微軟回應Windows Vista系統漏洞事件

我們于2007年1月12日收到了來自東方微點公司的電子郵件，并隨即通過電子郵件進行了溝通。按照彼此的溝通， 該問題需要用戶可以物理接觸到安裝Vista系統的機器， 并以系統管理員的身份本地登陸，安裝一個惡意軟件來篡改Vista系統，這樣當使用者以普通用戶身份登陸后，他/她可以擁有系統管理員的權限。業界對系統漏洞的普遍理解是， 如果在普通用戶權限下能夠安裝軟件來篡改系統使得普通用戶獲得系統管理員的權限，將說明存在系統漏洞，而演示并沒有表明可以這樣，并且在和該公司的所有溝通過程也沒有表明可以從遠程來對系統進行攻擊，因此綜上所述， 這個問題不是一個操作系統的漏洞。

作為下一代操作系統，Windows Vista實現了技術與應用的創新，在安全可靠、簡單清晰、互聯互通，以及多媒體方面體現出了全新的構想.其中最為突出的一點就是Windows Vista在安全方面的改進。在Windows Vista設計和開發的過程中，微軟采用了全面改進安全的方法，使其成為微軟實現其打造“可信賴計算”理念的一個重要里程碑.用戶可以更好、更容易的保護個人電腦，免受病毒、蠕蟲或間諜軟件的攻擊， 通過Windows Vista享受到更加完備、更加安全的上網體驗。

在Windows Vista的開發過程中，安全被提到了一個前所未有的重視高度.但是軟件產品的特點決定了軟件產品的安全性不能達到百分之百。即使再安全的操作系統，安全問題也會一直存在，黑客和病毒將會不斷地對系統進行攻擊，這也是為什么微軟加大安全力度，保護用戶免受惡意軟件的侵襲.同時，微軟也希望業界伙伴和其他相關人士能夠與微軟公司一道，采取負責任的步驟和態度，共同保護用戶免受侵襲。

作為微軟在中國的獨資子公司，微軟中國將一如既往地與國內業界合作伙伴一起，為中國用戶提供更加安全的計算環境而進行持續的努力。

事件起因:

1月22日消息，國內安全專家、北京東方微點信息技術有限責任公司總經理兼總工程師劉旭對外稱，微軟新推出的Vista操作系統存在可偽造用戶令牌(Access Token)的重大安全漏洞，利用該漏洞，惡意程序可將任意用戶的權限生成超級管理員(full administrator user)權限，進而使電腦更容易被遠程控制。

微軟Windows Vista操作系統漏洞被攻演示圖

通常情況下，操作系統一般將用戶分為一般用戶和管理員。在Windows操作系統下，當用戶需要運行程序或訪問資源時，系統首先會對用戶的訪問令牌找到用戶的權限信息。并對想要進行操作所需的權限和用戶的權限進行比較，如果權限足夠大，就可以進行相應的操作；如果權限不足，操作就會被禁止。Windows XP操作系統提供創建非管理員帳戶，但用戶使用起來非常不方便，因此，絕大多數用戶日常使用的是對計算機有絕對控制權的管理員帳戶。

在Windows Windows Vista操作系統下，為提高系統安全性，微軟推引入了一個用戶帳戶控制(User Account Control簡稱UAC)新技術，要求所有用戶在標準帳戶模式下運行程序和任務時會阻止未認證的程序安裝，并阻止標準用戶進行不當的系統設置改變。

劉旭介紹到，在Windows Vista操作系統下，Windows Vista存在可偽造的“訪問令牌”的重大安全漏洞。利用這個漏洞，當用戶以管理員(administrator user)、一般用戶(standard user)甚至是權限更低的訪客(guest user)用戶登錄系統時，惡意程序可通過偽造的超級管理員權限，即不論是什么類型的用戶，是本地登錄還是遠程登錄，都可以自動成為超級管理員，系統運行的認可一個程序都可以自動具有管理員權限，從而完全繞過了UAC，使UAC形同虛設，這時的Windows Vista操作系統就同XP一樣，用戶面臨著遭遇病毒肆虐、黑客攻擊的風險。

劉旭還表示，在號稱“安全性極高”的Windows Vista操作系統下，如果用戶不小心運行了網上下載的含有惡意代碼的程序，將會使用當前用戶具備了超級管理員權限，進而被黑客遠程控制用戶的機器。

據劉旭透露，東方微點在研發主動防御軟件時，發現了這個重大漏洞，并已向微軟提交了該漏洞被攻擊的詳細演示報告。

據悉，目前東方微點開發的軟件已具備了阻止惡意程序攻擊Windows Vista操作系統漏洞能力.

微軟方面則表示，“在Windows Windows Vista的開發過程中，安全被提到了一個前所未有的重視高度.但是軟件產品的特點決定了軟件產品的安全性不能達到百分之百.即使再安全的操作系統，安全問題也會一直存在，黑客和病毒將會不斷地對系統進行攻擊，這也是為什么微軟加大安全力度，保護用戶免受惡意軟件的侵襲.”截至發稿時，微軟并沒有就該重大漏洞進行正面回復.