Исследователь по ИБ Уилл Дорманн раскритиковал работу Центра реагирования на угрозы безопасности Microsoft (MSRC) за отказ рассматривать его отчёт об уязвимости, пока белый хакер не предоставил компании подробное видео вместе с письменным объяснением обнаруженного инцидента с подтверждающими скриншотам.
«Я понимаю, что дети в наши дни не могут понять ничего, что не существует в TikTok. Но MSRC не принимает чётко сформулированный отчёт об уязвимости, к которому нет соответствующего видео», — заявил Дорманн.
В MSRC заявили Дорманну: «По просьбе предоставьте чёткое видео POC (доказательство концепции) того, как эксплуатируется указанная уязвимость. Без этого мы не сможем добиться никакого прогресса. Это будет высоко оценено». Разочарованный требованием Microsoft, в котором, по словам Дормана, должно показываться только ввод нескольких команд, которые уже были изображены им на скриншотах, и нажатие Enter в CMD, аналитик создал пятнадцатиминутное видео, напичканное сторонним контентом. В ролике также присутствует энергичная фоновая музыка в стиле техно, которая тратит время рецензента примерно на 14 минут бездействия.
«Я понимаю, что люди, выполняющие рутинную работу, в основном имеют фиксированные рабочие процессы, которые они проходят с общими последующими шагами. Но запрос видео, которое теперь фиксирует (помимо моих уже отправленных скриншотов) процесс набора текста и ответ Windows, отрисованный на экране, добавляет какую ценность сейчас? В довершение всего, при попытке отправить видео через портал Microsoft загрузка не удалась из‑за ошибки 403», — сообщил Дорманн.
По совпадению, жалобы Дорманна поступили в тот же день, когда специалисты MSRC опубликовали в блог компании заявление, в котором подчёркивались сильные стороны и ключевые особенности скоординированной с белыми хакерами и Microsoft программы раскрытия уязвимостей.
Дорманн рассказал, что запросы на видео можно найти на других платформах, таких как HackerOne и Bugcrowd, но, по его мнению, эти требования сигнализируют исследователям, что рецензент просто следует процессу, а не понимает сам отчёт.
«Недавно я сообщил Microsoft о трёх связанных, но разных уязвимостях. В двух отчётах меня запросили видеодоказательства эксплуатации уязвимости. Для вещей, которые даже не имеют смысла записывать на видео, отсюда мой пример видео, который я опубликовал. А третий отчёт был отклонён как не уязвимость с явными доказательствами того, что обработчик MSRC не удосужился на самом деле прочитать то, что я отправил. Исследователи, которые делают правильные вещи», заслуживают лучшего», — пояснил Дорманн.
В Microsoft сообщили The Register, что белые хакеры для получения вознаграждений должны подчиниться требованиям компании. «В некоторых случаях наша команда может попросить исследователя безопасности предоставить дополнительные доказательства вместе с их сообщением об уязвимости. Это не является обязательным требованием, но может помочь в обеспечении точной оценки и потенциального вознаграждения за ошибку», — заявили в Microsoft.
Источник новости: habr.com
