Microsoft droht mit rechtlichen Schritten, nachdem ein Forscher ungepatchte Fehler mit Exploit-Code veröffentlicht hat
Microsoft unter Beschuss wegen Streit um Offenlegung
Microsoft sieht sich Kritik ausgesetzt, nachdem das Unternehmen gewarnt hat, es könnte rechtliche Schritte einleiten und die Strafverfolgungsbehörden einschalten gegen einen Sicherheitsforscher, der eine Reihe ungepatchter Schwachstellen in seinen Produkten samt Proof-of-Concept-Exploit-Code öffentlich gemacht hat.
In einem Blogbeitrag, der am Mittwoch veröffentlicht wurde, kritisierte das Unternehmen den Forscher, der unter dem Handle „Nightmare Eclipse“ auftritt, weil er Details zu Fehlern veröffentlicht habe, von denen Microsoft angibt, dass sie Produkte wie Windows Defender und BitLocker betroffen hätten. Microsoft sagte, die Offenlegung sei nicht „verantwortungsvoll“ gewesen, weil die Schwachstellen nicht behoben worden waren, bevor die Informationen öffentlich gemacht wurden.
Die Reaktion des Unternehmens hat eine langjährige Debatte darüber neu entfacht, wie Sicherheitsforscher mit Schwachstellen in großen Softwareplattformen umgehen sollten – insbesondere wenn die Fehler weit verbreitete Werkzeuge eines Unternehmens mit den Ressourcen von Microsoft betreffen.
Microsoft sagte, einige der von Nightmare Eclipse offengelegten Schwachstellen seien laut Aussagen des Unternehmens und der US-Cybersicherheitsbehörde CISA inzwischen von Hackern in realen Angriffen ausgenutzt worden. Außerdem teilte das Unternehmen mit, dass seine Abteilung für digitale Verbrechen weiterhin Fälle gegen jene verfolgen werde, von denen es glaubt, dass sie zu kriminellen Aktivitäten beitragen, unter anderem in Koordination mit der Strafverfolgung.
Nightmare Eclipse behauptete in einer Reihe von Blogbeiträgen in den letzten Wochen, mit Microsoft in Kontakt gestanden zu haben und dass das Unternehmen sie schlecht behandelt habe. Der Forscher gab an, Microsoft habe den Zugang zu ihrem Microsoft Security Response Center-Konto entzogen, das Portal, das Forscher zum Melden von Schwachstellen nutzen. Das habe, so der Forscher, die öffentliche Offenlegung als einzige verbleibende Option erscheinen lassen.
Die Fehler wurden anschließend in Open-Source-Repositorien veröffentlicht, wo sie von Code begleitet wurden, der demonstrieren sollte, wie sie ausgenutzt werden könnten. Nachdem sie ohne vorhandene Patches offengelegt wurden, wurden die Probleme zu Zero-Days — Schwachstellen, die dem Softwarehersteller zum Zeitpunkt der Offenlegung oder Ausnutzung unbekannt waren.
Microsofts Kritik konzentriert sich auf das Argument, der Forscher hätte die Fehler zuerst vertraulich melden sollen. Die Position des Forschers, wie in den Blogbeiträgen dargestellt, ist, dass Microsofts Vorgehen ihnen keinen sinnvollen Weg zur verantwortungsvollen Offenlegung gelassen habe. Der Streit stellt nun Microsofts Prozess zur Sicherheitsreaktion unter Prüflicht und wirft erneut Fragen darüber auf, wo die Grenze zwischen Forschung im öffentlichen Interesse und Verhalten liegt, das Angreifern helfen kann.
Quellen:
Privat surfen mit Doppler VPN — keine Protokolle, Verbindung mit einem Tippen.