El conflicto público entre Microsoft y un investigador de seguridad está generando un nuevo debate en la industria de la ciberseguridad sobre las normas de divulgación de vulnerabilidades. El punto central de la controversia es que el investigador reveló públicamente varias vulnerabilidades y su código de explotación antes de que Microsoft completara las correcciones, mientras que Microsoft criticó esta práctica por podrían beneficiar a los atacantes y advirtió que buscará responsabilidades legales y a través de las autoridades competentes.
Microsoft critica la divulgación pública
Microsoft publicó una entrada de blog el miércoles criticando al investigador conocido como "Nightmare Eclipse" por revelar públicamente varias vulnerabilidades, incluyendo BlueHammer, RedSun UnDefend y YellowKey. Estos problemas afectan al motor antivirus integrado de Windows, Defender, y herramientas de cifrado de disco como BitLocker.
Microsoft indicó que los investigadores no presentaron primero las vulnerabilidades a través de los canales normales para dar a la empresa tiempo para repararlas. Microsoft considera que esta divulgación pública antes de la corrección aumenta el riesgo de ataques reales. Microsoft también señaló que algunas de estas vulnerabilidades fueron posteriormente utilizadas por hackers en ataques reales, y la agencia estadounidense de ciberseguridad CISA también ha mencionado la situación relacionada.
Microsoft mencionó que la transferencia penal generó una reacción negativa
Microsoft escribió en su entrada de blog que su departamento de crímenes digitales continuará presentando casos contra los responsables y quienes los ayuden en sus actividades delictivas, y coordinará con las agencias de aplicación de la ley globales cuando sea necesario. Se considera ampliamente que esta declaración constituye una amenaza legal hacia los investigadores.
Nightmare Eclipse ha afirmado en su blog que contactó con Microsoft, pero fue tratado de manera inapropiada, incluyendo la revocación de los permisos de su cuenta del Microsoft Security Response Center, que originalmente se utilizaba para presentar informes de vulnerabilidades a Microsoft. El investigador sugirió que, tras quedar bloqueado en los canales de comunicación, decidió divulgar públicamente la vulnerabilidad.
La información pública muestra que estos detalles de vulnerabilidades se publicaron en GitHub y GitLab, y las cuentas relacionadas fueron posteriormente bloqueadas. GitHub actualmente es propiedad de Microsoft.
El círculo de seguridad teme el efecto disuasorio
Esta controversia generó rápidamente insatisfacción en la comunidad de investigación de seguridad. El núcleo del debate no es nuevo: ¿los investigadores independientes deben asegurarse de que el fabricante complete la reparación tras descubrir una vulnerabilidad; y, si el fabricante maneja mal la situación, ¿qué responsabilidad deben asumir los investigadores?
Los programas de recompensas por vulnerabilidades y los mecanismos de divulgación coordinada se establecieron originalmente para mitigar este tipo de conflictos. Hoy en día, la mayoría de las grandes empresas tecnológicas ofrecen recompensas a los investigadores que informan vulnerabilidades de forma privada y coordinan la divulgación pública una vez que se corrige la vulnerabilidad.
Katie Moussouris, fundadora de Luta Security, quien impulsó el programa de recompensas por vulnerabilidades en Microsoft, dijo a TechCrunch que el hecho de que Microsoft vuelva a usar expresiones como “divulgación responsable” en sí mismo tiende a cargar unilateralmente la responsabilidad sobre los investigadores; además, mencionar la unidad de delitos digitales podría debilitar aún más la confianza de los investigadores en Microsoft.
Ella advirtió que si los investigadores ya no están dispuestos a informar vulnerabilidades a Microsoft, finalmente quedarán más problemas de seguridad fuera de la vista pública, aumentando el riesgo general. Kevin Beaumont, exempleado de Microsoft y actual investigador de seguridad, también criticó públicamente el enfoque de Microsoft, afirmando que la empresa vincula directamente el código de explotación de vulnerabilidades con "actividades criminales", lo que ha generado una crisis de relaciones públicas y confianza provocada por su propia mala gestión.