在一名安全研究员公开发布微软产品中一系列未修补漏洞及其利用代码后,微软威胁将采取法律行动并报警处理。微软的这一含蓄威胁再次引发了关于安全研究员是否有责任披露影响大型科技巨头的漏洞的长期争论。
周三,微软发布博客文章,批评代号“Nightmare Eclipse”的研究员公开披露了包括BlueHammer、RedSun、UnDefend和YellowKey在内的一系列漏洞。这些漏洞影响了Windows内置杀毒引擎Defender和磁盘加密工具BitLocker等产品。
微软的核心投诉是该研究员未尝试向公司报告漏洞以便修复,微软称这才是“负责任”的做法。微软还指出,研究员在漏洞未修补前公开细节及利用方法,可能助长恶意黑客的攻击。据微软及美国网络安全机构CISA称,Nightmare Eclipse披露的部分漏洞已被黑客用于真实攻击。
微软表示:“我们的数字犯罪部门将继续对这些行为者及其犯罪活动的支持者采取行动,并根据需要与全球执法机构协调。”微软数字犯罪部门的使命是通过民事诉讼、技术对策、刑事举报及公私合作等多种策略保护公司。
Nightmare Eclipse在过去几周发布的一系列博客中称,曾与微软联系,但遭遇不公对待,包括被撤销微软安全响应中心账户访问权限,该门户是研究员报告漏洞的官方渠道。研究员暗示因此不得不公开漏洞,导致这些漏洞成为“零日漏洞”,即在披露或利用时软件厂商尚未知晓的安全缺陷。
研究员在微软拥有的GitHub及GitLab开源平台上发布了漏洞,相关账户已被封禁。
Nightmare Eclipse拒绝置评,微软除博客外未作进一步回应。
这场公开争执再次引发了一个长期且颇具争议的话题:独立安全研究员是否有义务确保他们发现的漏洞被修复?他们应付出多大努力促使厂商修补漏洞?
该领域已达成共识的是,研究员应获得报酬。尽管如今看似理所当然,但这经历了多年斗争,部分体现在2009年发起的“No More Free Bugs”运动中。近20年来,大小公司普遍设立“漏洞赏金”计划,私下披露漏洞并协调公开的研究员可获得高额奖金,最高可达六位数美元。
针对Nightmare Eclipse事件,众多研究员分享了向微软报告漏洞的糟糕经历。可以说,安全社区普遍对微软的处理方式表达不满。包括安全专家、Luta Security创始人Katie Moussouris在内的资深人士也发声。她曾在2000年代中后期任职微软,推动漏洞赏金计划并促使微软从“负责任披露”转向“协调披露”。
Moussouris对TechCrunch表示:“微软博客中提及‘负责任披露’是第一击,提及数字犯罪部门威胁起诉则过于激烈,只会让安全研究员对微软失去信任。”
她警告称,研究员对微软失去信任可能导致举报漏洞人数减少,进而“让我们所有人都变得更不安全”。
前微软员工、知名安全研究员Kevin Beaumont也在博客中批评微软立场,称其为“自找麻烦的垃圾堆”。
Beaumont写道:“零日漏洞的概念验证利用代码制作和传播现在成了‘犯罪行为’?负责任披露往往是为了保护产品所有者而非客户,用它来试图刑事起诉人是新的低点。”
*本文已更新,包含Nightmare Eclipse和微软的回应。
