Открытый конфликт между Microsoft и исследователем безопасности вызывает переосмысление правил раскрытия уязвимостей в индустрии кибербезопасности. Основной спор связан с тем, что исследователь опубликовал несколько уязвимостей и эксплойтов до того, как Microsoft завершила их исправление. Microsoft критикует этот подход, заявляя, что он может помочь злоумышленникам, и предупреждает о намерении преследовать ответственных через правовые и правоохранительные каналы.
Microsoft критикует публичное раскрытие
В среду Microsoft опубликовала пост, в котором критикует исследователя под ником «Nightmare Eclipse» за публичное раскрытие нескольких уязвимостей, включая BlueHammer, RedSun UnDefend и YellowKey. Эти проблемы затрагивают встроенный антивирусный движок Defender и такие продукты, как средство шифрования дисков BitLocker.
Microsoft заявила, что исследователи не сначала представили уязвимости через обычные каналы, чтобы дать компании время на их устранение. Microsoft считает, что такие публичные раскрытия до устранения уязвимостей увеличивают риск реальных атак. Microsoft также отметила, что некоторые из этих уязвимостей впоследствии были использованы хакерами для реальных атак, и об этом также упоминало американское агентство кибербезопасности CISA.
Microsoft mentioned that criminal referral sparked backlash
Microsoft написала в своем блоге, что ее отдел по борьбе с цифровыми преступлениями продолжит возбуждать дела против соответствующих лиц и тех, кто «помогает их преступной деятельности», и будет координировать действия с мировыми правоохранительными органами при необходимости. Сторонние наблюдатели считают, что это заявление является юридической угрозой в адрес исследователей.
Несколько недель назад Nightmare Eclipse писал в блоге, что обращался к Microsoft, но столкнулся с несоответствующим обращением, включая отмену доступа к учетной записи Центра безопасности Microsoft, которая использовалась для отправки отчетов об уязвимостях. Исследователь намекнул, что решил публично раскрыть уязвимость только после того, как каналы связи были заблокированы.
Согласно открытым данным, информация об этих уязвимостях была опубликована на GitHub и GitLab, после чего соответствующие аккаунты были заблокированы. GitHub в настоящее время принадлежит Microsoft.
Безопасное сообщество выражает обеспокоенность по поводу эффекта запугивания
Этот инцидент быстро вызвал недовольство в сообществе исследователей безопасности. Суть спора не нова: должны ли независимые исследователи гарантировать, что производитель устранит уязвимость, и в какой степени исследователи несут ответственность, если производитель действует неправильно.
Программы вознаграждения за уязвимости и механизмы координации раскрытия изначально были созданы для смягчения подобных конфликтов. Сегодня большинство крупных технологических компаний предоставляют вознаграждения исследователям, сообщающим об уязвимостях частным образом, и координируют публикацию деталей после устранения уязвимости.
Кэти Муссурис, основатель Luta Security, ранее работавшая в Microsoft над программой вознаграждения за выявление уязвимостей, сказала TechCrunch, что сам факт использования Microsoft таких формулировок, как «ответственное раскрытие», склоняет всю ответственность на исследователей; упоминание отдела по борьбе с киберпреступностью может дополнительно подорвать доверие исследователей к Microsoft.
Она предупредила, что если исследователи перестанут сообщать о уязвимостях Microsoft, в конечном итоге больше проблем безопасности останется за пределами общественного внимания, и общий риск возрастет. Бывший сотрудник Microsoft и нынешний исследователь безопасности Кевин Бимонд также открыто раскритиковал подход компании, заявив, что связывание эксплойтов уязвимостей с «преступной деятельностью» вызвало кризис общественного мнения и доверия, спровоцированный собственной неумелой реакцией компании.