一名安全研究员公开了微软产品中未修补的漏洞——还附带了利用代码——而微软的回应不是修复它们,而是威胁要报警。微软隐晦的法律威胁重新点燃了一场长期争论:安全研究员是否亏欠那些连自己软件都懒得修补的万亿科技巨头什么。
周三,微软发布了一篇博客文章,批评名为“Nightmare Eclipse”的研究员公开披露了一系列漏洞,名字包括BlueHammer、RedSun UnDefend和YellowKey——听起来不像安全漏洞,更像是被淘汰的《恐龙战队》反派。这些漏洞影响了包括Windows内置杀毒引擎Defender和磁盘加密工具BitLocker在内的产品。
微软的核心抱怨是,研究员没有私下报告漏洞,以便公司先修复。按照微软的说法,这才是“负责任”的做法。公司还辩称,在补丁可用之前发布利用细节可能帮助了恶意黑客——事实上,根据微软和美国网络安全机构CISA的说法,其中一些漏洞此后已被用于真实世界的攻击。
“我们的数字犯罪部门将继续对这些行为者以及助长其犯罪活动的人提起诉讼——必要时与全球执法机构协调,”微软写道。根据其网站,数字犯罪部门的使命包括“民事法律行动、技术对策、刑事举报和公私合作伙伴关系”。所以,基本上,他们就是公司版的“我要告诉我爸你欺负我”。
在过去几周的一系列博客中,Nightmare Eclipse声称他们曾与微软联系,但据称受到了不公正对待——包括他们的微软安全响应中心账户被吊销。他们的言下之意是,他们别无选择,只能公开披露这些漏洞,实际上将它们变成了零日漏洞:即在披露时软件制造商未知的安全缺陷。
该研究员在GitHub和GitLab上发布了这些漏洞——这两个平台上的账户都已被封禁。Nightmare Eclipse和微软均未回应置评请求。
这场公开争吵重新点燃了一场仍有争议的辩论:独立安全研究员是否有责任确保他们发现的漏洞得到修复?他们必须走多远才能确保存在漏洞的公司真正修复它们?
这场辩论的一部分已经解决:研究员应该得到报酬。经过多年的斗争——部分体现在2009年的“No More Free Bugs”运动——但近20年后,大多数公司为私下披露支付漏洞赏金,金额可达六位数甚至更高。
针对这一最新争议,无数研究员分享了他们向微软报告漏洞的糟糕经历。网络安全社区公开表示不满。这包括Luta Security创始人Katie Moussouris,她在2000年代中期到后期在微软工作时开创了漏洞赏金,并说服公司采用“协调披露”而非“负责任披露”。
“在我的书中,使用‘负责任’披露这个词是第一次打击,”Moussouris告诉TechCrunch。“加上通过提及[数字犯罪部门]来威胁起诉,这太过分了,只会导致安全研究员不信任微软。”她警告说,失去研究员的信任可能会产生寒蝉效应,使“我们所有人都更不安全”。
安全研究员、前微软员工Kevin Beaumont也批评了该公司,称其立场是“自己制造的垃圾堆”。“为零日漏洞创建和分发概念验证利用现在是‘犯罪活动’了?”Beaumont写道。“负责任披露现在成了……