Microsoft blokirao GitHub račun istraživača nakon objave Windows zero-day exploita

Microsoft je, prema pisanju Tom's Hardwarea, blokirao GitHub račun istraživača sigurnosti Nightmare-Eclipsea, poznatog i kao Chaotic Eclipse, nakon objave zero-day exploita za Windows. Istraživač je zbog toga prešao na GitLab, a navodi se i da je Microsoft ranije uklonio račun koji je koristio za prijavljivanje pogrešaka. Cijeli slučaj produbio je već postojeći sukob između Eclipsea i Microsofta oko načina na koji su sigurnosni problemi prijavljivani i obrađivani.

U objavi na blogu Eclipse tvrdi da je potez bio osvetnički, da je pokušavao komunicirati s Microsoftom, ali bez uspjeha, te da za to nije dobio nikakav novac. To se, kako navodi Tom's Hardware, vjerojatno odnosi na isplate iz programa MSRC bug bounty, u kojem su nagrade za pojedine zero-day ranjivosti na endpointima navedene do 30.000 do 100.000 dolara, a za probijanje Hyper-V-a do 250.000 dolara. Eclipse također tvrdi da će 14. srpnja uslijediti svojevrsna odmazda, potencijalno u obliku novih objava exploita.

Sukob traje od početka travnja, kada je Eclipse objavio BlueHammer zero-day bez prethodne obavijesti. U svojim objavama, kako piše Tom's Hardware, koristi vrlo oštar i neujednačen jezik te iznosi tvrdnje da je Microsoft ignorirao ili odbio njegove prijave i da mu je time nanio financijsku štetu. Među navodima je i tvrdnja da mu je osobno rečeno da će mu Microsoft „uništiti život”, kao i poruke o navodnom dead-man switchu te prijetnja da će „kosti” Microsoftu biti „slomljene”.

U raspravu se uključio i stručnjak William Dormann iz Tharrosa, koji je rekao da je MSRC nekad bio vrlo dobar za suradnju, ali da je Microsoft, kako tvrdi, otpustio stručne ljude i ostavio manje iskusne osobe. Dormann je također rekao da ga ne bi iznenadilo ako je Microsoft zatvorio slučaj nakon što istraživač nije htio poslati video exploita, jer je to, prema njegovim riječima, navodno sada zahtjev MSRC-a. Microsoft zasad nije iznio detalje o ovim događajima.

Tom's Hardware navodi i da baniranje GitHub računa ne mijenja činjenicu da je kod već javno dostupan, pa se potez u praksi više doima kao loš PR nego kao sigurnosna mjera. U istom kontekstu podsjeća se i na tehnički trag koji je Eclipse iza sebe ostavio: BlueHammer i RedSun omogućuju SYSTEM pristup preko Defendera, UnDefend isključuje Defender, GreenPlasma dobiva SYSTEM pristup kroz CTFMon servis, MiniPlasma koristi propust u Windows Cloud Filter driveru, a YellowKey je ranjivost u BitLockeru koja navodno omogućuje otvaranje šifriranih diskova. Za BlueHammer, RedSun i UnDefend navedeno je i da su potvrđeno u aktivnoj eksploataciji u divljini, dok se za ostale kaže da to nije teško zamisliti zbog objavljenog dokaznog koda.