Обиженный на Microsoft специалист по кибербезопасности опубликовал шесть опасных уязвимостей для Windows

Исследователь безопасности Nightmare Eclipse, также известный как Chaotic Eclipse, вступил в публичный конфликт с Microsoft, опубликовав ранее неизвестные уязвимости Windows. На данный момент он уже раскрыл шесть уязвимостей 0-day, а также пообещал «разрушительное» обновление 14 июля. Об этом сообщил The Register.

В своем заявлении Microsoft раскритиковала публикацию эксплойтов для неисправленных уязвимостей и предупредила клиентов о возможных последствиях их использования злоумышленниками.

Сам Nightmare Eclipse утверждает, что Microsoft удалила его аккаунт, через который он сообщал об ошибках безопасности, а также отказалась вести с ним диалог. Исследователь заявил, что не получил никакого вознаграждения или признания за свою работу, а затем пообещал опубликовать новые материалы 14 июля.

Отраслевые эксперты считают, что конфликт нанес реальный вред корпоративным пользователям. По словам системного инженера Мухаммада Касима Шахзада, один человек за шесть недель создал больше проблем для организаций, чем некоторые продвинутые хакерские группы за целый год. Эксперты также отмечают, что разрыв между публикацией уязвимости и ее использованием злоумышленниками теперь измеряется часами, а не днями.

Бывшие сотрудники Microsoft и эксперты по безопасности заявили, что ситуация свидетельствует о проблемах в скоординированном раскрытии уязвимостей. По их мнению, компании следовало активнее взаимодействовать с исследователем и лучше информировать клиентов о рисках и методах защиты. При этом эксперты подчеркивают, что не поддерживают публикацию уязвимостей нулевого дня без исправлений, поскольку такие действия напрямую увеличивают угрозу для пользователей Windows.