Auf den Punkt: Ein Sicherheitsforscher und Microsoft streiten öffentlich über Disclosure-Praktiken. Der Forscher beschwert sich über abgelehnte Kommunikation und gelöschte Accounts; Microsoft argumentiert, dass unkontrollierte Offenlegungen reale Risiken schaffen. Ein Microsoft-Executive deutet an, dass Patch-Praktiken überprüft werden könnten.
Ein bekannter Cybersecurity-Forscher und Microsoft tragen einen öffentlichen Streit über die verantwortungsvolle Offenlegung von Sicherheitslücken aus. Der Forscher wirft dem Konzern mangelnde Kommunikation vor, Microsoft wiederum kritisiert unkontrollierte Disclosures, die Exploit-Code in die Hände von Angreifern geben.
Ein unter dem Pseudonym Nightmare Eclipse bekannter Cybersecurity-Forscher und Microsoft sind in einen intensiven Schlagabtausch über Standards für die Offenlegung von Sicherheitslücken verwickelt. Der Forscher hatte mehrfach versucht, mit Microsoft-Verantwortlichen in Kontakt zu treten und wurde nach eigenen Angaben abgewiesen. Daraufhin veröffentlichte er Details zu noch nicht gepatchten Sicherheitslücken.
In seinen Posts warf der Forscher Microsoft vor, ihn öffentlich erniedrigt und beleidigt zu haben. Er kritisierte zudem, dass Microsoft seinen verwendeten Account löschte und sein GitHub-Konto sperrte, obwohl er kostenlos Sicherheitslücken gemeldet habe. In einer kontroversen Äußerung erwähnte er ein Datum (14. Juli) und deutete an, „sicherzustellen“, dass „deine Knochen zerschmettert werden“.
In weiteren Postings beschrieb der Forscher ein System systematischer Behinderung: Microsoft werde „alles tun, nur nicht die Forschungsgemeinschaft unterstützen“ und sabotiere aktiv Forscher, ohne weitere Details zu nennen.
Microsoft antwortete mit einer eigenen Stellungnahme und argumentierte, dass einige der vom Forscher offengelegten Lücken nicht verantwortungsvoll gemeldet wurden. Das Unternehmen betonte: „Unkoordinierte Offenlegungen, die Proof-of-Concept-Code für ungepatchte Anfälligkeit in die Hände böser Akteure geben, sind niemals zu rechtfertigen und haben reale Konsequenzen.“ Microsoft spielte dabei auf die angeblich schlechte Reputation des Forschers an und betonte, dass es weiterhin Vulnerability-Meldungen über sein öffentliches Portal willkommen heißt.
Tom Gallagher, Vice President of Engineering im Microsoft Security Response Center (MSRC), äußerte sich diplomatischer. Er signalisierte, dass Microsoft seine Herangehensweise bei Bug-Reports überdenken könnte. Gallagher bekräftigte, dass Schweregrad weiterhin auf realer Exploitierbarkeit basieren werde, räumte aber ein: „Das Tempo, mit dem diese Grundlagen angewendet werden müssen, ändert sich.“ Er forderte Forscher auf, zu überprüfen, ob Praktiken von vor wenigen Jahren noch dem aktuellen Bedrohungsumfeld entsprechen.
Der Streit offenbart ein grundlegendes Spannungsverhältnis in der Cybersecurity-Industrie: Viele Forscher fühlen sich von großen Anbietern ignoriert oder erleben unreasonable Verzögerungen bei Patches. Hinzu kommt schlechte Kommunikation über den Status gemeldeter Probleme. Andererseits argumentieren Hersteller, dass endliche Ressourcen Priorisierungen erzwingen und nicht jede gemeldete Lücke sofort adressiert werden kann.
Quelle: www.csoonline.com
Lumi AI News – KI-assistierte Kuratierung gemaess Art. 50 EU AI Act.