报道指出,微软在网络安全界强烈反对下,撤回了此前对白帽黑客“梦魇日蚀”采取的法律威胁并解封了相关账号。此前“梦魇日蚀”绕过微软漏洞提交流程公开了多个影响 Windows 的高危漏洞利用代码,微软最初封禁其 GitHub、GitLab 账号并采取强硬措施,引发业界批评。微软在最新政策中表示不会对合法漏洞研究人员采取法律行动,停止此前争议的“负责任披露”措施,恢复协调披露(CVD)并承诺改善自动化执法方式以加强与安全社区的合作。报道还称“梦魇日蚀”暂无和解反应,并表示将于数周内公开新的可在虚拟机中绕过 BitLocker 的利用代码,同时有独立漏洞开发者选择绕过企业提交流程直接提交未修复漏洞。
6 月 7 日消息,据科技媒体 Notebookcheck 今天报道,在全球网络安全行业人士的强烈反对之下,微软已正式收回此前针对白帽黑客“梦魇日蚀(Nightmare Eclipse)”的强硬法律威胁。
据报道,“梦魇日蚀”曾在此前绕过微软的传统漏洞提交流程,直接公开了多个 Windows 高危漏洞代码。该研究项目曾成功利用多个影响 Windows 核心防御机制的零日漏洞,涵盖 BlueHammer 本地提权漏洞链、针对 Defender 的 RedSun 工具。
微软数字犯罪部门最初对此采取强硬法律行动,封禁了“梦魇日蚀”的 GitHub、GitLab 账号,引发安全领域专家批评。许多人士认为,利用法律手段打压白帽黑客会导致防御性安全研究停滞不前,让真实网络环境更容易遭到恶意攻击者威胁。
微软在最新政策更新中表示:“我们无意对从事合法漏洞研究工作的个人采取法律行动”。并完全停止此前备受争议的“负责任披露”机制,回归传统的“协调披露(IT之家注:CVD)”框架。该公司同时承认,近期部分自动化平台的执法措施远未达到社区期待,并承诺未来将以善意合作的方式处理漏洞报告。
虽然微软已经让步,但“梦魇日蚀”暂未积极回应和解信号。他表示,目前已有多个独立漏洞开发者选择绕开企业提交流程,直接将未修复的安全漏洞提交给他们。
此外,“梦魇日蚀”还表示,他将在未来几周内公开全新漏洞利用代码,号称能够在虚拟机环境中绕过 BitLocker 硬件加密保护机制。
相关阅读:
- 《白帽黑客公开 Windows 零日漏洞,微软强硬回应引争议》