Спор Microsoft и исследователя безопасности о раскрытии уязвимостей перерос в открытую вражду

Microsoft кибербезопасность уязвимости раскрытие ии csoonline.com

Microsoft и известный исследователь кибербезопасности Nightmare Eclipse вступили в публичный конфликт о правилах ответственного раскрытия уязвимостей в 2026 году. Исследователь обвинил Microsoft в неэтичном поведении после того, как его попытки связаться с компанией были отвергнуты. — csoonline.com

Microsoft и известный исследователь кибербезопасности вступили в весьма публичный и довольно личный обмен колкостями о том, что должно означать ответственное раскрытие информации о кибербезопасности в 2026 году. 

Исследователь кибербезопасности под псевдонимом Nightmare Eclipse, который ранее сообщал о нескольких уязвимостях до выпуска исправлений, заявил, что пытался связаться с официальными лицами Microsoft, но получил отказ, что побудило его опубликовать подробности об этих ошибках.

«Когда я активно просил вас [Microsoft] связаться со мной, вы отказались, унизили меня и позаботились о том, чтобы оскорбить меня на глазах у других. Вы позорите меня публично в вашем уведомлении CVE-2026-45585, хотя вы буквально удалили учетную запись Microsoft, через которую я сообщал вам об ошибках, и я не получил за это ни копейки, и все равно счастливо делал это как идиот», — написал исследователь, добавив, что Microsoft теперь удалила его учетную запись GitHub. «Вы доказываете всем, что активно обостряете этот конфликт, но я больше не буду умолять вас».

Затем исследователь сделал загадочную угрозу: «Запомните эту дату — 14 июля, я позабочусь о том, чтобы ваши кости были переломаны в тот день».

В другой публикации исследователь был еще более прямолинеен: «Мне лично [в Microsoft] сказали, что они разрушат мою жизнь, и они это сделали», добавив, что Microsoft «сделает все, кроме поддержки исследовательского сообщества, я не буду раскрывать подробности, но они сильно саботируют людей».

Microsoft ответила собственным постом, в котором говорится, что некоторые уязвимости, раскрытые исследователем, «не были раскрыты ответственно» и что «неоправданный риск был создан этими раскрытиями», добавив: «Нескоординированные раскрытия, которые передают proof-of-concept код для необновленных уязвимостей в руки злоумышленников, никогда не могут быть оправданы и имеют реальные последствия».

Затем настала очередь Microsoft перейти на личный уровень, с завуалированным намеком на то, что у исследователя плохая репутация. «Мы всегда приветствовали и будем приветствовать сообщения об уязвимостях от кого угодно через наш общедоступный портал для исследователей, независимо от прошлых взаимодействий или репутации», — говорилось в сообщении.

Однако один из старших руководителей службы безопасности Microsoft опубликовал несколько более оптимистичное сообщение, предполагая, что компании, возможно, придется пересмотреть подход к обработке отчетов об ошибках в области кибербезопасности.

«На данный момент мы не меняем наши критерии оценки ошибок или критерии, которые мы используем для принятия решения о необходимости исправления, хотя мы продолжим оценивать ситуацию по мере ее развития. Серьезность по-прежнему основана на реальном влиянии и возможности эксплуатации, опираясь на полный набор сигналов в Security Update Guide», — написал Том Галлахер, вице-президент по инженерии в Центре реагирования на инциденты безопасности Microsoft (MSRC). 

«Мы продолжим опираться на предсказуемый ритм и дисциплинированный процесс, адаптируясь по мере необходимости к текущим условиям», — сказал он. «В свою очередь, мы призываем вдумчиво рассмотреть, соответствуют ли практики, которые хорошо работали для ландшафта исправлений несколько лет назад, все еще тому, куда движется этот ландшафт. Основы не изменились. Скорость, с которой их необходимо применять, меняется».

CSOonline обратился как к Microsoft, так и к Nightmare Eclipse, но ни одна из сторон не предоставила никаких разъяснений или дополнительных комментариев к моменту публикации.

Фрустрация с обеих сторон

Одной из проблем, лежащих в основе дебатов о политике раскрытия информации в области кибербезопасности, является то, что многие исследователи считают, что их сообщения часто игнорируются или исправление неоправданно задерживается крупными вендорами, включая Microsoft. 

К разочарованию исследователей добавляет тот факт, что вендоры часто плохо информируют о ходе решения заявленной проблемы безопасности. 

Но у вендоров есть своя жалоба: они не могут быстро устранить все многочисленные уязвимости, о которых им сообщают, из-за ограниченных ресурсов, и им приходится расставлять приоритеты в том, что они исправляют.

Смежная проблема заключается в убеждении, что крупные вендоры, включая Microsoft, быстро отдадут приоритет исправлениям, как только уязвимость станет публичной; одним из примеров стал недостаток в Microsoft Authenticator, о котором Microsoft знала восемь лет, прежде чем исправить его после обнародования.

Обе стороны могут быть правы

Консультанты и руководители служб кибербезопасности заявили, что в данном случае обе стороны приводят веские аргументы. 

«Microsoft права в том, что не скоординированные публикации уязвимостей нулевого дня создают реальный и немедленный риск для клиентов, а исследователи правы в том, что вендоры иногда начинают действовать, только когда их подталкивают», — сказал консультант по кибербезопасности Брайан Левин, исполнительный директор FormerGov. «Обе истины могут существовать одновременно».

И Флавио Вилланустре, CISO группы LexisNexis Risk Solutions, добавил: «Крик души исследователя безопасности звучит так, будто происходит что-то злонамеренное. Если исследователь считает, что [Microsoft] действовала неэтично или незаконно, и имеет доказательства в этом отношении, он мог бы подать жалобы в соответствующие органы, а не писать в блоге. В данном случае я склонен больше верить Microsoft».

Гэри Лонгсайн, генеральный директор Intrinsic Security, также выступил против Nightmare Eclipse, поставив под сомнение, действует ли он как объективный исследователь безопасности.

«У этого человека могут быть законные претензии к Microsoft, однако законные исследователи безопасности так не поступают», — сказал он. «Я не делаю ничего, что наносит ущерб буквально миллиардам невинных людей, в качестве возмездия за любое оскорбление, которое я могу воспринять. Это атакующий, противник, а не исследователь безопасности».

Эрозия доверия

Кроме того, Ишрак Хан, генеральный директор Kodezi, поставщика инструментов для повышения производительности кодирования, заявил, что обеспокоен эмоциональными аспектами обмена мнениями между исследователем и Microsoft, поскольку это подрывает доверие, а эта эрозия потенциально является самой большой опасностью.

«Исследователь, похоже, считает, что отношения потерпели крах задолго до того, как произошли раскрытия. Читая публичные сообщения, повторяющаяся тема — это не просто исследование уязвимостей, а разочарование в общении, доверии и доступе к процессу раскрытия информации», — сказал Хан. «Независимо от того, верны ли эти утверждения, исследователь явно считает, что частные каналы перестали работать, и что эскалация была единственным оставшимся вариантом».

И эта эрозия доверия, по словам Хана, является критической проблемой, поскольку ИИ, особенно автономные агенты, потребует гораздо большего доверия между вендорами и исследователями. 

«Отрасль вступает в новую эру обнаружения уязвимостей. Мы видим, как все более совершенные системы ИИ обнаруживают ошибки, определяют пути атак и помогают исследователям способами, которые были невозможны еще несколько лет назад. Объем обнаруженных уязвимостей растет, в то время как время между обнаружением и потенциальной эксплуатацией сокращается», — сказал Хан. «Это меняет динамику раскрытия информации. Исторически исследователи и вендоры работали в рамках временных рамок, измеряемых месяцами. Сегодня открытия могут распространяться по всему миру в течение нескольких часов. Сбой в доверии, который когда-то мог затронуть лишь нескольких человек, теперь может затронуть целые экосистемы».

Он добавил: «Реальность такова, что ответственное раскрытие информации работает только тогда, когда обе стороны считают, что система функционирует. Исследователи должны быть уверены, что их находки будут восприняты всерьез. Вендоры должны быть уверены, что исследователи предоставят им достаточно времени для защиты клиентов. Как только одна из сторон теряет веру в этот процесс, вся модель становится хрупкой».

«Меня беспокоит то, что эти споры становятся все более публичными, все более конфронтационными и все более личными. Как только обсуждения вопросов безопасности переходят от технических фактов к вопросам намерений, репутации и мотивации, защита клиентов рискует отойти на второй план по сравнению с самим конфликтом».

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: