Исследователь безопасности Nightmare Eclipse, также известный как Chaotic Eclipse, вступил в публичный конфликт с Microsoft, публикуя ранее неизвестные уязвимости Windows. На данный момент он раскрыл уже шесть 0-day уязвимостей, а также пообещал «сокрушительное» обновление 14 июля. Об этом сообщает издание The Register.
Microsoft впервые официально прокомментировала ситуацию, заявив, что уязвимости RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma и MiniPlasma не были переданы компании через предусмотренные каналы раскрытия информации до их публикации. По данным корпорации, злоумышленники начали активно использовать BlueHammer, RedSun и UnDefend вскоре после появления рабочих эксплойтов в открытом доступе. При этом для YellowKey, GreenPlasma и MiniPlasma исправления пока отсутствуют, а для YellowKey компания оценивает вероятность эксплуатации как высокую.
В своем заявлении Microsoft раскритиковала публикацию эксплойтов для неисправленных уязвимостей и предупредила клиентов о возможных последствиях их использования злоумышленниками.
Сам Nightmare Eclipse утверждает, что Microsoft удалила его учетную запись, через которую он сообщал об ошибках безопасности, а также отказалась вести с ним диалог. Исследователь заявил, что не получил ни вознаграждения, ни признания за свою работу, после чего пообещал опубликовать новые материалы 14 июля.
Эксперты отрасли считают, что конфликт нанес реальный ущерб корпоративным пользователям. По словам системного инженера Мухаммада Касима Шахзада, один человек за шесть недель создал больше проблем для организаций, чем некоторые продвинутые хакерские группы за целый год. Специалисты также отмечают, что промежуток между публикацией уязвимости и ее использованием злоумышленниками сегодня измеряется уже часами, а не днями.
Бывшие сотрудники Microsoft и эксперты по безопасности заявили, что ситуация демонстрирует проблемы в процессе координированного раскрытия уязвимостей. По их мнению, компании следовало активнее взаимодействовать с исследователем и лучше информировать клиентов о рисках и способах защиты. При этом специалисты подчеркивают, что не поддерживают публикацию 0-day уязвимостей без исправлений, поскольку подобные действия напрямую увеличивают угрозу для пользователей Windows.
Ранее криптовалютная компания DxSale потеряла $7,3 млн из-за хакерского взлома.
