克兰人进行监视。另外还有一个团伙则在利用该漏洞对澳大利亚以及其他国家的数百万个银行账户进行窃取而努力。目前网络安全公司的研究人员已经对这些攻击代码以及版本进行了研究分析,从而对其有了深刻的认识。
关于这个漏洞的完整故事要从去年七月开始。
当时爱达荷州州立大学2010年毕业的研究生,现就职于boutique安全公司Optiv Inc的顾问瑞恩·汉森发现了微软的Word一种处理文档格式的漏洞,该漏洞允许他能够插入一个可以控制电脑的恶意程序链接。
组合漏洞
当时他在Twitter上表示,他通过几个月的时间将其发现的这个问题与其它一些漏洞进行结合,使其影响更为致命。在这之后的十月,他将这一漏洞报告给了微软。微软向他支付了几千美金以及其他的一些赏金,用来对这一问题的发现进行奖赏。
微软在不久之后就发布了修复方案,并认为可以解决这一问题了。然而这一切并不像他们想的那么简单,用户通过对Word设置的一次快速更改就让这一切成了一场虚无。那么如果微软向客户通知有关该错误和建议的更改,黑客又该如何去攻破这些问题呢?再或者,微软也可能已经创建了一个补丁,作为其下个月的更新部分呢?不过遗憾的是微软并没有立即给出补丁,而是在继续深入挖掘。没人意识到所有人都可能使用到汉森的方法,却还想要给他一个全面的解决方案。
微软通过发言人表示:“我们进行了一项调查,以确定其它可能类似的方法,并确保我们的修复的不仅仅是报告中所出现的问题。” 这是一次非常复杂的调查,而另一方面汉森拒绝了采访要求。
这次的事件显示,微软在安全问题上的进展以及整个软件行业的进步在一个时代发生巨大的时代仍然是不均衡的。
美国指责俄方黑客组织干涉了2016年总统选举,而反对美国政府的黑客组织则爆出了中央情报局和国家安全局使用的黑客工具。这一切看起来都是那么的激烈。
攻击开始
目前还不清楚未知的黑客最初是否发现了汉森的错误,在我看来很有可能是同时发现了修补过程中的漏洞,甚至是针对Optiv或Microsoft进行了黑客攻击。
1月份,随着微软公司的解决方案出现,攻击开始了。
研究人员说,第一个已知的受害者是通过发送电子邮件,诱使他们点击一个俄罗斯文件的链接——“俄罗斯的军事问题以及俄罗斯支持的反叛分子在乌克兰东部地区聚集的地址”。然后,他们的电脑就被从Gamma Group(一家向多个政府机构销售软件的私人公司)的间谍软件感染了。
最初的攻击只是针对少数目标进行的,所以始终未被注意到。但是3月份,FireEye的安全研究人员注意到,有人使用这一漏洞分发了一个名为Latenbot的臭名昭著的金融黑客软件。
FireEye进一步探测后发现了早期的俄语攻击,并警告了微软。该公司证实,三月份的这次攻击发生时,4月11日将要发布的补丁已经准备就绪。
而这时,另一家安全公司McAfee在4月6日同样发现了使用Microsoft Word漏洞的一些攻击。他们将其描述为“经过迅速而且深入的研究”之后,确定了漏洞没有修补,然后联系了微软并在4月7日发表了博客。博客文章包含足够的细节,其他黑客就可以模仿攻击。
其他软件安全专业人士还表示,McAfee并没有像Optiv和FireEye一样,他并没有等到补丁出来就公布了细节。
迈克菲副总裁文森特·韦博(Vincent Weafer)还指责称“这是与我们的合作伙伴微软在沟通中出现的一次问题”。不过他没有详细的进行说明。
FireEye研究员约翰·霍特奎斯特(John Hultquist)说,4月9日时他们发现了一个利用这个漏洞的方案已经在地下市场出售了。
随后这一攻击成为了一种主流——有人用它发送文件欺骗以及Dridex银行诈骗软件到澳大利亚的数百万台电脑上。
最后,在星期二,汉森发现这一漏洞的六个月后,微软发布了补丁。一如以往,很多电脑用户并没有及时的安装补丁。
网络安全公司Morphisec副总裁迈克尔·戈雷利克(Michael Gorelik)说,Ben-Gurion大学在以色列的工作人员在补丁发布之后被黑客入侵了,他们链接到了伊朗,然后接管了他们的电子邮件帐户,并将感染的文件发送给了技术公司和医疗专业人士的联系人。
HackerOne首席执行官Marten Mickos说,六个月的延误是非常不好的,但这期间并不是毫无动作的,他们也在积极的协调研究人员和供应商之间的修补工作。
“正常的修复时间是几个星期,” Mickos说。
Optiv通过一位女发言人表示,在适当的情况下,通常会给供应商45天的时间进行修补,然后再发布研究,并且在这种情况下“实质上遵守”实践。
发言人说,Optiv现在正在比较汉森告诉微软的细节,以及在野外使用的间谍和罪犯,试图找出研究人员的工作是否对全球黑客狂潮负有部分责任。
这一次的狂欢包括一个或多个人创造的一个黑客工具,FireEye Hultquist所说的可能是一个国家政府,并且它将其卖给了某个犯罪集团。。
如果发布补丁需要时间,那些了解缺陷的人就快速行动了。
在补丁发布之前的最后一个周末,罪犯很有可能将其卖给了Dridex黑客,或者原始制造商,从而可以实现第三次兑现,Hultquist说,在最终效力失效之前他们可能会有效地进行最后一次清关销售。
比较遗憾的是,目前尚不清楚有多少人被最终感染或多少钱被盗。