毛莛
2019-07-01 03:17:13

要理解为什么即使是中等能力的摇钱树娱乐来保护计算机如此困难,也要考虑安全漏洞的情况,正式称为CVE-2017-0199。

这个漏洞非常危险,但却是一种常见的类型:它是在微软的软件中,可能让摇钱树娱乐无法轻易掌握个人计算机的控制权,并于4月11日在微软的常规月度安全更新中得到修复。

但它已经历了一段艰难的,为期九个月的从发现到解决的旅程,网络安全专家称这是一段非常长的时间。

例如,谷歌的安全研究人员在发布他们发现的缺陷之前,给供应商提供了90天的警告。 微软公司(MSFT.O)拒绝透露修补漏洞通常需要多长时间。

微软调查时,摇钱树娱乐发现了这个漏洞并操纵了这个软件来监视未知的俄语使用者,可能是在乌克兰。 一群小偷用它来加强他们在澳大利亚和其他国家的数百万网上银行账户窃取的努力。

这些结论和其他细节来自对网络安全公司研究人员的访谈,他们研究了事件并分析了攻击代码的版本。 微软确认了一系列事件。

这个故事发生在去年7月,当时2010年爱达荷州立大学的毕业生兼博伊西精品安全公司Optiv Inc的顾问Ryan Hanson发现了Microsoft Word处理来自其他格式文档的方式的弱点。 这使他能够插入一个可以控制计算机的恶意程序的链接。

结合缺陷

他在推特上说,汉森花了几个月的时间将他的发现与其他缺陷相结合,使其更加致命。 然后在10月他告诉微软。 该公司通常会花费数千美元来确定安全风险。
该公司承认,在六个月前的那一点之后不久,微软就可以解决这个问题。 但事情并非那么简单。 客户快速更改Word的设置可以解决问题,但如果微软通知客户有关错误和建议的更改,那么它也会告诉摇钱树娱乐如何入侵。

或者,Microsoft可能已经创建了一个补丁,该补丁将作为其每月软件更新的一部分进行分发。 但该公司没有立即修补,而是深入挖掘。 它不知道有人在使用Hanson的方法,并且它希望确保它有一个全面的解决方案。

“我们进行了一项调查,以确定其他可能类似的方法,并确保我们的解决方案不仅仅是报告的问题,”微软通过发言人说,他在不愿透露姓名的情况下回答了电子邮件问题。 “这是一项复杂的调查。”

汉森拒绝了采访要求。

这一传奇表明,微软在安全问题上以及整个软件行业的进展在赌注急剧增长的时代仍然不平衡。

美国指责俄罗斯摇钱树娱乐攻击政党电子邮件干涉2016年总统大选,俄罗斯否认这一指控,而反对美国政府的阴影摇钱树娱乐组织则一直在发布中央情报局和国家安全局使用的摇钱树娱乐工具。

攻击开始了

目前还不清楚未知的摇钱树娱乐最初是如何发现汉森的错误的。 它可能是通过同步发现,修补过程中的泄漏,甚至是针对Optiv或Microsoft的攻击。
1月份,随着微软开发解决方案,攻击开始了。

研究人员说,第一批已知的受害者被发送电子邮件,诱使他们点击俄罗斯文件的链接,这些文件涉及俄罗斯的军事问题以及俄罗斯支持的乌克兰东部反叛分子所持有的地区。 他们的计算机随后被Gamma Group制造的窃听软件感染,Gamma Group是一家向许多政府机构销售的私营公司。

对网络安全专家的最好猜测是Gamma的一个客户试图进入乌克兰或俄罗斯的士兵或政治人物的计算机; 这些国家中的任何一个国家,或其任何邻国或盟国都可能应对此负责。 这种政府间谍活动是例行公事。

最初的攻击是针对少数目标进行的,因此保持在雷达之下。 但是在3月份,FireEye公司的安全研究人员(FEYE.O)注意到,一个名为Latenbot的臭名昭着的金融摇钱树娱乐软件正在使用相同的微软漏洞进行分发。

FireEye进一步调查,发现早期的俄语攻击,并警告微软。 该公司确认它在3月份首次被警告主动攻击,并于4月11日修补。

然后,在虫虫修复者的世界里,什么算是灾难。 另一家安全公司迈克菲在4月6日发现了一些使用Microsoft Word漏洞的攻击。

在它被描述为“快速但深入的研究”后,它确定该漏洞尚未修补,与微软联系,然后在4月7日发表关于其发现的博客。该博客文章包含了足够的细节,其他摇钱树娱乐可能模仿这些攻击。

其他软件安全专业人员都惊讶迈克菲没有等待,正如Optiv和FireEye所做的那样,直到补丁发布。

迈克菲副总裁文森特·韦弗(Vincent Weafer)指责“我们与合作伙伴微软的沟通中的一个小问题”。 他没有详细说明。

FireEye研究员John Hultquist表示,截至4月9日,一个利用漏洞的计划正在地下市场上出售给犯罪摇钱树娱乐。

第二天,攻击成为主流。 有人利用它向澳大利亚的数百万台电脑发送带有Dridex银行欺诈软件的文件。

最后,在周三,也就是汉森听到大约六个月后,微软推出了补丁。 与往常一样,一些计算机所有者落后并且没有安装它。

修补后,Ben-Gurion大学的以色列员工遭到摇钱树娱乐攻击,他们接管了伊朗,他们接管了他们的电子邮件帐户,并将感染文件发送给了他们与科技公司和医疗专业人士的联系人,网络安全公司Morphisec的副总裁Michael Gorelik说道。 。

当微软打补丁时,它感谢FireEye研究员和自己的员工Hanson。

HackerOne的首席执行官Marten Mickos表示,六个月的延迟是糟糕的,但并非闻所未闻,他负责协调研究人员和供应商之间的补丁工作。

“正常的固定时间只需几周,”Mickos说。

私人持有的Optiv通过一位发言人表示,它通常会在供应商发布研究报告之前给供应商45天的时间进行修复,并且在这种情况下它“实质上遵循”这种做法。

发言人表示,Optiv现在正在比较Hanson告诉微软的情况,以及间谍和罪犯在野外使用的内容,试图找出研究人员的工作是否是全球摇钱树娱乐狂欢的部分原因。

狂欢包括一个或多个人为FireEye的Hultquist所说的可能是一个国家政府创建了一个摇钱树娱乐工具 - 然后出现双重倾向,并将其出售给犯罪集团。

如果修补需要时间,那么了解该缺陷的其他人就会迅速行动。

在补丁之前的最后一个周末,犯罪分子可以将它卖给Dridex摇钱树娱乐,或者原始制造商可以在第三次兑现,Hultquist说,在失去最高效率之前有效地进行最后一次清仓。

目前尚不清楚有多少人最终被感染或被盗多少钱。