O conflito público entre a Microsoft e um pesquisador de segurança está provocando uma nova discussão na indústria de cibersegurança sobre as regras de divulgação de vulnerabilidades. O ponto central da controvérsia é o fato de o pesquisador ter divulgado várias vulnerabilidades e códigos de exploração antes que a Microsoft concluísse os reparos, enquanto a Microsoft criticou essa abordagem por poder ajudar atacantes e alertou que buscará responsabilização por meio de canais legais e de aplicação da lei.
Microsoft critica a divulgação pública
A Microsoft publicou um post na quarta-feira criticando o pesquisador conhecido como "Nightmare Eclipse" por divulgar publicamente várias vulnerabilidades, incluindo BlueHammer, RedSun UnDefend e YellowKey. Esses problemas afetam o mecanismo antivírus integrado do Windows, Defender, e ferramentas de criptografia de disco como o BitLocker.
A Microsoft afirmou que os pesquisadores não submeteram primeiro as vulnerabilidades pelos canais normais, dando à empresa tempo para corrigi-las. A Microsoft considera que essa divulgação pública antes da correção aumenta o risco de ataques reais. A Microsoft também afirmou que algumas dessas vulnerabilidades foram posteriormente utilizadas por hackers em ataques reais, e a agência de cibersegurança dos EUA, a CISA, também mencionou essa situação.
Microsoft menciona que a transferência criminal gerou reação
A Microsoft escreveu em seu blog que seu departamento de crime digital continuará a processar os indivíduos envolvidos e aqueles que "auxiliam suas atividades criminosas", coordenando-se com agências de aplicação da lei globais quando necessário. Amplamente, acredita-se que essa declaração seja uma ameaça legal aos pesquisadores.
Nos últimos semanas, Nightmare Eclipse afirmou em seu blog que entrou em contato com a Microsoft, mas foi maltratado, incluindo a revogação de permissões de sua conta no Microsoft Security Response Center. Essa conta era originalmente usada para enviar relatórios de vulnerabilidades à Microsoft. O pesquisador sugeriu que, após o bloqueio dos canais de comunicação, optou por divulgar publicamente a vulnerabilidade.
Dados públicos mostram que essas informações de vulnerabilidades foram publicadas no GitHub e no GitLab, e as contas relacionadas foram posteriormente bloqueadas. O GitHub é atualmente propriedade da Microsoft.
A comunidade de segurança teme o efeito de intimidação
Este escândalo provocou rapidamente insatisfação na comunidade de pesquisa de segurança. O núcleo da disputa não é novo: após descobrir uma vulnerabilidade, o pesquisador independente deve garantir que o fabricante realize a correção; e, se o fabricante agir inadequadamente, até que ponto o pesquisador deve ser responsabilizado.
Programas de recompensa por vulnerabilidades e mecanismos de divulgação coordenada foram originalmente criados para aliviar esse tipo de conflito. Atualmente, a maioria das grandes empresas de tecnologia oferece recompensas a pesquisadores que relatam vulnerabilidades em segredo e coordena a divulgação pública dos detalhes após a correção da falha.
Katie Moussouris, fundadora da Luta Security, que anteriormente impulsionou o programa de recompensas por vulnerabilidades na Microsoft, disse ao TechCrunch que o fato de a Microsoft voltar a usar expressões como “divulgação responsável” em si já tende a colocar unilateralmente a responsabilidade sobre os pesquisadores; além disso, mencionar o departamento de crimes digitais pode ainda mais minar a confiança dos pesquisadores na Microsoft.
Ela alertou que, se os pesquisadores deixarem de relatar vulnerabilidades à Microsoft, mais problemas de segurança acabarão permanecendo fora da vista pública, aumentando o risco geral. Kevin Beaumont, ex-funcionário da Microsoft e atual pesquisador de segurança, também criticou publicamente a abordagem da Microsoft, afirmando que a empresa vinculou diretamente o código de exploração de vulnerabilidades a "atividades criminosas", gerando uma crise de comunicação e confiança causada por sua própria má gestão.