Microsoft vs Chaotic Eclipse
Microsoft nyilvánosan bírálta a Nightmare Eclipse (Chaotic Eclipse) néven ismert biztonsági kutatót, aki az elmúlt hónapokban több Windows zero-day sérülékenységet hozott nyilvánosságra javítás és koordinált egyeztetés nélkül. A vállalat szerint a javítatlan sérülékenységekhez tartozó működő kihasználókódok közzététele semmilyen körülmények között nem tekinthető felelős gyakorlatnak, mivel közvetlenül növeli a felhasználók és szervezetek kitettségét.
A kutató szerint a Microsoft nem kezelte megfelelően több sérülékenység-bejelentését, egyes esetekben elutasította vagy lezárta azokat, illetve a kutató Microsoft- és GitHub-fiókjai is korlátozás alá kerültek. Válaszul a kutató több Windows-hibát publikált teljes technikai részletességgel és kihasználókóddal együtt.
A nyilvánosságra hozott sérülékenységek között több olyan hiba szerepelt, amelyek a Windows biztonsági mechanizmusainak megkerülésére, jogosultságkiterjesztésre vagy a Microsoft Defender védelmi funkcióinak kijátszására adtak lehetőséget. Egyes hibák később CVE-azonosítót kaptak, és legalább néhány esetben aktív kihasználást is észleltek a gyakorlatban. Több sérülékenység bekerült a CISA ismerten kihasznált sérülékenységeket tartalmazó nyilvántartásába is.
A Microsoft az MSRC blogbejegyzésében hangsúlyozta, hogy a kiberbiztonság közös felelősség, és a koordinált sérülékenység-kezelés célja a gyártók, kutatók és felhasználók érdekeinek egyensúlyban tartása. A vállalat szerint a javítás előtti teljes közzététel lerövidíti a támadók számára szükséges fejlesztési időt, miközben a védekezők még nem rendelkeznek elérhető javítással.
Míg a gyártók a koordinált közzétételt támogatják, addig egyes kutatók szerint a nyilvánosság gyakran az egyetlen eszköz arra, hogy a beszállítók érdemben reagáljanak a bejelentésekre. Az AI által gyorsított exploitfejlesztés korszakában a sérülékenységek kezelésének és közzétételének kérdése egyre nagyobb stratégiai jelentőséggel bír.
