Microsoft угрожает судебным преследованием после того, как исследователь опубликовал непатченные уязвимости с кодом эксплойта
Microsoft под огнем критики из‑за спора о раскрытии уязвимостей
Microsoft подвергается критике после предупреждения о возможном возбуждении уголовных дел и вовлечении правоохранительных органов против исследователя безопасности, который публично раскрыл ряд непатченных уязвимостей в её продуктах вместе с proof‑of‑concept кодом эксплойта.
В опубликованном в среду блоге компания раскритиковала исследователя, выступающего под ником “Nightmare Eclipse”, за публикацию деталей багов, которые, по утверждению Microsoft, затрагивали такие продукты, как Windows Defender и BitLocker. Microsoft заявила, что такое раскрытие нельзя назвать «ответственным», поскольку уязвимости не были исправлены до их обнародования.
Реакция компании вновь разожгла долгую дискуссию о том, как исследователи безопасности должны поступать с уязвимостями в крупных программных платформах, особенно когда дефекты затрагивают широко используемые инструменты компании с такими ресурсами, как у Microsoft.
Microsoft утверждает, что некоторые из уязвимостей, раскрытых Nightmare Eclipse, затем использовались хакерами в реальных атаках, согласно заявлениям компании и американского агентства кибербезопасности CISA. Также компания сообщила, что её Digital Crimes Unit продолжит преследовать дела против тех, кого она считает причастными к преступной деятельности, включая взаимодействие с правоохранительными органами.
Nightmare Eclipse в серии постов в блоге за последние пару недель заявил, что контактировал с Microsoft и что компания обращалась с ним плохо. Исследователь утверждал, что Microsoft лишила его доступа к аккаунту в Microsoft Security Response Center — порталу, через который исследователи сообщают об уязвимостях. По мнению исследователя, это оставило публичное раскрытие единственным выходом.
Баги затем были опубликованы в открытых репозиториях, где они сопровождались кодом, призванным продемонстрировать способы их эксплуатации. После обнародования без наличия патчей эти проблемы стали zero‑day — уязвимостями, неизвестными разработчику программного обеспечения на момент раскрытия или эксплуатации.
Критика Microsoft основывается на аргументе, что исследователь должен был сначала сообщить об уязвимостях в приватном порядке. Позиция исследователя, изложенная в блогах, заключается в том, что манера, в которой Microsoft вела себя в этой ситуации, не оставила ему реального пути для ответственного раскрытия. Этот спор ставит под сомнение процесс реагирования Microsoft на инциденты безопасности и вновь поднимает вопросы о границах между общественно полезными исследованиями и поведением, которое может помочь злоумышленникам.
Источники:
Серфьте приватно с Doppler VPN — без логов, подключение в один тап.