Microsoft змінила свою позицію щодо незалежних дослідників кібербезпеки після скандалу, пов’язаного з виявленням вразливості в BitLocker. Компанія відмовилася від юридичних погроз на адресу фахівця під псевдонімом Nightmare Eclipse, припинивши практику прирівнювання неофіційного повідомлення про помилки до зловмисних дій. Цей крок покликаний покращити відносини з дослідниками безпеки та стимулювати відкритість у сфері захисту даних.
Конфлікт та його причини
Конфлікт виник після того, як Nightmare Eclipse опублікував робочі приклади експлойтів для низки серйозних помилок у Windows, не скориставшись офіційними каналами повідомлення. Серед виявлених ним проблем були такі:
- Ланцюжки локальної ескалації привілеїв BlueHammer (CVE-2026-33825).
- RedSun, що дозволяє блокувати роботу Microsoft Defender.
- YellowKey, яка по суті є бекдором для шифрування даних BitLocker.
У відповідь на дії дослідника, Microsoft застосувала свій Відділ цифрових злочинів, погрожувала судовими позовами та заблокувала акаунти Nightmare Eclipse на платформах GitHub і GitLab. Це викликало різку критику з боку експертної спільноти, яка застерігала, що подібний тиск може негативно вплинути на розвиток досліджень у сфері безпеки та залишити цифрові системи вразливими.
Нова політика Microsoft
У оновленій політиці безпеки Microsoft офіційно заявила, що не планує переслідувати осіб, які займаються легітимним пошуком вразливостей. Компанія також відмовилася від терміну “відповідальне розкриття” (responsible disclosure) на користь “координованого розкриття вразливостей” (coordinated vulnerability disclosure). Корпорація визнала, що деякі автоматизовані блокування облікових записів не відповідали стандартам професійної спільноти, і зобов’язалася надалі діяти у форматі добросовісної співпраці.
Подальші кроки та невирішені проблеми
Незважаючи на поступки з боку Microsoft, основна архітектурна загроза залишається невирішеною. Nightmare Eclipse не прийняв публічний сигнал до примирення і зазначив, що інші незалежні розробники тепер напряму передають йому інформацію про невиправлені баги, оминаючи офіційні корпоративні канали. Дослідник вже анонсував новий експлойт, який планує опублікувати у червні. Він буде спрямований на вразливості в життєвому циклі Secure Boot і потенційно дозволить повністю обходити апаратне шифрування BitLocker на віртуальних машинах.
Вердикт ІТ-Блогу: Важливе оновлення політики для всіх, хто займається дослідженням безпеки програмного забезпечення, та для користувачів, які цінують прозорість і співпрацю у сфері кіберзахисту.
Дізнатися більше на: mezha.ua