前资安研究员在推特公开Windows未知漏洞，后续效应有待观察

一般而言，资安研究员若是发现到软件的弱点，会先行通报厂商，让厂商能进行相关的修补作业，待完成并提供更新档案后，资安研究员才会公开揭露他们发现的细节，减少弱点遭到大肆滥用的可能。不过，最近有名前漏洞研究员，以推特账号SandboxEscaper发表一篇贴文，将研究结果直接公开，表示她发现了一个Windows零时差漏洞，并在GitHub上提供了概念性验证用的攻击程式，随后，美国电脑网络危机处理暨协调中心（CERT/CC）弱点分析师Will Dormann，也依循SandboxEscaper推文的资料，证实了这个弱点的存在。不过，截至目前为止，微软还没有提供任何的修补软件。

依据正常的软件漏洞通报流程，一般民众可能会经由特定的通报平台，而资安研究团队会直接联系软件开发厂商，经由厂商与通报者多次的确认、验证，并等待厂商修补完成之后，才会完全公布漏洞的细节。然而，像前述直接在社群网站上公开的做法，便会让这些软件的弱点，成为有心人士可能滥用的目标。

漏洞通报管道多元，但难防有人直接在社群网站上公开

在台湾，目前可提供漏洞通报的平台，包含了HITCON ZeroDay，以及台湾电脑网络危机处理暨协调中心（TWCERT/CC）等，鼓励研究人员能够提供他们找到的弱点，用来减少漏洞被滥用的机会。而不少科技公司为了改良自家的产品或服务平台，像是微软、Google、苹果、脸书，甚至是台湾人常用的Line，它们也提供了抓漏悬赏计划。然而，SandboxEscaper不只直接在推特上公开前述的漏洞，甚至表明不打算将相关资讯交给微软，虽然这名研究员的动机不明，但是上述的做法，已经让执行Windows操作系统的电脑，暴露在该漏洞所造成的风险之中。

这个被公开的漏洞，可让有心人士利用工作排程器，并且让本地端处理程序进阶通讯（Advanced Local Procedure Call，ALPC）界面发生错误，进而提升存取权限。

美国电脑网络危机处理暨协调中心弱点分析师Will Dormann，则依据推文提供的资料进一步验证，这个漏洞影响Windows 10与Windows Server 2016，并将这个漏洞登录到CERT，给予CVSS指标6.4至6.8分，就弱点本身的层面而言，风险程度算是中等（高风险为7分以上）。但真正的问题是，SandboxEscaper直接公开有关细节后，在微软尚未提供任何修正档案的空窗期之前，该漏洞可能会遭到滥用。此外，SandboxEscaper在自己的部落格上，也列出她曾发现的漏洞清单，其中，包含了一个提升本地端权限（LPE）的Windows 10弱点CVE-2018-8440，是否就是表示这次所揭露的弱点，已受到CVE列管，这名前研究员并未证实。

美国电脑网络危机处理暨协调中心弱点分析师Will Dormann证实了SandboxEscaper公开的漏洞，渗透成功之后，便如图中的Process Explorer所示，经由工作排程器辗转提升权限，并启动打印机驱动程式（SPOOLSV.EXE），进而控制攻击者想要执行的软件，例如图中的记事本软件（NOTEPAD.EXE）。（图片来源／Will Dormann推特）

另外，在Reddit社群网站上，同样名为SandboxEscaper的账号里，上个月的贴文中，出现了不少求售Windows零时差漏洞的讯息，若这名用户就是推特上的SandboxEscaper，也很有可能是因为这名研究员没有找到合适的买家，愤而直接把漏洞公开。

目前为止，微软尚未提供相关的修补程式，因此许多外媒向微软确认后，该公司表明会在9月份例行的修补星期二（9月11日），才推出有关的更新软件。不过，资安公司的Acros Security，则宣称他们旗下的0patch零时差漏洞修补平台，在揭露的24小时后，推出相关的微修补档案预览版本，可供应急。

附带一提的是，虽然SandboxEscaper这样直接公开漏洞的行为并不可取，但由于她的推文带有自暴自弃的内容，加上前几天（24日）在自己部落格中，这名研究员也表明想要求职，因此在这篇推文中，不只多位研究员回报成功验证，也有许多人推文帮她打气，鼓励她勇于参与厂商的抓漏奖励计划，也有人在前述的部落格文章中，留言邀请她到公司面试。