夢晨 發自 凹非寺
量子位 報道 | 公眾號 QbitAI

GitHub上突然有人上傳了一個Win11最新漏洞的利用辦法，幾天之內暴漲1300多星。

△學名“概念性驗證攻擊程式”

話說，發現漏洞不是可以報告給微軟領取高額賞金來著，他怎麼不要了？

按這位駭客自己的說法“現在微軟的賞金已經成了垃圾”。

微軟漏洞發現賞金現已大幅縮水，曾有白帽駭客抱怨本來該獲得1萬美元的漏洞，最後只拿到1千美元，直接縮水90%。

這次的這位駭客Naceri也很失望，索性剩下那點錢也不要了，直接公開算了。

透過這個漏洞，惡意程式能在幾秒內獲得管理員許可權，能在你電腦上為所欲為的那種。

漏洞出在Windows Installer Service上，Naceri在GitHub頁面上說漏洞會影響到最新的Win11和伺服器版Windows Server 2022。

不過安全技術網站Bleeping Computer測試發現，現在最普及的Win10也逃不過。

現在，思科安全情報團隊Talos已偵測到了利用這個漏洞的惡意程式。

還有人7個月沒收到錢

微軟漏洞懸賞縮水這件事非常打擊白帽駭客們的積極性。

另一位發現了Hyper-V虛擬機器漏洞的老選手就在推特上直呼新規定“不公平！”

按照微軟懸賞計劃公開的說法，此類漏洞賞金上限可達25萬美元，結果他只拿到了5000美元。

白帽駭客因微軟摳門憤而公開漏洞這事也不是第一次發生。

去年9月，一位長期從事漏洞挖掘的研究者Lykkegaard發現了能在System32目錄新增任意檔案的方法，而且一旦寫入就無法再刪除或修改。

相當嚴重的一個Bug，他選擇直接給公開了，因為當時微軟還拖欠他之前的賞金長達7個月。

Lykkegaard找到這個漏洞用了30個小時，按照縮水後的規則只能拿到2千美元。

他一算這時薪才66美元，關鍵還不一定能拿得到，實在不值得。

公開漏洞是一把雙刃劍，雖然可能被人惡意利用，但也能讓更多第三方技術高手參與修復。

不過這一次的漏洞卻不是那麼好修復的。

其實這次與Windows Installer相關的漏洞，微軟已經發布過一次補丁。

結果這個補丁非但沒能完全解決問題，還引發了更復雜的漏洞。

白帽駭客Naceri這次公開的實際就是繞過上一個安全補丁的辦法，而且他警告再次嘗試修復可能帶來額外的問題。

不建議第三方嘗試修補二進位制檔案，可能會破壞Windows Installer。

所幸的是，第三方社群0patch還是在幾天之後成功製作併發布了補丁，

如果你擔心遇到攻擊，可以到透過0patch服務安裝補丁，地址在文章結尾。

至於微軟自己，有什麼說法？

我們知悉有關資料披露，並會採取一切必要措施，確保客戶的安全和保障。使用上述方法的攻擊者必須已經具備在目標受害者的機器上執行程式碼的許可權和能力。

翻譯一下大概是：

補丁地址：
https://0patch.com

參考連結：
[1]https://github.com/klinix5/InstallerFileTakeOver
[2]https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/
[3]https://blog.talosintelligence.com/2021/11/attackers-exploiting-zero-day.html
[4]https://www.bleepingcomputer.com/news/security/windows-10-sandbox-activation-enables-zero-day-vulnerability/

— 完 —

量子位 QbitAI · 頭條號簽約

關注我們，第一時間獲知前沿科技動態