Microsoft er havnet i en usædvanlig konflikt om offentliggørelsen af flere alvorlige Windows-sårbarheder.
På kort tid er oplysninger om ikke-lukkede sikkerhedshuller i Windows nemlig blevet lagt frem offentligt, uden at Microsoft først har haft mulighed for at udsende sikkerhedsopdateringer.
Det gælder blandt andet Windows zero days med navnene RedSun, UnDefend og BlueHammer, som efterfølgende også er blevet udnyttet.
Det har fået Microsofts Security Response Center (MSRC) til at reagere skarpt.
I et blogindlæg kritiserer Microsoft, at sårbarhederne ikke blev indberettet til selskabet på forhånd, som ellers er normal praksis i sikkerhedsbranchen.
Ved såkaldt Coordinated Vulnerability Disclosure (CVD) får leverandøren besked om en sårbarhed og en periode til at rette fejlen, før tekniske detaljer bliver offentliggjort med det formål at beskytte brugerne, før eventuelle cyberkriminelle får adgang til konkrete oplysninger om hullet.
Ifølge Microsoft er den proces blevet tilsidesat.
"Ukoordinerede offentliggørelser, hvor proof-of-concept-kode til endnu ikke lukkede sårbarheder havner i hænderne på ondsindede aktører, kan aldrig forsvares og har konsekvenser i den virkelige verden," skriver Microsoft.
Selskabet gør samtidig klart, at det kan gå rettens vej mod både dem, der udnytter sårbarhederne, og dem, der offentliggør materialet. Det kan ifølge Microsoft ske i samarbejde med politimyndigheder verden over.
Kan ramme Microsoft i nakken
Microsofts hårde linje rammer ned i en gammel konflikt i it-sikkerhedsverdenen.
Der er bred enighed om, at personer, der aktivt misbruger sikkerhedshuller til angreb, kan retsforfølges, men omvendt er trusler om juridiske skridt rettet mod sikkerhedsforskere langt mere kontroversielle.
Kritikere har i årevis advaret om, at den slags kan ramme virksomhederne selv. For hvis forskere risikerer sagsanlæg, kan de blive mindre villige til at rapportere sårbarheder næste gang.
Ifølge det tyske medie Heise fremgår den pointe også af en juridisk vejledning fra Cyberlaw Clinic ved Harvard Law School og Electronic Frontier Foundation fra 2020.
Her lyder det, at organisationer med modne sikkerhedsprogrammer typisk er mindre tilbøjelige til at true med retssager, fordi de forstår, at denne fremgangsmåde kan mindske chancen for fremtidige indberetninger.
Seks zero days på seks uger
Ifølge mediet har Microsoft allerede slettet GitHub-kontoen til den person eller gruppe, der menes at stå bag flere af offentliggørelserne.
GitHub ejes af Microsoft, men sletningen kom altså for sent til at forhindre, at materialet blev spredt.
Vedkommende optræder under navne som Nightmare Eclipse, Chaotic Eclipse, Dead Eclipse eller blot Eclipse.
I alt skal Eclipse på seks uger have offentliggjort seks Microsoft zero days: BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma og MiniPlasma.
Eclipse afviser Microsofts beskyldninger.
I bloggen "Nightmare Eclipse" kalder vedkommende anklagen om ikke at have fulgt reglerne for koordineret offentliggørelse for ærekrænkende.
Ifølge Eclipse havde Microsoft bevidst blokeret den MSRC-konto, som tidligere var blevet brugt til helt gratis at rapportere sårbarheder. Efter flere forespørgsler om årsagen til denne blokering blev kontoen ifølge Eclipse slettet helt, uden at de fik svar fra Microsoft.
Computerworld har forelagt kritikken for Microsoft Danmark og bedt selskabet forholde sig til sagen. Computerworld afventer svar og opdaterer artiklen med selskabets svar, hvis Microsoft vender tilbage.
