Το τελευταίο διάστημα έχουν δημοσιευτεί πολλά αποδεικτικά στοιχεία για τρωτά σημεία ασφαλείας στα Windows χωρίς να κυκλοφορήσει κάποια ενημέρωση ασφαλείας από την εταιρεία. Τέτοια τρωτά σημεία αξιοποιήθηκαν στα μη ενημερωμένα zero-day Windows RedSun, UnDefend και BlueHammer. Η Microsoft το αποδοκιμάζει αυτό και απειλεί με αγωγές. Ο ερευνητής που αποκάλυψε τα τρωτά σημεία των Windows αρνείται τις κατηγορίες.
Σε μια ανάρτηση ιστολογίου, το Κέντρο Απόκρισης Ασφαλείας της Microsoft (MSRC) εκφράζει την ενόχληση της εταιρείας για το ότι δεν ενημερώθηκε εκ των προτέρων για τα κενά ασφαλείας. Αυτό αποτελεί ουσιαστικά μέρος της καλής πρακτικής στον κλάδο της ασφάλειας πληροφορικής: Στο πλαίσιο των τυποποιημένων Συντονισμένων Γνωστοποιήσεων Τρωτών Σημείων (CVD από το Coordinated Vulnerability Disclosures), οι ερευνητές που αποκαλύπτουν μια ευπάθεια ενημερώνουν την εταιρεία και της δίνουν περιορισμένο χρόνο για να κυκλοφορήσει ενημερώσεις επιδιόρθωσης. Μεγάλοι οργανισμοί ανταμείβουν τακτικά τους ερευνητές που αποκαλύπτουν κενά ασφαλείας.
Το κάθε CVD αποσκοπεί στην αποτροπή της ενεργούς εκμετάλλευσης των κενών ασφαλείας, ενώ ταυτόχρονα ενθαρρύνει τους προμηθευτές λογισμικού να ασφαλίζουν τα προϊόντα τους άμεσα.
“Οι ασυντόνιστες αποκαλύψεις που διαθέτουν κώδικα απόδειξης ιδέας για μη ενημερωμένα ευάλωτα σημεία στα χέρια κακών παραγόντων δεν είναι ποτέ δικαιολογημένες και έχουν συνέπειες στον πραγματικό κόσμο”, γράφει το MSRC. Η Microsoft δεν θα διστάσει να μηνύσει τόσο τους πραγματικούς δράστες όσο και τους εκδότες”.
Προσοχή στο Μπούμερανγκ
Φυσικά η νομική δίωξη τρίτων που εκμεταλλεύονται τα κενά ασφαλείας είναι δύσκολη αλλά οι ειδικοί προειδοποιούν εδώ και καιρό ότι αδιαμφισβήτητα δεν βοηθάει, καθώς μειώνει την προθυμία συνεργασίας σε ολόκληρο το πλαίσιο.
“Από την εμπειρία μας, οι οργανισμοί με πιο ώριμα προγράμματα ασφαλείας είναι λιγότερο πιθανό να απειλήσουν με νομικές διαδικασίες επειδή κατανοούν ότι τέτοιες απειλές μειώνουν τις πιθανότητες μεταγενέστερων αναφορών για ελαττώματα ασφαλείας”, αναφέρει ένας νομικός οδηγός από το Cyberlaw Clinic at Harvard Law School και το Ίδρυμα Electronic Frontier (EFF). “Οι μεγαλύτεροι οργανισμοί χωρίς ιδιαίτερη εμπειρία στην ασφάλεια υπολογιστών μπορεί να είναι πιο διατεθειμένοι να απαντήσουν σε μια αναφορά ευπάθειας με επιστολές παύσης και διακοπής ή νομικές απειλές”.
Σε αυτό προστίθεται και ο κίνδυνος των φαινομένων Streisand: οι αγωγές μπορούν να επιστήσουν ακόμη περισσότερο την προσοχή του κοινού στις ελλείψεις ασφαλείας του ενάγοντος.
Η άλλη πλευρά
Η Microsoft έχει διαγράψει τον λογαριασμό GitHub του ερευνητή των εν λόγω ευπαθειών (ψευδώνυμο Nightmare Eclipse). Αυτό ήταν εύκολο, καθώς το GitHub ανήκει στη Microsoft, αλλά ήρθε πολύ αργά.
Συνολικά, ο Nightmare Eclipse (ή Chaotic Eclipse, Dead Eclipse ή απλά Eclipse) αποκάλυψε τουλάχιστον έξι zero-day της Microsoft μέσα σε έξι εβδομάδες: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma και MiniPlasma (και τα δύο στο CVE-2020-17103).
Σύμφωνα με μια ανάρτηση στο Blogspot, η “αποκάλυψη” του GreenPlasma δεν είναι τίποτα περισσότερο από ένα αντίγραφο του κώδικα που διατίθεται από το Project Zero της Google από το 2020. Αυτό το ελάττωμα των Windows επιτρέπει τη δημιουργία αυθαίρετων κλειδιών στο Μητρώο των Windows χωρίς εξουσιοδότηση.
Στο ίδιο blog με τίτλο “Nightmare Eclipse”, ο συγγραφέας απορρίπτει την κατηγορία ότι δεν ακολούθησε τους κανόνες CVD. Αντίθετα, η Microsoft μπλόκαρε σκόπιμα τον λογαριασμό του στο MSRC, μέσω του οποίου είχε αναφέρει τρωτά σημεία δωρεάν χωρίς να ζητήσει χρήματα. Μετά από πολλές ερωτήσεις σχετικά με τον λόγο του μπλοκαρίσματος, η Microsoft διέγραψε εντελώς τον λογαριασμό χωρίς να απαντήσει ποτέ στις ερωτήσεις.
Η κάποτε καλή φήμη του Κέντρου Απόκρισης Ασφαλείας της Microsoft έχει πληγεί σημαντικά.
“Αλλά για να εξοικονομήσει χρήματα, η Microsoft απέλυσε ειδικούς, αφήνοντας μόνο τους flowchart followers”, ανέφερε ο ερευνητής ασφάλειας Will Dormann στο Mastodon στις αρχές Απριλίου.
Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ….
