导语:Google和微软一直互怼已经不是什么新闻了,不过对于普通的用户来说,两家公司的竞争才更能更有利于消费者。Tavis Ormandy就一直致力于寻找Windows的各种漏洞,而且每次找到后,都是直接将这些发现公之于众,搞得微软很是狼狈。
Google和微软一直互怼已经不是什么新闻了,不过对于普通的用户来说,两家公司的竞争才更能更有利于消费者。Tavis Ormandy就一直致力于寻找Windows的各种漏洞,而且每次找到后,都是直接将这些发现公之于众,搞得微软很是狼狈。
Tavis Ormandy介绍
Google信息安全工程师,英国人,目前居住在瑞士。是目前最著名的安全技术专家,曾被eWeek网站评为安全界最具影响力的15个人之首。在Google,他的主要责任是确保Google产品通过安全测试。他也是以安全著称的Gentoo Linux发布版的安全小组联席负责人。
漏洞介绍
这不就在本月的15号,Ormandy又新曝出了预装在Windows 10的密码管理器中发现漏洞,该漏洞可能会导致用户设置的密码泄漏,从而让黑客远程窃取用户的登录凭证。
Windows 10预装的密码管理器就是Keeper,Keeper是面向企业和个人的领先密码安全管理程序和数字保管库。
从Windows10 版本 1607(也称为周年更新) 开始,微软就在其操作系统中增加了一项名为Content Delivery Manager的新功能,该功能会悄悄地安装最新的“建议应用程序”,而不会通知用户。而Keeper就是在这样的情境中被安装在用户的电脑上的,要是我不说估计还有许多用户不知道有此应用,其实说实话我起初也不知道,还是几个月前Reddit的几个用户向我介绍了他们的新发现。
为了验证他们的发现,我在MSDN官网镜像下载了Windows 10最新系统,并创建了一个完全的虚拟运行环境。结果证明在默认情况下,我的设备已经安装了名为Keeper的密码管理器。
Ormandy解释说:
“这是微软的捆绑销售,他们可能与Keeper达成了某种交易。”
远程窃取登录凭证
在发现该问题后,Ormandy决定测试一下Keeper密码管理器是否有漏洞,如果有能够进行怎样的攻击?
经过几次测试之后,Ormandy在密码管理器中发现了一个严重的漏洞,而且攻击者可以利用这个漏洞完全破坏Keeper的安全性。由于Keeper的密码和系统的远程根的访问密码是共享的,所以该漏洞就允许黑客窃取用户所登录过网站的所有凭证。
Keeper问题频发
其实,本次Ormandy所发现的Keeper漏洞和他在2016年8月所发现的Keeper漏洞非常相似,当时恶意网站就已经可以使用该漏洞就来窃取用户登录凭证。不过当时Keeper还没有在微软的捆绑销售中,用户如果要用还要单独安装。
微软的回应
另外,Ormandy也发布了一个利用该漏洞盗取Twitter登录凭证的演示视频,并说到:
“Keeper密码管理器,不但没有起到任何防护效果的,而且还能让黑客盗取你的密码。”
其实Ormandy在15号曝出这个新闻之前,就已经给了微软90天进行更新的时间。
不过截止目前微软还没有任何行动,用Ormandy的话来说,他是迫不得已才公开这些发现的,以便督促微软加快更新速度。
其实,他这样说并不是没有道理,因为2015年 Ormandy 曾发文指出,微软的虚拟DOS机(VDM)中存在一个漏洞,非特权用户可以将代码直接注入系统内核,可能改变操作系统高度敏感的部分,从而完全控制系统。而这个漏洞是1993年7月Windows NT首次引入的,已经存在17年了。据Ormandy说,2009年6月他就已经将这个安全漏洞告知了微软了,也就是说微软在得到提醒之后的6年中还是什么也没有做。
不过本次,微软在Ormandy的帖子发布后不久就很快表了态,并解释说:
“这个问题是第三方应用程序也就是Keeper的问题,我们已经通知了开发商,要求他们尽快修补此漏洞。”
Keeper的回应
Keeper公司也已经确认了这个漏洞,并且发布了11.4版本来更新解决该漏洞。
该公司表示:
“建议没有升级到最新版本的用户,先不要使用Keeper进行密码管理。因为这个潜在的漏洞会要求Keeper用户在登录到浏览器时,把他们重定向到恶意网站,然后通过使用‘clickjacking’技术来欺骗用户输入登录凭证。”
缓解措施
尽管这不是微软产品本身的问题,但也间接地暴露了微软产品推广时所使用的手段,而这种方式很容易造成用户在不知情的情况下,信息被泄露。
虽然Keeper被预先安装了进来,不过用户也可以将其卸载禁用这个应用,这可以通过注册表设置来完成。