微軟與一名安全研究員的公開衝突,正在引發網絡安全行業對漏洞披露規則的重新討論。爭議焦點在於,該研究員在微軟尚未完成修復前公開了多項漏洞及利用代碼,微軟則批評此舉可能助長攻擊者,並警告將透過法律和執法渠道追究責任。
微軟點名批評公開披露
微軟週三發佈博文,批評網名為 “Nightmare Eclipse” 的研究員公開披露多項漏洞,包括 BlueHammer、RedSun UnDefend 和 YellowKey。這些問題涉及 Windows 內置殺毒引擎 Defender 以及磁碟加密工具 BitLocker 等產品。
微軟表示,研究人員未先透過正常管道提交漏洞,以讓公司有時間修復。微軟認為,此類在修復前的公開披露會增加實際攻擊的風險。微軟還表示,部分漏洞後來已被駭客用於實際攻擊,美國網路安全機構 CISA 也提及過相關情況。
微軟提到刑事移交引發反彈
微軟在部落格文章中表示,其數位犯罪部門將繼續對相關行為人及「協助其犯罪活動」的對象提起訴訟,並在必要時與全球執法機構協調。外界普遍認為,這段表述是在向研究人員發出法律威脅。
Nightmare Eclipse 近幾週在部落格中稱,他曾與微軟接觸,但遭到不當對待,包括微軟撤銷其微軟安全回應中心帳戶權限。該帳戶原本用於向微軟提交漏洞報告。研究員暗示,在溝通管道受阻後,才選擇公開披露漏洞。
公開資料顯示,這些漏洞資訊已發布於 GitHub 和 GitLab,相關帳戶隨後已被封禁。GitHub 目前由微軟所有。
安全圈擔心寒蟬效應
這場風波迅速引發安全研究社區的不滿。爭論的核心並不新鮮:獨立研究員發現漏洞後,是否必須確保廠商完成修復;如果廠商處理不當,研究員又應承擔多大責任。
漏洞賞金和協調披露機制原本就是為緩和這類矛盾而建立。如今,多數大型科技公司都會為私下報告漏洞的研究員提供獎金,並在漏洞修復後協調公開細節。
曾於微軟推動漏洞賞金機制的 Luta Security 創始人 Katie Moussouris 對 TechCrunch 表示,微軟再次使用「負責任披露」這類表述,本身就容易將責任單方面壓到研究員身上;再加上提及數位犯罪部門,可能進一步削弱研究員對微軟的信任。
她警告,如果研究員不再願意向微軟報告漏洞,最終會讓更多安全問題留在公開視野之外,整體風險反而上升。前微軟員工、現任安全研究員 Kevin Beaumont 也公開批評微軟的處理方式,稱公司把漏洞利用代碼與「犯罪活動」直接掛鉤,是一次由自身處理失當引發的公關和信任危機。