多年前谷歌旗下安全实验室披露过微软还为修复的安全漏洞,按谷歌规定漏洞细节会在漏洞提交的三个月后公开。
不论开发商是否在三个月内修复都会公开漏洞,结果微软两次没有及时修复导致潜在威胁,微软抨击谷歌是作恶。
但有时候有些漏洞微软不愿意去修复,此前微软远程桌面服务就被发现漏洞,微软称其为新增功能因此拒绝修复。
现在再次有研究人员披露Windows 10存在某个低危安全漏洞,但微软表示这就是设计特性因此还是拒绝去修复。
主题功能中的安全漏洞:
日前有研究人员披露其在Windows 10主题功能里发现安全漏洞,微软允许用户制作和分享主题供其他人安装等。
Windows 10主题本质上就是一堆壁纸加上描述文件,但研究人员发现该功能存在漏洞可以被攻击者窃取凭据等。
其原理是攻击者自己制作个主题文件但里面夹杂恶意代码,然后将这个主题文件公开分享给别人诱导受害者安装。
当受害者安装该主题时会弹出NTLM身份验证对话框,也就是弹出Windows 10系统级的输入和账号密码对话框。
用户看到弹窗可能会认为是安装主题需要输入账号密码,如果真的输入账号密码则加密后的哈希凭证会自动上传。
攻击者可以使用某些解密工具来解密被系统自动加密的哈希凭证,这样就可以获得受害者账号和密码的明文内容。
微软表示这是设计特性拒绝修复:
研究人员将该漏洞信息提交到微软安全响应中心,不过微软给出的回复是这是设计特性因此并没有修复这枚漏洞。
于是研究人员现在将漏洞的相关信息披露出来希望给微软施压,不过目前尚不清楚微软是否会在后续解决该漏洞。
考虑到多数用户使用Windows 10都会注册微软账号而非离线账号,因此这枚漏洞还是非常容易窃取用户信息的。
如果用户使用的是本地账号非微软账号那安全风险倒是会降低,毕竟本地账号并不能登录微软提供的各种服务等。
另外建议所有使用微软账号的个人和企业级用户配置两步验证,这样即便账号密码泄露后攻击者也无法登录账号。
