Zespół Microsoft Security Response Center (MSRC) wydał oficjalne oświadczenie ostro krytykujące niedawne, nieautoryzowane upublicznienie sześciu podatności typu zero-day. Szczegóły techniczne błędów nie zostały wcześniej przekazane firmie, co zdaniem korporacji naraziło użytkowników oraz cały cyfrowy ekosystem na bezpośrednie i niepotrzebne niebezpieczeństwo. Zdaje się to stać w sprzeczności ze słowami niejakiego NightmareEclipse, który, wedle swoich relacji, dzielił się wszelkimi odkryciami z pracownikami giganta z Redmond.
Sześć groźnych podatności, jeden zbanowany badacz ds. cyberbezpieczeństwa
Aby zyskać pełen obraz sytuacji, musimy cofnąć się kilka dni w czasie, kiedy to Microsoft zablokował konto na GitHubie należące do napomkniętego NightmareEclipse – badacza odpowiedzialnego za wykrycie kilku istotnych dziur w sofcie tytułowego przedsiębiorstwa. Haker własnoręcznie udostępniał informacje dotyczące tych znalezisk, co ewidentnie nie spodobało się korporacji i poskutkowało odcięciem delikwenta od jego repozytoriów z kodem. Teraz firma postanowiła wyjaśnić sytuację, jednocześnie zarzucając mężczyźnie wystawianie użytkowników Windowsa na poważne ryzyko.
Jak napisano w poście opublikowanym na korporacyjnym blogu, sytuacja jest poważna, ponieważ udostępnienie gotowych kodów dowodowych (proof-of-concept) dla niezałatanych systemów daje cyberprzestępcom gotowe narzędzia do przeprowadzania ataków. W odpowiedzi na to zagrożenie zespoły bezpieczeństwa Microsoftu pracują obecnie przez całą dobę, aby dokładnie przeanalizować architekturę błędów, wdrożyć zabezpieczenia dla klientów i jak najszybciej wydać oficjalne aktualizacje. Można więc odnieść wrażenie, iż gigant z Redmond najbardziej za złe ma to, iż musiał się wreszcie zabrać do pracy.
Wycofanie się niezależnych badaczy ze standardowych procedur doprowadziło do natychmiastowego ujawnienia informacji o następujących lukach:
- RedSun
- UnDefend
- BlueHammer
- YellowKey
- GreenPlasma
- MiniPlasma
Microsoft podkreśla, że ujawnianie luk w oprogramowaniu poza ustalonymi strukturami współpracy niesie za sobą realne, negatywne konsekwencje w świecie rzeczywistym i nie da się go niczym usprawiedliwić. Do walki z osobami odpowiedzialnymi za te wycieki, a także z podmiotami, które umożliwiają im prowadzenie szkodliwej działalności, włączyła się wyspecjalizowana komórka prawno-technologiczna producenta – Digital Crimes Unit. Zapowiedziano już, że jednostka ta będzie ściśle współpracować z globalnymi organami ścigania w celu wytoczenia spraw sądowych przeciwko sprawcom.
Koncern przypomina, że bezpiecznym standardem stosowanym przez większość korporacji jest tzw. skoordynowane ujawnianie podatności (Coordinated Vulnerability Disclosure – CVD). W ramach tego modelu setki ekspertów co roku dzieli się swoimi znaleziskami najpierw z producentami oprogramowania, dając im czas na usunięcie problemu, zanim szczegóły trafią do opinii publicznej. W zamian za odpowiedzialne podejście, badacze podobno mogą liczyć na prezent od Microsoftu w postaci gratyfikacji finansowej.
Mimo obecnych wydarzeń, Satya Nadella i spółka zachęcają wszystkich do współpracy z zakresu wychwytania błędów w kodzie.
Nasz zespół będzie nadal wspierał odpowiedzialne badania naukowe, dokładając wszelkich starań, aby szybko badać i usuwać luki w zabezpieczeniach mających wpływ na naszych klientów oraz publikować odpowiednie aktualizacje. Zawsze chętnie przyjmowaliśmy i nadal będziemy przyjmować zgłoszenia dotyczące luk w zabezpieczeniach od wszystkich osób za pośrednictwem naszego publicznego portalu dla badaczy, niezależnie od wcześniejszych kontaktów czy reputacji.
Firma zaznaczyła, że jej publiczny portal zgłaszania podatności pozostaje otwarty dla każdego rzetelnego programisty – bez względu na jego reputację oraz poczynania z przeszłości.
0 komentarzy