湖北
對于Windows用戶來說,隔三差五的系統(tǒng)更新可能是他們最反感的東西,以至于“如何關(guān)閉系統(tǒng)自動更新”的教程在網(wǎng)上熱度頗高。當然,微軟像“家長”一樣催著用戶更新系統(tǒng)也有理由,畢竟每一次更新都會推送安全補丁,以修復系統(tǒng)漏洞、降低惡意軟件攻擊風險。
對于經(jīng)常關(guān)注相關(guān)資訊的朋友來說,諸如“XX公司被曝在XX軟件上存在漏洞,導致XX人或設(shè)備受到影響”這樣的消息應該不會陌生。考慮到Windows操作系統(tǒng)是一個龐大的超級工程,單靠微軟自己的工程師顯然很難做到及時找出所有漏洞,所以引入廣泛用戶的力量很有必要,這就引申出了大名鼎鼎的Microsoft Bug Bounty Program(微軟漏洞賞金計劃)。
自從2013年啟動以來,微軟方面已向70個國家的數(shù)千名安全研究者頒發(fā)了超過6000萬美元獎金。然而就在最近,一向運作良好的微軟漏洞賞金計劃卻出了亂子,微軟封禁了安全研究員Nightmare-Eclipse(又稱Chaotic Eclipse)的GitHub賬戶,并且沒有說明具體原因。這位安全研究員認為此舉是微軟的打擊報復,計劃于7月14日公布更多零日漏洞,以此來進行反擊。
他在博客文章中描述了一個蠻橫霸道、欺凌普通人的微軟,并聲稱其拒絕溝通,沒有支付漏洞賞金,還表示微軟曾威脅要“毀了他的生活”,而且已將其用于報告漏洞的微軟賬號一并刪除。那么問題就來了,作為跨國巨頭的微軟,為何會為難這位普通人呢?
事實上,Nightmare-Eclipse與微軟的糾葛始于今年4月,他在跳過了微軟的協(xié)同漏洞披露(CVD)框架,自行在GitHub公開了Windows一項名為BlueHammer的本地提權(quán)零日漏洞。而后者則主要是利用了TOCTOU(檢查時與使用時不一致),來獲得系統(tǒng) SYSTEM權(quán)限。
對于Windows有一定了解的朋友應該對SYSTEM權(quán)限不陌生,一旦其他人獲得該權(quán)限,就意味著系統(tǒng)的最高級別安全權(quán)限易主,你的電腦可能至此就不再屬于你。既然BlueHammer如此重要,Nightmare-Eclipse作為安全專家自然也不是不知輕重,按照他的說法,微軟安全響應中心(MSRC)的響應流程僵化,“令其過于反感”。
簡而言之,這其實是一個類似羊斟慚羹的故事。由于民間大神不滿微軟對于高危漏洞漫不經(jīng)心,所以決定自行公開來倒逼其重視,結(jié)果微軟不僅不領(lǐng)情,反而對這位大神“痛下殺手”。當然,微軟的做法也很好理解,畢竟他們針對此事有專門的協(xié)同漏洞披露框架,可這位安全專家跳過標準流程、擅自公開漏洞,就無法確保Windows存在的漏洞在公開前就能得到修復。
那么問題就來了,曾經(jīng)運行良好的微軟安全響應中心,為何會響應流程僵化呢?有不少從業(yè)者都給出了同一個答案,那就是AI導致的“降本增效”是主因。
由于微軟、蘋果、谷歌等巨頭都建立了向提供漏洞的“賞金獵人”發(fā)放不菲報酬的機制,所以在AIGC問世后,就有許多人開始利用AI生成的虛假漏洞報告來騙取賞金。
為此,這些公司選擇了用AI來治AI。比如,微軟就在兩年前就推出了基于自有安全模型的生成式AI解決方案Microsoft Security Copilot,并號稱其能夠幫助防御方發(fā)現(xiàn)漏洞。安全人員可以要求Microsoft Security Copilot為特定漏洞生成摘要,并向其“投喂”文件、網(wǎng)址或代碼片段以供分析,甚至可以要求它提供來自其他安全工具的事件和警報信息。
當Microsoft Security Copilot介入微軟安全響應中心后,微軟為了節(jié)省成本解雇了資深人員。接下來的事情就不難猜了,AI在網(wǎng)絡(luò)安全這種敏感、且極度依賴經(jīng)驗的領(lǐng)域表現(xiàn)并不盡如人意,從而直接導致微軟安全響應中心陷入“鏈條阻塞”的狀態(tài)。
接下來如果微軟方面不進行改變,可能還會有第二個、第三個Nightmare-Eclipse出現(xiàn)。到了那個時候,Windows的安全風險毫無疑問將會被放大無數(shù)倍。畢竟民間大神如果自行公開漏洞,可不會給微軟留下緩沖時間。
【本文圖片來自網(wǎng)絡(luò)】
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
