Microsoft или ZDI: борьба за звание героя, покорившего уязвимость MSHTML

В индустрии кибербезопасности разразился очередной скандал. Команда Zero Day Initiative ( ZDI ) компании Trend Micro обвинила Microsoft в игнорировании их вклада в обнаружение критической уязвимости. По словам исследователей ZDI, они сообщили о проблеме еще в мае, но когда в июле Microsoft выпустила патч , она не упомянула их как источник информации.

Речь идет об уязвимости CVE-2024-38112 , затрагивающей MSHTML — движок браузера, ранее использовавшийся в Internet Explorer. Microsoft классифицировала ее как уязвимость подмены с оценкой серьезности 7,5 из 10 по шкале CVSS. ZDI, в свою очередь, считает, что это уязвимость удаленного выполнения кода, что потенциально гораздо опаснее.

Дастин Чайлдс, руководитель отдела информирования об угрозах ZDI, в эксклюзивном интервью The Register выразил недоумение по поводу действий Microsoft. Техногигант утверждает, что сообщение ZDI касалось только «глубинного исправления», но не поясняет, что конкретно подразумевается под этим термином.

Чайлдс охарактеризовал эксплойт как «весьма изобретательный» . По его словам, злоумышленники нашли способ «оживить зомби Internet Explorer». Им удалось заставить браузер загрузить инфостилер, главным образом нацеленный на кражу криптовалютных кошельков.

Хронология событий выглядит следующим образом: в середине мая ZDI обнаружила уязвимость и сообщила о ней Microsoft. После этого команда не получала никакой информации до выхода исправления во вторник, 9 июля. Чайлдс отметил, что еще в понедельник, 8 июля, статус проблемы в системе Microsoft Security Response Center (MSRC) имел статус «в разработке», что навело ZDI на мысль о том, что патч выйдет не раньше августа.

Неожиданностью для ZDI стал выпуск патча во вторник, 9 июля, в рамках ежемесячного «вторника обновлений» Microsoft. При этом в уведомлении об уязвимости Microsoft указала в качестве источника информации исследователя Хайфея Ли из Check Point Research, полностью проигнорировав вклад ZDI.

Согласно техническому анализу, опубликованному специалистами Trend Micro, Питером Гирнусом и Алиакбаром Захрави, группа киберпреступников под названием Void Banshee использовала эту брешь для атак на организации в Северной Америке, Европе и Юго-Восточной Азии. Целью была установка инфостилера Atlantida на компьютеры с Windows.

По словам Чайлдса, такая ситуация не уникальна для Microsoft и является симптомом более широкой проблемы в отрасли. Он отметил, что многие производители программного обеспечения, включая Phoenix Contact, Autodesk AutoCAD и Ivanti, иногда ведут себя так же.

Ситуация вызывает серьезную тревогу в сообществе исследователей безопасности. Чайлдс опасается, что подобное отношение может демотивировать специалистов сообщать об уязвимостях напрямую производителям, что в итоге может обернуться серьезными проблемами для конечных пользователей.

В попытке решить эту проблему Trend Micro анонсировала запуск программы Vanguard Awards на предстоящей конференции Black Hat в Лас-Вегасе. Цель инициативы — отметить исследователей и производителей, которые демонстрируют ответственный подход к раскрытию информации об уязвимостях и обеспечивают прозрачную коммуникацию.

Тем не менее, Чайлдс признает, что одних наград недостаточно для кардинального изменения ситуации. «На сегодняшний день отсутствуют эффективные механизмы, которые бы мотивировали производителей совершенствовать процесс раскрытия информации», — констатирует он.

После публикации этой истории Microsoft обновила свою документацию, добавив упоминание ZDI и Trend Micro в разделе «углубленной защиты», но без прямой связи с CVE-2024-38112. Представитель Microsoft заявил, что отчет ZDI «не соответствовал критериям для присвоения CVE», однако обновление устранило проблемы, о которых сообщили обе компании. Microsoft также отметила, что обсудила этот вопрос с ZDI и Check Point и ищет способы улучшить коммуникацию и поддержку исследователей.

Примечательно, что даже Хайфей Ли из Check Point был удивлен июльским обновлением Microsoft. Он написал в социальной сети X* (ранее Twitter): «Это не первый случай, когда Microsoft Security Response Center сообщает нам о планах выпустить патч в определенном месяце, но выпускает его раньше без предупреждения. Согласованное раскрытие информации не может быть односторонним процессом».

* Социальная сеть запрещена на территории Российской Федерации.