A comunidade de segurança cibernética acusou a Microsoft de ameaçar com ações legais contra pesquisadores insatisfeitos que expõem vulnerabilidades do Windows fora do processo normal de divulgação da empresa.
A polêmica trata de pesquisadores conhecidos como “Nightmare Eclipse”. seis Falhas de “dia zero” não corrigidas foram descobertas nas últimas semanas. Isso inclui uma exploração de prova de conceito para uma vulnerabilidade do Windows conhecida como BlueHammer, que pode permitir que invasores elevem seus privilégios para níveis de administrador.
Os pesquisadores normalmente enviam essas descobertas ao Microsoft Security Response Center (MSRC) para correção, a fim de evitar que hackers as explorem. No entanto, Nightmare Eclipse ignorou deliberadamente os caminhos públicos responsáveis, citando alegações de que a Microsoft os tratou injustamente.
“Eles limparam o chão comigo e trouxeram à tona todas as suas brincadeiras infantis”, disse a pesquisadora. escreveu Não entrei em detalhes no mês passado. “A certa altura, me senti tão mal. Me perguntei se estava lidando com uma grande empresa ou com alguém que estava feliz em me ver sofrer, mas acho que foi um julgamento coletivo.”
As tensões só aumentaram depois que mais falhas foram reveladas em Nightmare Eclipse este mês. escrita: “Em vez de resolver a situação como os adultos, a Microsoft escolheu o pior e retirou todos os jogos infantis que pôde.”
Na quarta-feira, a gigante do software respondeu com sua própria postagem no blog reiterando a necessidade de divulgação responsável para evitar que hackers abusem dessas falhas e incluam ameaças legais.
“Divulgações descoordenadas que colocam códigos de prova de conceito para vulnerabilidades não corrigidas nas mãos de atores mal-intencionados nunca podem ser justificadas e têm consequências reais.” escreveuMais tarde, ele acrescentou: “Nossa Unidade de Crime Digital continuará a abrir processos contra esses atores. Pessoas que promovem atividades criminosas – Colaborar com agências de aplicação da lei em todo o mundo, conforme necessário.”
A Microsoft prosseguiu dizendo que “a divulgação fora da moderação adequada” poderia prejudicar os clientes. Mas a parte final da acusação potencial contra Nightmare Eclipse provocou alvoroço na comunidade de segurança cibernética porque pode-se argumentar que os pesquisadores estavam prestando um serviço à Microsoft ao expor bugs críticos.
Este tweet não está disponível no momento. Ele pode estar carregando ou pode ter sido removido.
“A Microsoft fará de tudo para impedir que as pessoas publiquem dias zero, exceto consertar o MSRC.” twittou Sou Zack Korman, CTO do provedor de segurança cibernética Pistachio. Outros pesquisadores compartilhar deles história de relatório A Microsoft tem as falhas, mas a empresa se recusa a pagar uma indenização ou resolve oficialmente o problema e lança discretamente um patch mais tarde.
Gabriel Landau, pesquisador de segurança cibernética e desenvolvedor de um programa antimalware para Windows, escreveu: “A MSRC me envolveu durante meses para me manter quieto e quebrou suas promessas… A interação deixou um gosto tão ruim na minha boca que nunca mais quero interagir com eles novamente”.
O engenheiro de suporte da Nvidia, Eric Warnke, também escreveu Da Microsoft: “Você não pode forçar pesquisadores de segurança independentes. Você só pode tornar o trabalho conjunto mais ou menos atraente. A Microsoft tornou isso menos atraente e agora está escrevendo postagens em blogs sobre responsabilidade compartilhada. Este é o CYA, não um programa de bugs projetado para encorajar relatórios.”
Escolhas do Editor
Este tweet não está disponível no momento. Ele pode estar carregando ou pode ter sido removido.
Kevin Beaumont, pesquisador de segurança que já trabalhou na Microsoft, duvida que Remond consiga processar com sucesso qualquer pessoa que viole as políticas de divulgação responsável da empresa, que muitas vezes são definidas pela própria empresa.
“Se a estratégia da Microsoft é criminalizar o não cumprimento de uma estrutura arbitrária de ‘divulgação responsável’, então boa sorte em defendê-la no tribunal, porque há uma tonelada de decisões prévias dentro da Microsoft e fatos que serão revelados ao longo do caminho.” escreveu O Github, de propriedade da Microsoft, geralmente hospeda explorações de software e técnicas de hacking, mas não necessariamente as remove.
“A Microsoft precisa se concentrar na construção de produtos melhores e mais seguros que não possam ser adulterados por uma só pessoa”, acrescentou.
Enquanto isso, as páginas do GitHub e do GitLab para Nightmare Eclipse foram excluídas, junto com a conta MSRC, evitando que futuros bugs sejam devidamente divulgados à Microsoft. No entanto, o pesquisador ser ameaçado Publicou uma nova vulnerabilidade em 14 de julho e avisou: “Vou quebrar seus ossos naquele dia”.
Introdução aos especialistas
Michael Kahn
repórter sênior
experiência
Sou jornalista há mais de 15 anos. Comecei como repórter de escolas e cidades em Kansas City e entrei na Garon em 2017, cobrindo serviços de Internet via satélite, segurança cibernética, hardware de PC e muito mais. Atualmente moro em São Francisco, mas já passei mais de 5 anos na China cobrindo o setor de tecnologia do país.
Desde 2020, cobri o lançamento e o crescimento explosivo do serviço de internet via satélite Starlink da SpaceX, escrevendo mais de 600 artigos sobre disponibilidade e lançamento de recursos, bem como batalhas regulatórias em torno da expansão da constelação de satélites, batalhas com provedores concorrentes como AST SpaceMobile e Amazon, e esforços para expandir para serviços móveis baseados em satélite. Vasculhei os arquivos da FCC em busca das últimas notícias e dirigi até uma parte remota da Califórnia para testar o serviço de celular da Starlink.
Também cobrimos ameaças cibernéticas, desde grupos de ransomware até o surgimento de malware baseado em IA. Como revelou meu relatório conjunto, a FTC forçou a Avast a pagar aos consumidores US$ 16,5 milhões em 2024 e 2025 por coletar secretamente suas informações pessoais e vendê-las a clientes terceiros. inspeção Com placa-mãe.
Também cobrimos o mercado de placas gráficas para PC. A escassez da era pandêmica me levou a acampar na frente da Best Buy para comprar um RTX 3000. Agora estou observando para ver como a escassez de memória baseada em IA impacta o mercado geral de eletrônicos de consumo. Estou sempre interessado em aprender mais, então deixe sua opinião nos comentários e me envie suas dicas.
Leia a biografia completa
