Microsoft отвечает на действия недовольного исследователя безопасности, который выпустил серию уязвимостей нулевого дня, не уведомив компанию заранее. Обсуждается сбой процесса CVD. — computerweekly.com
Microsoft выступила с ответным заявлением после того, как недовольный исследователь безопасности опубликовал эксплойты для шести уязвимостей нулевого дня в своих продуктах, не поделившись деталями с Редмондом до релиза, заявив, что это подвергло ее клиентов «ненужному риску». Исследователь, известный в сообществе под ником Nightmare Eclipse и другими связанными псевдонимами, которого одни считают злоумышленником, а другие — кибергероем в духе Робин Гуда, по всей видимости, руководствуется личной неприязнью к Microsoft. Его личность не разглашается, однако, по данным Computer Weekly, в последние дни он был заблокирован в репозиториях кода GitHub и GitLab. Он пригрозил дальнейшими разоблачениями, посоветовав наблюдателям отметить 14 июля в своих календарях. Microsoft заявила, что ежегодно сотрудничает с сотнями исследователей безопасности в рамках установленных процессов Скоординированного раскрытия уязвимостей (CVD) — отраслевого стандарта передовых практик, который позволяет этичным хакерам делиться своими находками с поставщиками для устранения проблемы до ее обнародования. В теории, хотя и не всегда на практике, этот процесс призван гарантировать выпуск исправлений до того, как код доказательства концепции попадет в руки злоумышленников, а также обеспечить справедливую компенсацию и признание заслуг исследователей, что Nightmare Eclipse оспаривает. Тем не менее, по словам Microsoft, уязвимости, обнаруженные Nightmare Eclipse и известные как BlueHammer, GreenPlasma, MiniPlasma, RedSun, UnDefend и YellowKey, не были раскрыты ответственно, а были выпущены в мир без предупреждения в течение последних нескольких недель, оставив команды компании неподготовленными и вынужденными спешно наверстывать упущенное. «В ответ на ненужный риск, созданный этими разоблачениями, наши команды безопасности работали круглосуточно, чтобы понять последствия, защитить наших клиентов и разработать обновления безопасности», — заявила Microsoft. «Мы по-прежнему твердо выступаем против таких действий и любого раскрытия информации вне надлежащей координации, которое может нанести ущерб нашим клиентам и цифровой экосистеме. Нескоординированные раскрытия, которые передают код доказательства концепции необработанных уязвимостей в руки злоумышленников, никогда не могут быть оправданы и имеют реальные последствия».” Microsoft отметила, что приветствует разнообразные точки зрения и признает, что не всегда будет согласна с независимыми исследователями по всем вопросам, но при этом «привержена прозрачности» и стремится создавать больше возможностей для диалога с широким сообществом. Microsoft заявила: «Наша команда продолжит поддерживать ответственные исследования, делая все возможное для быстрого расследования, устранения и выпуска обновлений для уязвимостей, затрагивающих наших клиентов. Мы всегда приветствовали и будем продолжать приветствовать сообщения об уязвимостях от любого лица через наш публичный портал для исследователей, независимо от прошлых взаимодействий или репутации».
Управление уязвимостями
По состоянию на 28 мая четыре из шести уязвимостей, обнародованных Nightmare Eclipse, получили обозначения Common Vulnerability and Exposure (CVE). В числовом порядке это: Тем временем GreenPlasma, уязвимость повышения привилегий (EoP) в Windows BitLocker, еще не получила обозначения CVE, в то время как MiniPlasma обходит CVE-2020-17103, ранее исправленную уязвимость EoP в драйвере Windows Cloud Filter.
Меняющийся мир
Хотя действия Nightmare Eclipse в целом признаются неуместными и крайне безответственными, многие представители киберсообщества отмечают, что традиционный процесс CVD начинает давать сбои. Джон Карберри, директор по маркетингу и специалист по поиску решений в Xcape, провайдере управляемых служб безопасности (MSSP) из Лос-Анджелеса, описал «эскалацию войны на истощение» между этичными хакерами и корпоративными поставщиками. «Это трение указывает на более глубокий системный сбой. Сообщество специалистов по безопасности явно разочаровано сроками обработки заявок поставщиками — узким местом, которое стало критическим, учитывая, что Microsoft и так перегружена инженерными задачами, о чем свидетельствует огромный цикл исправлений в 138 CVE только в этом месяце», — сказал Карберри. Он добавил: «Нынешнее противостояние доказывает, что традиционная модель скоординированного раскрытия уязвимостей рушится под собственным весом, оставляя команды корпоративной безопасности заложниками перекрестного огня между нетерпеливыми исследователями и перегруженными поставщиками программного обеспечения». Джейкоб Крелл, старший директор по решениям в области безопасного ИИ и кибербезопасности в Suzu Labs, назвал CVD общей обязанностью и даже признал часть аргументации, лежащей в основе претензий Nightmare Eclipse. Он отметил, что, учитывая, что Microsoft получает сотни миллиардов долларов ежегодно, неразумно ожидать от исследователей, что они будут бесплатно субсидировать безопасность ее продуктов. Он также более прямо раскритиковал Microsoft, заявив: «Шесть уязвимостей в основных компонентах Windows, включая Defender и BitLocker, которые дошли до продакшена, свидетельствуют о провале инженерной работы поставщика. Эти ошибки никогда не должны были попасть в релиз. Поставщики, требующие координации, также должны инвестировать в оперативную обработку заявок и строгость разработки, которая предотвращает подобное». Крелл добавил: «Традиционный 90-дневный мораторий был разработан для более медленного мира. ИИ радикально сжал сроки обнаружения уязвимостей, так что 90 дней достаточно для развертывания совершенно новой пограничной модели, нацеленной на ту же кодовую базу. Только за первые пять месяцев 2026 года Microsoft исправила более 500 CVE. «Этот объем — сигнал того, что положение дел с безопасностью продуктов во всей экосистеме слабее, чем предполагает рынок», — предупредил он.
Следующие шаги
Когда кто-то решает опубликовать работающий код эксплойта для уязвимостей в основных корпоративных IT-продуктах напрямую для общественности, он фактически предоставляет всему интернету немедленный и неаутентифицированный доступ в корпоративные сети. Известно, что уязвимости нулевого дня, раскрытые Nightmare Eclipse, активно эксплуатируются, поэтому руководителям служб безопасности следует обратить на это внимание. «Руководители служб безопасности не могут позволить себе ждать, пока исправления от поставщика медленно пройдут через конвейеры QA и развертывания», — сказал Карберри из Xcape. «Они должны создать агрессивную внутреннюю систему смягчения последствий, которая рассматривает несанкционированные раскрытия как немедленные, активные инциденты, заставляя их развертывать временные обходные конфигурации и гиперспецифичные правила обнаружения EDR в тот момент, когда ошибка появляется на GitHub, задолго до того, как официальное автоматическое исправление появится в следующий Patch Tuesday».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton