Блокировка GitHub-аккаунта исследователя безопасности, опубликовавшего эксплойты нулевого дня для Windows, вызвала скандал вокруг Microsoft. — tomshardware.com
В последнее время в мире безопасности Windows разворачивается настоящая драма, и сегодняшний эпизод связан с очередным витком противостояния исследователя Nightmare-Eclipse (также известного как Chaotic Eclipse) и Microsoft. Компания сочла нужным заблокировать аккаунт Eclipse на GitHub по пока не названным причинам, вынудив его свернуть деятельность и перебраться на GitLab. Кроме того, по сообщениям, редмондская фирма уже удалила учетную запись Microsoft, которую Eclipse использовал для сообщения об уязвимостях. В своем блоге Eclipse утверждает, что этот шаг был продиктован местью, заявляя, что Microsoft вновь отказалась от попыток коммуникации, и что он «не получил ни цента за свои действия», что, вероятно, является намеком на неоплаченные вознаграждения за найденные уязвимости по программе MSRC. Эта инициатива выплачивает до 30 000 – 100 000 долларов за уязвимость нулевого дня для конечной точки в зависимости от условий, и целых 250 000 долларов, если удастся взломать Hyper-V. Имея на счету уже шесть эксплойтов нулевого дня, Eclipse заявляет, что 14 июля принесет компании своего рода расплату, гипотетически в виде публикации новых уязвимостей нулевого дня.
Длительный спор Eclipse с Microsoft продолжается с начала апреля, когда исследователь без предупреждения опубликовал эксплойт нулевого дня BlueHammer. Язык в его блогах неясен и полон страсти, изливая потоки яда на Microsoft/MSRC. В самом общем виде Eclipse подразумевает, что Microsoft проигнорировала или отклонила его сообщения об уязвимостях нулевого дня и/или не выплатила запрошенные вознаграждения, причинив тем самым финансовый ущерб. Среди прочего, Eclipse заявляет, что ему «лично [в Microsoft] сказали, что они разрушат мою жизнь, и они это сделали», что существует некий «dead-man switch» (механизм, срабатывающий после смерти или бездействия), и что он «сделает так, чтобы [кости Microsoft] были разбиты».
Сага вызвала предположения среди других экспертов, например, Уильяма Дорманна из Tharros, который заявил, что «MSRC раньше была превосходна в работе. Но чтобы сэкономить, Microsoft уволила квалифицированных специалистов, оставив последователей блок-схем. Я не удивлюсь, если Microsoft закрыла дело после того, как исследователь отказался предоставить видео эксплойта, поскольку, по-видимому, это теперь требование MSRC».
Microsoft хранит молчание по поводу каких-либо подробностей этих вопросов, поэтому трудно сказать, связана ли ситуация с не сотрудничающим исследователем, который не соблюдает стандартные правила раскрытия информации, или с компанией, которая ведет себя сложно в отношении отчетов о безопасности. Тем не менее, блокировка аккаунта Eclipse на GitHub выглядит не лучшим образом, поскольку это вызывает резкую критику и в конечном итоге не приносит никакой пользы безопасности, поскольку код и так уже доступен.
В наше время, когда исследования безопасности с использованием ИИ, по общему мнению, сделали стандартное 90-дневное окно раскрытия информации до выпуска патча полностью устаревшим, а время до появления эксплойта и неиспользованные эксплойты стремятся к нулю, Microsoft и другим разработчикам программного обеспечения следовало бы пересмотреть свои политики.
Технический послужной список Eclipse впечатляет. Он опубликовал серию эксплойтов нулевого дня для Windows: BlueHammer дает доступ к пользователю SYSTEM через Defender, и RedSun делает то же самое; UnDefend отключает Defender; GreenPlasma получает доступ SYSTEM через службу CTFMon, в то время как MiniPlasma предоставляет аналогичный доступ через сбой в драйвере Windows Cloud Filter. Наконец, есть YellowKey — уязвимость в BitLocker, которая позволяет злоумышленнику с минимальными усилиями открыть зашифрованные диски, что является именно тем, чему должна препятствовать эта технология.
BlueHammer, RedSun и UnDefend, как подтверждено, активно используются в реальных атаках, и нетрудно представить, что другие эксплойты используются также, поскольку публикация Eclipse полного или частичного кода proof-of-concept сделала их использование тривиальным для заинтересованной стороны.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira