Microsoft critica exposição de falhas no Windows e é criticada de volta

Microsoft critica exposição de falhas do Windows e é criticada de volta (imagem ilustrativa: Vitor Pádua/Tecnoblog)

Em uma atitude inesperada, a Microsoft reclamou de um especialista em segurança que teria divulgado vulnerabilidades em ferramentas do Windows sem, antes, avisar a companhia dos problemas. Soa como algo compreensível. Mas esse atrito também expõe a, muitas vezes, complicada relação entre a empresa e “caçadores de bugs”.

De fato, o ritual padrão em circunstâncias do tipo consiste em avisar a organização responsável pelo software vulnerável, negociar um prazo para que correções sejam implementadas e somente então divulgar o problema. Dessa forma, a falha só se tornará conhecida publicamente quando houver solução para ela.

Mas, de acordo com a Microsoft, isso não ocorreu com vulnerabilidades recentes que ficaram conhecidas como RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma e MiniPlasma, e que envolvem ferramentas como Windows Defender (Segurança do Windows) e BitLocker:

As vulnerabilidades conhecidas como RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma e MiniPlasma não foram divulgadas de forma responsável.

Em resposta ao risco desnecessário criado por essas divulgações, nossas equipes de segurança têm trabalhado incansavelmente para entender o impacto, proteger nossos clientes e desenvolver atualizações de segurança.

Microsoft Security Response Center

Os problemas em questão foram publicados vagamente em um blog por um pesquisador que se identifica apenas como Nightmare Eclipse. A parte mais grave, porém, é que detalhes técnicos sobre as falhas foram compartilhados em repositórios no GitHub e GitLab (já suspensos).

Sem entrar em detalhes, a Microsoft informou que continuará adotando medidas judiciais e, se necessário, acionando autoridades policiais, quando problemas como esses forem expostos de modos que a companhia considera irresponsáveis.

Microsoft entende que falhas no Windows foram divulgadas de modo irresponsável (imagem ilustrativa: Vitor Pádua/Tecnoblog)

O outro lado: Nightmare Eclipse afirma ter tentado falar com a Microsoft

Em seu blog, Nightmare Eclipse alega que tentou comunicar as falhas à Microsoft, mas que a companhia não só não lhe deu a devida atenção como bloqueou o seu acesso ao Microsoft Security Response Center, plataforma onde falhas podem ser reportadas.

Olhando de fora, é difícil dizer quem está certo nessa história. Independentemente disso, outros especialistas em segurança aproveitaram o assunto para expressar o quão difícil é tratar de segurança com a Microsoft.

Um deles é Kevin Bueaumont, ex-funcionário da Microsoft que descobriu uma falha importante no Windows Recall, por exemplo. O especialista explica que não defende as ações de Nightmare Eclipse, mas foi crítico sobre a postura da empresa de classificar provas de bugs como “atividades criminosas”:

A criação e distribuição de exploits de prova de conceito para zero-days agora é considerada “atividade criminosa”? Quem na CELA [departamento jurídico] aprovou esse texto? A Microsoft é a maior distribuidora de zero-days, via GitHub. Não seguir os processos inventados de “divulgação responsável” não é ilegal.

Kevin Beaumont, especialista em segurança digital

Temos um exemplo recente de como a relação da Microsoft com especialistas em segurança pode ser problemática. No começo do mês, um pesquisador descobriu que o Edge salva senhas na memória em forma de texto simples. Alertada, a Microsoft respondeu que esse é um comportamento esperado.

Pegou mal. Tanto que, dez dias depois, a companhia admitiu que carregar senhas como texto no Edge não é uma abordagem segura e tratou de resolver o problema.

Microsoft critica exposição de falhas no Windows e é criticada de volta