免责声明
传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
0.前言
昨天深信服在公众号发布了微软高危漏洞“狂躁许可”,大致内容即微软在七月初披露的一个影响大部分windows系统但利用条件较为苛刻的RCE漏洞,原文已删除,感兴趣的师傅可以查看这篇文章:
今日速报:微软win最新远程rce刷屏安全圈,github的poc为公开伪代码不可复现
准备好了吗兄弟们?大的要来了!
1.钓鱼
高潮的部分来了,在十分钟后,棉花糖收到内部消息,深信服内部出了一个工具,用于检测此漏洞是否存在,原理其实就只是检测目标服务是否开启,经过行为分析和外联检查并未发现钓鱼行为,且此工具已由深信服企业微信号直接发送给各大甲方使用。
也是怪我疏忽,忙着抢热点,未将此信息以及特征码发在文章里,原文:
于是有些公众号,未经测试,未经判断,直接在文中贴一张图就说钓鱼,甚至文章阅读量比我还高了一两千。
这直接导致我文章下有师傅留言我发的工具是钓鱼。
我理解特殊时期谨慎一些是好的,是没有一点问题的,但咱们判断一个东西是否为钓鱼的方法是不是应该严谨一些,有些师傅常常喜欢把东西往微步沙箱一扔,报毒、疑似、有检出即认为实锤钓鱼,要知道微步沙箱能报毒、疑似、有检出的情况非常之多,你甚至使用python编写一个helloworld程序再用vmp加壳后传进VT也是直接爆木马家族。
关于为什么深信服要用vmp加壳一遍我也不知道,但这不是不经验证直接在公众号说钓鱼的理由,我也第一时间在朋友圈通知了原文件的特征,感兴趣的师傅可以自行下载文件对比特征值。
那篇将近四千阅读量的某安全圈大博主的文章,让我昨天不得不忙于和所有在交流群,以及私信找我的师傅解释我发的文件是无毒的。
另外提一句,深信服已发布V2版本,支持从txt文件提取目标批量检测,需要的师傅可以直接从官方网站下载,链接:
https://support.sangfor.com.cn/productTool/read?product_id=201&id=84&category_id=0
3.poc
如果说上面警惕钓鱼是情有可原,那么以下公众号就是纯纯大逆天
眼熟的师傅一眼就看出来这个github就是我们熟知的那个从老外文章copy来的伪代码链接,可见文章:
今日速报:微软win最新远程rce刷屏安全圈,github的poc为公开伪代码不可复现
让我们再看看他的标题,以及阅读量,我不知道这1800个阅读中会有多少人因为他的文章跑去把伪代码当exp捣鼓半天。
当然,我承认我自己在发文时也会使用一些吸引人眼球的标题,俗称标题党,但我们是不是至少应该做到先确定真实性再去当标题党?
看到这里的师傅,恭喜你,因为真正的大的要来啦!
我们网安一哥,大名鼎鼎的奇安信,在昨天同样通报了这个漏洞,值得一提的是,首发的第一篇文章是这样的:
在一个小时后,补更新了一篇这样的:
奇安信发布第一篇文章的时间为10:13分,我发布github的poc为伪代码的时间为10:16分,按理来讲,奇安信这等网安一哥、第一大厂获取消息的速度比我这种业余博主是要快很多的,我们发布文章的时间差仅为三分钟,在这种前提下,文章依然写出了poc已公开,虽然在一小时后补更新解释poc为伪代码,但我们的网安一哥不经验证便着急发文已成事实。
我完全理解厂商竞争需要抢热点抢速度,隔壁深信服都发了咱也不能拖太久,但我坚持认为,在披露通报的细节上,仍然需要进行更细的审查,不然即使后续补充遗漏,也会导致很多人误解,造成信息误差,这一点从两篇文章的浏览量就可以看出。
大家对这次事件有什么样的看法?欢迎在留言区留言,期待您的参与~
以上就是今天的全部内容,如果为您带来了帮助,请帮忙点赞+在看,您的每一个点赞+在看都是对棉花糖非常大的支持~
——The End——
原文始发于微信公众号(棉花糖fans):一个漏洞让你明白网安圈子到底多逆天,开团网安一哥!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论