对于Windows用户来说,隔三差五的系统更新可能是他们最反感的东西,以至于“如何关闭系统自动更新”的教程在网上热度颇高。当然,微软像“家长”一样催着用户更新系统也有理由,毕竟每一次更新都会推送安全补丁,以修复系统漏洞、降低恶意软件攻击风险。
对于经常关注相关资讯的朋友来说,诸如“XX公司被曝在XX软件上存在漏洞,导致XX人或设备受到影响”这样的消息应该不会陌生。考虑到Windows操作系统是一个庞大的超级工程,单靠微软自己的工程师显然很难做到及时找出所有漏洞,所以引入广泛用户的力量很有必要,这就引申出了大名鼎鼎的Microsoft Bug Bounty Program(微软漏洞赏金计划)。
自从2013年启动以来,微软已向70个国家的数千名安全研究者颁发了超过6000万美元奖金。然而就在最近,一向运作良好的微软漏洞赏金计划却出了乱子——微软封禁了安全研究员Nightmare-Eclipse(又称Chaotic Eclipse)的GitHub账户,并且没有说明具体原因。这位安全研究员认为此举是微软的打击报复,计划于7月14日公布更多零日漏洞来进行反击。
他在博客文章中描述了一个蛮横霸道、欺凌普通人的微软,声称其拒绝沟通,没有支付漏洞赏金,还表示微软曾威胁要“毁了他的生活”,而且已经把他用于报告漏洞的微软账号一并删除。那么问题就来了,作为跨国巨头的微软,为何会为难这位普通人呢?
事实上,Nightmare-Eclipse与微软的纠葛始于今年4月。他跳过了微软的协同漏洞披露(CVD)框架,自行在GitHub公开了Windows一项名为BlueHammer的本地提权零日漏洞。后者主要是利用了TOCTOU(检查时与使用时不一致)来获得系统SYSTEM权限。
对Windows有所了解的朋友应该清楚SYSTEM权限意味着什么——一旦其他人获得该权限,系统的最高安全控制权就易主了,你的电脑可能至此就不再属于你。既然BlueHammer如此关键,Nightmare-Eclipse作为安全专家自然也不是不知轻重。按照他的说法,微软安全响应中心(MSRC)的响应流程僵化,“令其过于反感”。
简而言之,这其实是一个类似“羊斟惭羹”的故事。因为民间大神不满微软对高危漏洞漫不经心,所以决定自行公开来倒逼其重视,结果微软不仅不领情,反而对这位大神“痛下杀手”。当然,微软的做法也很好理解——既然有专门的协同漏洞披露框架,安全专家跳过了标准流程、擅自公开漏洞,就无法确保漏洞在公开前得到修复。
那么,曾经运行良好的微软安全响应中心,为什么会变得响应流程僵化呢?不少从业者都给出了同一个答案:AI导致的“降本增效”是主因。
由于微软、苹果、谷歌等巨头都建立了向提供漏洞的“赏金猎人”发放不菲报酬的机制,AIGC问世后,就有很多人开始利用AI生成的虚假漏洞报告来骗取赏金。
为此,这些公司选择了用AI来治AI。比如,微软在两年前就推出了基于自有安全模型的生成式AI解决方案Microsoft Security Copilot,号称能够帮助防御方发现漏洞。安全人员可以要求它为特定漏洞生成摘要,并向其“投喂”文件、网址或代码片段以供分析,甚至可以要求它提供来自其他安全工具的事件和警报信息。
当Microsoft Security Copilot介入安全响应中心后,微软为了节省成本解雇了资深人员。接下来的事情就不难猜了——AI在网络安全这种敏感、且极度依赖经验的领域表现得并不尽如人意,直接导致MSRC陷入“链条阻塞”的状态。
接下来如果微软不进行改变,可能还会有第二个、第三个Nightmare-Eclipse出现。到了那个时候,Windows的安全风险毫无疑问会被放大无数倍——毕竟民间大神如果自行公开漏洞,可不会给微软留下任何缓冲时间。对这类安全攻防事件,云栈社区 的技术爱好者们也总在热议,从漏洞挖掘到逆向分析,总有同路人一起死磕。 | 
发表于 前天 20:43
|
查看: 19|
回复: 0
