מיקרוסופט מאיימת בפעולה משפטית לאחר שחוקר פרסם באגים בלתי מתוקנים עם קוד ניצול
מיקרוסופט תחת אש על רקע ויכוח על גילוי פגיעויות
מיקרוסופט מותקפת לאחר שאיימה כי תפעל משפטית ותערב את רשויות אכיפת החוק נגד חוקר אבטחה שפרסם בפומבי סדרת פגיעויות בלתי מתוקנות במוצריה, יחד עם קוד הוכחת תפיסה (proof-of-concept) לניצול.
בפוסט בבלוג שפורסם ביום רביעי, החברה הביעה ביקורת על החוקר, הפועל תחת השם נייטמייר איקליפס, על פרסום פרטים של באגים שלדבריה השפיעו על מוצרים כולל Windows Defender ו-BitLocker. מיקרוסופט אמרה שהגילוי לא היה "אחראי" מכיוון שהפגמים לא תוקנו לפני שהמידע פורסם לציבור.
תגובת החברה הציתה מחדש ויכוח ממושך לגבי אופן הטיפול הראוי של חוקרי אבטחה בפגיעויות בפלטפורמות תוכנה גדולות, ובייחוד כאשר הפגמים משפיעים על כלי שימוש נפוצים של חברה בעלת יכולות כאלה כמו מיקרוסופט.
מיקרוסופט טענה כי חלק מהפגיעויות שפורסמו על ידי נייטמייר איקליפס שימשו מאז את התוקפים במתקפות בעולם האמיתי, לפי החברה וסוכנות הסייבר של ארצות הברית CISA. החברה הוסיפה כי יחידת הפשעים הדיגיטליים שלה תמשיך לרדוף אחר מקרים שלכאורה תורמים לפעילות פלילית, בין היתר באמצעות שיתופי פעולה עם רשויות אכיפת החוק.
נייטמייר איקליפס, בסדרת פוסטים בבלוג בשבועות האחרונים, טען שהיה בקשר עם מיקרוסופט ואמר שהחברה פעלה כלפיו באופן פוגעני. החוקר טען שמיקרוסופט ביטלה את הגישה שלו ל-Microsoft Security Response Center, פורטל שבו חוקרים מדווחים על פגיעויות. לטענתו, הדבר השאיר את הגילוי הציבורי כאופציה היחידה.
לאחר מכן הפגמים פורסמו במאגרי קוד פתוח, שם צורפו אליהם קטעי קוד שנועדו להדגים כיצד ניתן לנצלם. ברגע שהמידע פורסם ללא טלאים מותקנים, הנושאים הפכו ל-zero-days — פגמים שלא היו ידועים ליצרן התוכנה בזמן הגילוי או הניצול.
הביקורת של מיקרוסופט מתמקדת בטענה שהחוקר היה צריך לדווח על הבאגים באופן פרטי תחילה. עמדת החוקר, כפי שהוצגה בפוסטים שלו, היא שטיפול מיקרוסופט במקרה הזה לא הותיר לו דרך ממשית לגילוי אחראי. המחלוקת מציבה כעת את תהליך תגובת האבטחה של מיקרוסופט תחת בדיקה, ומעלה שאלות חדשות לגבי היכן עובר הקו בין מחקר לטובת הציבור לבין התנהלות שעשויה לסייע לתוקפים.
מקורות:
גלושו באופן פרטי עם Doppler VPN — ללא רישומים, חיבור בלחיצה אחת.