AMD отказалась выплатить исследователю вознаграждение в размере $10 000

AMD отказала исследователю безопасности в вознаграждении в размере $10 000 за обнаруженную уязвимость, вопреки его сотрудничество с компанией. 

Исследователь обнаружил потенциальную уязвимость удалённого выполнения кода (RCE) через атаку типа «человек посередине» (MITM) в программном обеспечении автоматического обновления AMD. Он отправил доклад на веб-сайт программы вознаграждения за обнаружение уязвимостей AMD, ожидая как исправления, так и выплаты. Отчёт был отклонён, поскольку атаки MITM не подпадали под действие политики программы. Тем не менее, исследователь удалил сообщение в блоге, описывающее ситуацию, по просьбе AMD. Теперь оно снова появилось в сети.

Стало известно, что в феврале, когда AMD попросила исследователя временно удалить сообщение в блоге, организация заявила, что выпустит типовой CVE, исправит программное обеспечение и припишет ему авторство, хотя выплата вознаграждения была исключена. Тот согласился на эти условия, но спросил, каких сроков будет придерживаться AMD, предложив стандартный для отрасли 90-дневный период до повторной публикации публичного сообщения.

AMD ответила, что компании «вероятно, потребуется более длительный эмбарго, поскольку, похоже, затронуты и другие инструменты, помимо Ryzen Master, и нужны их обновления». Однако вопрос о том, почему AMD потребовалось так много времени, чтобы опубликовать, казалось бы, односимвольное исправление, заменяющее «http» на «https» в коде. Кроме того, если задача была настолько серьёзной, то, возможно, работа исследователя заслуживала компенсации. Наконец, согласно заявлению автор, если эта проблема выглядела настолько срочной, то неясно, почему ей не присвоили более высокий приоритет.

Тем не менее, в результате исследователь согласился на 100-дневный срок ожидания. Когда этот период прошёл, организация сообщила ему, что «клиенты AMD запрашивают дополнительное время после того, как исправления станут доступны». В конце концов, AMD связалась с нами, заявив, что исправление будет готово 9 июня, то есть через 124 дня после первоначального обнаружения. 

Организация, похоже, целиком переработала исходник загрузки в автообновлении, и исследователь подтвердил, что новая релиз действительно безопасно загружает драйверы, хотя он отмечает, что софт проверяет действительность загруженного файла только с помощью устаревшего хеша CRC32, который больше не считается криптографически безопасным.

Согласно заявлению пользователя Reddit, эксплуатировать обнаруженную уязвимость не получилось бы, потому что соответствующий фрагмент изначально не вызывался. Получается, что AMD не могла обновить систему обновлений, потому что код обновления не мог обновиться, и пользователям требовалось устанавливать ПО вручную.

Между тем исследователь в области безопасности Nightmare Eclipse опубликовал новый эксплойт уязвимости нулевого дня для Microsoft Defender под названием «RoguePlanet» всего через несколько часов после того, как Microsoft исправила два ранее обнаруженных бага во время июньского обновления.

За последние некоторое количество месяцев Nightmare Eclipse опубликовал множество уязвимостей нулевого дня для Windows, в том числе BlueHammer, RedSun, GreenPlasma и YellowKey. Некоторые из этих них были нацелены на Microsoft Defender, а другие — на BitLocker и компоненты Windows.

Microsoft же отреагировала на эти публикации предупреждениями о том, что будет сотрудничать с правоохранительными органами, если исследователи совершают «злонамеренные действия, причиняющие фактический вред клиентам». Nightmare Eclipse утверждает, что компания удаляла ранее размещённые им репозитории на GitHub и GitLab.