Microsoft forsøger nu at dæmpe en ulmende konflikt med dele af sikkerhedsmiljøet.
Efter en stribe offentliggjorte Windows zero day-sårbarheder og kritik af selskabets håndtering af indrapporteringer, præciserer Microsoft, at selskabet ikke har til hensigt at gå juridisk efter sikkerhedsforskere.
"Vi har ingen intention om at gå efter personer, der udfører eller offentliggør deres sikkerhedsforskning," skriver Microsoft Security Response Center i et opslag på X.
Ifølge Microsoft er de juridiske skridt rettet mod en anden gruppe personer.
"Når en person bryder loven og udfører ondsindet aktivitet, der påfører vores kunder reel skade, vil vi samarbejde med politimyndighederne, når det er relevant," lyder det fra Microsoft.
Udmeldingen kommer efter debat om Microsofts tidligere advarsel om, at ukoordinerede offentliggørelser af proof-of-concept-kode til sårbarheder, der endnu ikke er blevet lappet, kan få alvorlige konsekvenser.
Sagen udspringer af flere Windows zero day-sårbarheder, der ifølge det tyske medie Heise er blevet offentliggjort, før Microsoft havde rettelser klar.
Kritisk og skrøbelig relation
I opslaget forsøger Microsoft samtidig at sætte ord på forholdet mellem softwareleverandører og sikkerhedsforskere.
"I løbet af de seneste dage har vi lyttet til dialogen om koordineret offentliggørelse og relationen mellem sikkerhedsforskere og leverandører. Vi anerkender, at denne relation både er kritisk og til tider skrøbelig. Vi sætter stor pris på sikkerhedsfællesskabet," skriver Microsoft Security Response Center.
Selskabet understreger samtidig, at koordinerede offentliggørelser af sårbarheder fortsat er fundamentet for at beskytte kunder og forbedre Microsofts produkter.
Ved en såkaldt Coordinated Vulnerability Disclosure får en leverandør besked om en sårbarhed og tid til at rette fejlen, før tekniske detaljer bliver offentliggjort.
Formålet er at beskytte brugerne, før cyberkriminelle angribere får konkrete oplysninger om sikkerhedshullet.
Microsoft skriver i opslaget, at selskabet hvert år behandler et stort antal sårbarhedsrapporter, og at mængden fortsætter med at vokse, hvilket ikke mindst skyldes mere AI-understøttet sikkerhedsforskning.
Selskabet erkender dog, at nogle interaktioner med sikkerhedsforskere ikke har været gode nok.
"Vi anerkender, at nogle interaktioner ikke har været gode nok, og vi arbejder på at lære af dem," skriver Microsoft.
Afviser lukning af forskerkonto
Computerworld har bedt Microsoft forholde sig til flere konkrete kritikpunkter i sagen.
En del af kritikken kommer fra den person eller gruppe, der optræder under navne som Nightmare Eclipse, Chaotic Eclipse, Dead Eclipse eller blot Eclipse.
Ifølge Heise skal Eclipse have offentliggjort flere Microsoft zero day-sårbarheder.
Eclipse har afvist Microsofts beskyldninger og hævder i bloggen "Nightmare Eclipse", at Microsoft bevidst blokerede den MSRC-konto, som tidligere var blevet brugt til at rapportere sårbarheder.
Efter flere forespørgsler om årsagen til blokeringen blev kontoen ifølge Eclipse slettet helt, uden at Microsoft svarede.
Det afviser Microsoft over for Computerworld.
"Vi fjerner ikke konti fra MSRC's forskerportal, som er stedet, hvor alle kan indsende sårbarheder til os. Vi kan ikke bekræfte, hvilken konto denne person hævder er blevet deaktiveret," lyder det fra Microsoft.
Microsoft skriver samtidig, at selskabet fortsat vil modtage indrapporteringer af sårbarheder fra alle.
"Vi har altid budt velkommen til – og vil fortsat modtage – indrapporteringer af sårbarheder fra alle via vores offentlige forskerportal, uanset tidligere interaktioner eller omdømme," lyder det fra Microsoft.
GitHub-konto blev lukket
Ifølge Heise har Microsoft allerede slettet GitHub-kontoen til den person eller gruppe, der menes at stå bag flere af offentliggørelserne.
GitHub ejes af Microsoft, men sletningen kom ifølge mediet for sent til at forhindre, at materialet blev spredt.
Microsoft bekræfter over for Computerworld, at kontoen blev deaktiveret.
Selskabet afviser dog, at det skyldtes indrapporteringer til MSRC.
Ifølge Microsoft blev kontoen lukket i overensstemmelse med GitHubs regler for acceptabel brug.
"Kontoen blev deaktiveret i overensstemmelse med GitHubs retningslinjer for acceptabel brug, som forbyder misbrug af rangering, såsom automatiseret stjernemarkering eller følge-aktivitet," lyder det fra Microsoft.
Ifølge Microsoft blev GitHub-kontoen altså lukket på grund af brud på GitHubs regler og ikke på grund af selve sårbarhedsindberetningerne til MSRC.
Sagen tog sin begyndelse i forgangne uge, da oplysninger om flere Windows-sårbarheder, der endnu ikke var blevet lappet, blev offentliggjort, før Microsoft havde udsendt rettelser.
Det fik Microsoft til at advare om, at ukoordinerede offentliggørelser af disse sårbarheder kan ende med at give cyberkriminelle angribere konkrete oplysninger om sårbarheder, før brugerne er beskyttet.
Men den hårde juridiske formulering udløste kritik, fordi trusler om retssager mod sikkerhedsforskere længe har været et følsomt emne i it-sikkerhedsverdenen, fordi det kan få disse forskere til at trække følehornene til sig af frygt for at rapportere fundne sårbarheder.
Microsoft forsøger nu at trække grænsen tydeligere op.
Selskabet fastholder, at koordineret offentliggørelse er nødvendig for at beskytte kunderne, men samtidig gøres det nu klart, at man fra Microsofts side ikke vil gå efter personer, der udfører eller offentliggør sikkerhedsforskning.
"Vi ved, at der i arbejdet kan opstå misforståelser. Vi er fortsat forpligtet på at engagere os i god tro og give alle forskere en respektfuld og professionel oplevelse, uanset tidligere interaktioner," skriver Microsoft Security Response Center afslutningsvis.
