研究人员发文抨击：Windows签名漏洞延迟两年修复

2018年8月份有安全研究人员发现 Windows 系统签名验证漏洞，随后这枚漏洞被提交给微软并且得到微软确认。这枚漏洞后来分配的漏洞编号是CVE-2020-1464号 , 微软官方对这枚安全漏洞的评级为严重 , CVSS评分为5.3分。值得注意的是微软在2020年8月份的例行安全更新中才修复该漏洞，该公司并未解释为何需要花费两年时间修复。在这枚漏洞被修复后研究人员发文抨击微软，因为这枚漏洞早就遭到利用、微软将数以亿计的用户暴露在风险中。

更新：漏洞被谷歌发现是2019年1月、被黑客利用可以追溯到2018年8月 , 所以微软应该是拖延了18个月才修复。

利用漏洞篡改软件安装包绕过验证：

数字签名是操作系统和软件开发商们普遍使用的安全策略，数字签名可用来确保软件包不被篡改获得系统的信任。若软件包遭到篡改则签名会自动失效，在某些特殊领域若没有数字签名是不会放行的，因为只可安装受信任软件。研究人员发现的这名漏洞则是让签名校验形同虚设 ，黑客将恶意Java包 (.jar) 嵌入合法软件但不会破坏数字签名。

因此黑客可以冒充任意知名开发商例如微软和谷歌等，篡改其软件包加载恶意代码然后通过网络渠道进行钓鱼等。在两年前研究人员向微软通报时微软已经告知研究人员该漏洞在野外遭到利用，对用户和系统具有较高安全风险。

微软为何花费两年修复原因成迷：

让人非常意外的是早在两年前微软就告知研究人员不会在当前版本里修复，当时研究人员只认为可能会稍微迟点。万万没想到两年后的现在微软才发布安全更新修复这枚漏洞，事实上在两年里已经有无数黑客利用这枚安全漏洞。谷歌旗下安全扫描服务VirusTotal发现大量恶意包进行免杀检测 ,  随后谷歌安全研究人员发布博文详细说明漏洞。

并非所有杀毒软件都无法发现这种套娃式恶意软件，但有些杀毒软件看到有数字签名就会放行于是被恶意包绕过。研究人员对于微软花费两年时间修复漏洞非常不解，实际上该漏洞也不止一次被研究人员拿出来分析并通报微软。不过微软至今没有解释为什么如此严重的安全漏洞迟迟不愿意修复，微软只表示安装最新安全更新即可抵御漏洞。