Хакер #309. Самооборона по-хакерски
Известный ИБ-эксперт Уилл Дорманн (Will Dormann) раскритиковал компанию Microsoft, после того как специалисты Microsoft Security Response Center (MSRC) отказались рассмотреть его сообщение об уязвимости, пока он не приложит видеодемонстрацию проблемы к текстовому отчету.
Дорманн рассказал, что на прошлой неделе он обратился в MSRC с четким описанием бага и подтверждающими проблему скриншотами, однако ему ответили, что отчет не будет рассмотрен без видео.
«Пожалуйста, предоставьте четкое PoC-видео (proof-of-concept) того, как эксплуатируется данная уязвимость. Без этого мы не сможем добиться никакого прогресса. Мы будем очень признательны», — сообщили исследователю представители MSRC.
Разочарованный таким ответом Дорманн объясняет, что запрошенное видео демонстрировало бы только ввод команд, уже показанных на приложенных к отчету скриншотах, и нажатие клавиши Enter в CMD.
«Я понимаю, что в наши дни дети не могут понять ничего, если этого нет в TikTok. Но MSRC не принимает четко сформулированный отчет об уязвимости, к которому не прилагается соответствующее видео... Отлично. Вы хотите соблюдения [требований]? (Вредоносное) соблюдение [требований] — вот что вы получите», — пишет эксперт в Mastodon.
Эксперт отметил, что он понимает, что у людей, выполняющих черновую работу, есть «фиксированные рабочие процессы», и они вынуждены им следовать.
«Но просить видео, на котором запечатлен (помимо уже присланных мной скриншотов) сам процесс ввода текста и ответ Windows, отображаемый на экране… Что это дает?», — недоумевает Дорманн.
В итоге исследователь действительно подготовил для MSRC саркастический видеоролик с демонстрацией описанной в отчете проблемы.
Суммарно видео длится 15 минут, и в начале ролика мелькает скриншот из фильма «Образцовый самец» (Zoolander), в котором главный герой открывает «Центр для детей, которые плохо читают». Также в видео звучит громкий техно-трек, и почти 14 минут из 15 время рецензента откровенно тратится впустую.
Так как при попытке отправить видео через портал Microsoft, загрузка не удалась из-за ошибки 403, Дорманн опубликовал ролик на YouTube.
Как отмечает издание The Register, по ироничному стечению обстоятельств, жалобы Дорманна на работу MSRC появились в тот же день, когда команда MSRC опубликовала сообщение в блоге, где представители компании рассказывают о сильных сторонах и ключевых особенностях своей программы раскрытия уязвимостей.
При этом Дорманн сообщил изданию, что запросы на предоставление видео можно встретить и на других bug bounty платформах, таких как HackerOne и Bugcrowd. Однако требование предоставить видео сигнализирует о том, что рецензент просто следует процедуре и не вникает в суть отчета.
«Если исследователь делает все возможное, чтобы быть вежливым с вендорами, и пишет отчеты об уязвимостях, чтобы поделиться с ними, то поставщикам стоит по крайней мере сделать вид, что они относятся к этому серьезно, — говорит Дорманн. — Недавно я сообщил Microsoft о трех связанных, но разных уязвимостях. Для двух из них потребовались видеодоказательства эксплуатации (причем такие вещи вообще нет смысла снимать на видео, как в ролике, который я опубликовал), а третья уязвимость была отклонена, и это явное доказательство того, что сотрудник MSRC даже не потрудился прочитать то, что я отправил. Исследователи, поступающие правильно, заслуживают большего».
В ответ на критику Дорманна представители Microsoft дали журналистам следующий комментарий:
«В некоторых случаях наша команда может попросить исследователя безопасности предоставить дополнительные доказательства при отправке информации об уязвимости. Это не является обязательным требованием, но может помочь в обеспечении точной оценки и потенциального вознаграждения за ошибку».
