来源茶码古刀

影子经纪人的“漏洞公平裁决程序”:NSA至少有96天就此批文件向微软发出警告

发布于:2017-04-17 14:31:14 阅读:318 回帖:0


专家观点

茶码古刀

Shadow Brokers周五放出的这批文件让大家过了一个“充实”的周末,不妨听听业界同仁怎么看:


永洲创投陆先生:

“当然,所谓的爆料有两层意义:一是极大拉近了这个产业中各层次的机构间力量的差距,扁平化,反而突出了某些手里有大0day的机构的价值,类似于降维攻击。你别以为你牛逼,我爆了就让你们手里的都作废。二就是警告,你们认为的核武器其实根本就是小手雷而已。我们已经不和你在一个维度上。第一点是对这个产业的摧毁,第二点是对自我地位的确立。你想有很多都是2009年的东西,NSA用了8年了。其实最大的安全公司是微软和苹果以及谷歌,他们一打补丁那就全完蛋。因为现在靠感染类的病毒价值已经越来越少了。”


丁牛阿文:

“从知名网络军火商Haking Team到帮NSA干活的方程式组织被入侵事件,感觉颠覆我一些认知的是:

无论RPC协议时代还是SMB时代,回忆起来上次已经是08064。当时是说了微软减少共享漏洞相关的,所以有一些机制,因此以为就算是被你溢出了也连不上。然后还有传说真正能用的RDP溢出。当然把原来意淫十多年的认知例如IIS6依赖WEBDAV,远程溢出之类传说者露出水面,而这个问题是等了十多年才得以证实。甚至感知在SMB之类其实是微软给NSA开放的一些“后门”。但可以明显感觉,方程式小组只是老美这么多技术团队中其中一个比较小的研究,甚至是上一代十年到十年以前的技术。其实在工控还有移动时代的漏洞应该会是应用系统方面的几十甚至上百倍的存量,包括协议、通用框架、第三方提供商等更底层的利用,垄断Cyber War制高点的依然是商业驱动的老牌军火商老美,因为他们垄断了世界的漏洞渠道,无论是东欧还是科技公司,从底层到应用层多系统,攻击向量、数据渠道、摆渡一体化,从而达到指哪打哪的效果。未来国与国体网络战争必然是体系化傻瓜化建设,更象是未知漏洞+行为认知+异常机器学习的世界。隔离内网只不过是自己意淫的安全,网络已经是千疮百孔,何谈人工智能?物联网?可怕的是我们国家主流的防御思想还停留在闭关锁国时代。”


小编也专门为大家挑选了一篇来自emptywheel的文章,标题是THE SHADOW BROKERS VULNERABILITY EQUITIES PROCESS: NSA HAS HAD AT LEAST 96 DAYS TO WARN MICROSOFT ABOUT THESE FILES,翻译出来分享给大家。

 

正文

1月8日,影子经纪人(Shadow Brokers)宣布[附录1]对Windows攻击程序进行拍卖,并列出他/他们计划出售的漏洞(Malware Jake撰文两篇对此进行了分析,链接见附录2、3)。四天后,Shadow Brokers发布了一组不同的Windows漏洞利用程序[附录4],增加了一些会触发卡巴斯基(Kaspersky Labs)产品告警的旧代码(影子经纪人声称)。今天发布的Windows文件[附录5]包括1月份计划出售的部分,至版本号。详情请将泄漏文件与如下截屏图片中的touch[附录6], exploit[附录7], 和payloads[附录8]对比。影子经纪人在1月份还宣布拍卖Fuzzbunch(译者注:一个类似Metasploit Framework的漏洞利用平台工具,Python编写)和DanderSpritz(译者注:据称是一个远程控制工具“棱镜门”事件中斯诺登公布的美国国家安全局文件中提到过,在ANT中的“FIREWALK”工具中也提及到了DNT的DanderSpritz,而DNT与ANT则同属于NSA的网络组织

在Twitter和聊天中争论的一个重要细节是,影子经纪人选在假日周末(或启动一个美好度假计划)之前的耶稣受难日来发布这批文件是多么恶劣。虽然这批文件带来的安全守护者和攻击者在与时间赛跑的同时也在相互比拼着速度,但这并不意味着NSA(美国国家安全局)的人没有收到警告。NSA至少有96天的警告期,知道影子经纪人可以随时丢出这批文件。

FuzzBunch拍卖价(来自@shadowbrokerss)

DanderSpritz(来自丁牛阿文朋友圈)

当然,最大的问题是NSA是否告诉了微软这些文件的目标。当然,微软还没有完全回应这个警告(译者注:这是指2017.4.14本文发布的时候),因为黑客已经获得了相当数量的文件来发动他们的攻击。

相对于维基解密(WikiLeaks)发布的Vault 7文件(译者注:这里说的是不久前的另一起关于CIA的泄漏事件),尽管政府立即确认了文件被攻破的时间和方式,但CIA(美国中央情报局)至少可能不知道泄漏给维基解密的详细内容。NSA不能在这里做出这样的声明,至少不能使用Windows文件。影子经纪人已经足够友善地发出了警告。问题是,国家安全局对该警告做了什么。

尽管如此,影子经纪人发出的警告对于“漏洞公平裁决程序”(Vulnerabilities Equities Process,白宫的一项政策——译者注)应该有非常严重的影响,NSA应该考虑是否更好地提醒企业注意防范或坐拥漏洞并使用它们。将NSA的间谍活动优先级凌驾于美国大型公司的客户安全是一回事,而像CIA和NSA所做的那样[附录9],放任这些漏洞利用程序从某种意义上易于受窃则是另一回事。

但是,毫无疑问的是,当一个情报机构得到一个恶意组织计划发布的一组漏洞详单时,该机构应该警告受影响的美国公司。

更新

更新:微软告诉Sam Biddle他们没有从任何“个人或组织”那里获得与此有关的信息[附录10]。

微软的一位发言人告诉The Intercept“我们正在审查报告,并采取必要措施来保护我们的客户。” 考虑到自2016年8月以来泄漏事件就已产生威胁,我们询问微软NSA是否随时提供相关信息来帮助保护Windows用户,他们回答说:“我们目前的重点是审查现在的报告”。该公司后来澄清说:“目前,除记者外,没有任何个人或组织就Shadow Brokers发布的材料与我们取得联系。”


我认为实际上这里是存在一些回旋空间的。我们将看到MSFT修补这些漏洞需要多长时间。


更新:微软发表了一项声明[附录11],表示除了三个外其他被披露的漏洞均已被修复。剩下的三个漏洞——EnglishmanDentist、EsteemAudit和ExplodingCan,在Windows 7、Windows近期版本、Exchange 2010以及Exchange较新版本中没有得到复现,所以使用上述版本的用户不存在安全风险。但是,微软强烈建议仍在使用这些产品先前版本的用户升级到更新版本。这将表明国家安全局已经提醒他们。


附录
  1. https://twitter.com/shadowbrokerss/status/817960380815306752

  2. https://malwarejake.blogspot.com/2017/01/implications-of-newest-shadow-brokers.html

  3. https://malwarejake.blogspot.in/2017/01/more-finds-from-shadow-brokers-dump.html

  4. https://steemit.com/shadowbrokers/@theshadowbrokers/repost-theshadowbrokers-message-8-january-2017

  5. https://github.com/x0rz/EQGRP_Lost_in_Translation/tree/master/windows

  6. https://github.com/x0rz/EQGRP_Lost_in_Translation/tree/master/windows/touches

  7. https://github.com/x0rz/EQGRP_Lost_in_Translation/tree/master/windows/exploits

  8. https://github.com/x0rz/EQGRP_Lost_in_Translation/tree/master/windows/payloads

  9. https://motherboard.vice.com/en_us/article/your-governments-hacking-tools-are-not-safe

  10. https://theintercept.com/2017/04/14/leaked-nsa-malware-threatens-windows-users-around-the-world/

  11. https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

来源:茶码古刀

最新回复 (0)
返回