BI 中文站 4 月 27 日报道
要弄清楚防范一般黑客攻击自己的电脑有多难,你可以研究下 CVE-2017-0199 安全漏洞的案例。
这个漏洞出现在微软 Word 软件中,可以让黑客控制用户的电脑。微软最终在 4 月 11 日修复了这个漏洞。
但是,网络安全专家称,这个漏洞从被发现到被修复历经了非常漫长的时间。
例如,谷歌的安全研究人员在发布他们发现的漏洞之前一般会提前 90 天警告软件供应商。微软拒绝透露它一般需要多久才能修复一个漏洞。
在微软调查这个漏洞期间,黑客们发现了这个漏洞,并利用它监视俄罗斯政客。
一些盗贼则利用这个漏洞在澳大利亚和其他国家窃取了数百万个在线银行账户。
发现漏洞
在去年 7 月,爱达荷州立大学的毕业生、安全公司 Optiv Inc 的顾问瑞安-汉森(Ryan Hanson)在微软 Word 软件中发现了一个安全漏洞。他可以利用这个漏洞插入恶意程序的链接,进而控制用户的电脑。
汉森在 Twitter 上称,他花了几个月时间研究发现,这个漏洞一旦与其他几个漏洞结合将会变得更加危险。在去年 10 月,他向微软报告了这个漏洞。对于研究人员发现的漏洞,微软通常会给予几千美元的奖励。
微软承认,六个月前,也就是在接到汉森报告后,该公司本来可以立即解决这个漏洞的。但是,事情并没有那么简单。本来,用户只要在 Word 软件中更改一个设置就可以轻松解决这个问题。但是,如果微软通知用户这个漏洞,并告知更改设置的方法,那么这就等于也告诉了黑客如何入侵。
因此,微软最终决定开发一个安全补丁,然后在每个月发布的软件更新程序中推出。但是,该公司并没有立即发布这个补丁,而是开始更深入地挖掘漏洞,以期找到一个更全面的解决方案。
“我们开始调查是否有其他类似汉森的方法可以利用这个漏洞,以确保我们的解决方案可以更全面地解决这个问题。”微软发言人说,“这个调查过程非常复杂。”
美国指责俄罗斯黑客入侵美国政党的电子邮箱,干预 2016 年美国总统选举,俄罗斯对此予以了否认。而反对美国政府的影子黑客组织也披露了美国中情局和国家安全局使用的黑客工具。
攻击开始
现在,我们不清楚黑客是如何发现汉森报告的那个漏洞的。这可能是他们自己发现的,也可能是微软在修复漏洞的过程中泄露的,也可能是黑客入侵 Optiv 或微软后发现的。
在今年 1 月,当微软还在研究解决方案的时候,黑客攻击活动就已经开始了。
安全研究人员称,首批受害者收到了电子邮件,邮件中包含有一个俄文文档链接,这个文档涉及到俄罗斯和俄罗斯支持的乌克兰东部叛军所占地区的军事问题。它诱使了很多受害者点击浏览。一旦他们点击浏览这个文档,他们的电脑就会自动安装 Gamma Group 公司开发的监听软件。Gamma Group 公司向很多政府机构销售过监听软件。
网络安全专家估计,Gamma Group 监听软件的某些用户是想入侵俄罗斯或乌克兰士兵或政治人物的电脑。他们的幕后主使可能是这些国家,或其邻国,或其盟国。类似这样的政府间谍活动很常见。
在一开始,黑客攻击活动主要针对一小撮目标,因而没能引起人们的广泛注意。但是,在今年 3 月,FireEye Inc 公司的安全研究人员发现,黑客利用微软 Word 漏洞散布了一款臭名昭著的窃取财务信息的软件 Latenbot。
FireEye 公司进一步调查发现了先前的俄语文档攻击,并向微软提出了警告。微软也证实它在 3 月接到了黑客攻击的警告,并开始开发后来于 4 月 11 日发布的安全补丁。
接下来,发生了灾难性的安全事件。另一家安全公司 McAfee 在 4 月 6 日也发现了一些黑客利用微软 Word 漏洞的攻击活动。
经过“迅速而深入的调查”,McAfee 公司发现微软的这个漏洞尚未修复,于是它联系到微软并告知了实情。然后在第二天,也就是 4 月 7 日,McAfee 公司发布博文公布了自己的发现。
这篇博文包含有非常详细的信息,人们足以利用这些信息来模仿黑客进行攻击。
其他软件安全专家对 McAfee 公司这么快公布漏洞的做法感到惊讶。他们认为,McAfee 公司应该像 Optiv 和 FireEye 那样等到微软安全补丁发布后再公布这个漏洞。
McAfee 公司副总裁文森特-韦弗(Vincent Weafer)称,“我们与合作伙伴微软在沟通的时候出现了一些小问题”。但是,他并未对此进行详细说明。
FireEye 公司安全研究人员约翰-豪特奎斯特(John Hultquist)称,到 4 月 9 日,一款利用微软 Word 漏洞的程序在地下黑市上叫卖。
次日,黑客就开始了大规模攻击活动。一些黑客用这款程序给澳大利亚数百万台电脑发送了包含有 Dridex 银行木马的文档。
姗姗来迟的补丁
最终在本周二,也就是在汉森向微软报告漏洞大约六个月后,微软发布了安全补丁。与往常一样,很多电脑用户并没有及时更新软件。
网络安全公司 Morphisec 的副总裁迈克尔-格里克(Michael Gorelick)称,在微软安全补丁发布后,以色列本-古里安大学的教职工仍然遭到了伊朗黑客的攻击。这些黑客侵入了他们的电子邮箱,并给他们在科技公司和医疗机构工作的联系人发送了感染病毒的文档。
在微软发布安全补丁的时候,它感谢了汉森、一名 FireEye 安全研究人员以及它自己的员工。
美国漏洞众测平台 HackerOne 的首席执行官马滕-米克斯(Marten Mickos)称,延期六个月发布安全补丁的做法很糟糕,但也不是闻所未闻。
“正常的漏洞修复时间一般是几周。”米克斯说。
Optiv 公司发言人称,它通常会给软件供应商 45 天时间来修复漏洞,然后再选择适当的时机公布他们发现的漏洞。
Optiv 公司现在正在比较汉森向微软报告的漏洞与间谍和犯罪分子利用的漏洞,试图搞清楚该安全研究人员的发现是否部分促成了这种遍布全世界的猖獗的黑客攻击活动。
这种黑客攻击活动包括有人利用微软 Word 漏洞为外国政府开发黑客工具,并将这些工具转卖给犯罪组织,两头牟利。
相对于微软修复漏洞花费的时间来说,获悉这个漏洞的黑客们可谓行动迅速。
FireEye 公司安全研究人员豪特奎斯特称,在微软补丁发布前的最后一个周末,犯罪分子可能已将其销售给了 Dridex 黑客,赶在漏洞修复前最后捞了一笔钱。
现在尚不清楚有多少人的电脑被感染或有多少资金被盗。