Resumo
- Microsoft criticou publicamente pesquisador por supostamente divulgar vulnerabilidades do Windows sem avisá-la antes;
- em sua defesa, pesquisador alega ter tentado contato, mas que foi bloqueado pela companhia, situação que gerou debate;
- especialistas apontam que, muitas vezes, é difícil tratar de vulnerabilidades com a Microsoft.
Em uma atitude inesperada, a Microsoft reclamou de um especialista em segurança que teria divulgado vulnerabilidades em ferramentas do Windows sem, antes, avisar a companhia dos problemas. Soa como algo compreensível. Mas esse atrito também expõe a, muitas vezes, complicada relação entre a empresa e “caçadores de bugs”.
De fato, o ritual padrão em circunstâncias do tipo consiste em avisar a organização responsável pelo software vulnerável, negociar um prazo para que correções sejam implementadas e somente então divulgar o problema. Dessa forma, a falha só se tornará conhecida publicamente quando houver solução para ela.
Mas, de acordo com a Microsoft, isso não ocorreu com vulnerabilidades recentes que ficaram conhecidas como RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma e MiniPlasma, e que envolvem ferramentas como Windows Defender (Segurança do Windows) e BitLocker:
As vulnerabilidades conhecidas como RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma e MiniPlasma não foram divulgadas de forma responsável.
Em resposta ao risco desnecessário criado por essas divulgações, nossas equipes de segurança têm trabalhado incansavelmente para entender o impacto, proteger nossos clientes e desenvolver atualizações de segurança.
Microsoft Security Response Center
Os problemas em questão foram publicados vagamente em um blog por um pesquisador que se identifica apenas como Nightmare Eclipse. A parte mais grave, porém, é que detalhes técnicos sobre as falhas foram compartilhados em repositórios no GitHub e GitLab (já suspensos).
Sem entrar em detalhes, a Microsoft informou que continuará adotando medidas judiciais e, se necessário, acionando autoridades policiais, quando problemas como esses forem expostos de modos que a companhia considera irresponsáveis.
O outro lado: Nightmare Eclipse afirma ter tentado falar com a Microsoft
Em seu blog, Nightmare Eclipse alega que tentou comunicar as falhas à Microsoft, mas que a companhia não só não lhe deu a devida atenção como bloqueou o seu acesso ao Microsoft Security Response Center, plataforma onde falhas podem ser reportadas.
Olhando de fora, é difícil dizer quem está certo nessa história. Independentemente disso, outros especialistas em segurança aproveitaram o assunto para expressar o quão difícil é tratar de segurança com a Microsoft.
Um deles é Kevin Bueaumont, ex-funcionário da Microsoft que descobriu uma falha importante no Windows Recall, por exemplo. O especialista explica que não defende as ações de Nightmare Eclipse, mas foi crítico sobre a postura da empresa de classificar provas de bugs como “atividades criminosas”:
A criação e distribuição de exploits de prova de conceito para zero-days agora é considerada “atividade criminosa”? Quem na CELA [departamento jurídico] aprovou esse texto? A Microsoft é a maior distribuidora de zero-days, via GitHub. Não seguir os processos inventados de “divulgação responsável” não é ilegal.
Kevin Beaumont, especialista em segurança digital
Temos um exemplo recente de como a relação da Microsoft com especialistas em segurança pode ser problemática. No começo do mês, um pesquisador descobriu que o Edge salva senhas na memória em forma de texto simples. Alertada, a Microsoft respondeu que esse é um comportamento esperado.
Pegou mal. Tanto que, dez dias depois, a companhia admitiu que carregar senhas como texto no Edge não é uma abordagem segura e tratou de resolver o problema.
Microsoft critica exposição de falhas no Windows e é criticada de volta
