Microsoft droht damit, Forscher zu verklagen, die Schwachstellen offenlegen, und wirft ihnen Doppelmoral vor, um das Zero-Day-Disclosure-Personal zu unterdrücken

Microsoft wurde kürzlich wegen seines Umgangs mit Zero-Day-Schwachstellen kritisiert. Ein Sicherheitsforscher, der sich selbst „Nightmare Eclipse“ nennt, veröffentlichte öffentlich mehrere Proof-of-Concept-Codes zur Ausnutzung von Schwachstellen und hatte einen öffentlichen Konflikt mit Microsoft. Einige seiner Äußerungen deuteten darauf hin, dass es sich bei ihm möglicherweise um einen ehemaligen Microsoft-Mitarbeiter handelte.

Was dem Cybersicherheitsforscher Kevin Beaumont auffiel, waren nicht nur die Schwachstellen selbst, sondern auch die Reaktion von Microsoft. Microsoft sagte in seiner offiziellen Erklärung, dass es plant, eine strafrechtliche Verfolgung von Nightmare Eclipse in Betracht zu ziehen, mit der Begründung, dass der Forscher es versäumt habe, die Schwachstelle gemäß „geeigneter Koordinierungsverfahren“ offenzulegen, und die entsprechenden Konten in GitHub, GitLab und dem Microsoft Security Response Center nacheinander gesperrt habe.

Beaumont wies darauf hin, dass es nach der vollständigen Sperrung des Kundenkontos nahezu unmöglich sein wird, zukünftige Sicherheitslücken über die sogenannten „Responsible Disclosure“-Kanäle von Microsoft zu melden. Er betonte auch, dass es noch ironischer sei, dass Microsoft seit langem einige Leute beschäftigt, die Zero-Day-Exploit-Codes öffentlich veröffentlicht haben, darunter auch Personen mit Vorstrafen. Gleichzeitig kauft das Unternehmen auch Exploit-Programme von Schwachstellen-Brokern.

Nach Ansicht von Beaumont ist der aktuelle Versuch von Microsoft, „die Nichteinhaltung des oft recht willkürlichen Rahmens der ‚verantwortungsvollen Offenlegung‘“ unter Strafe zu stellen, unhaltbar. Er warnte davor, dass, sobald ein solcher Fall vor Gericht gebracht wird, Microsofts frühere Einstellungs-, Sicherheitsstrategie- und Schwachstellenhandelsentscheidungen auf den Tisch kommen und ein „Clownauto voller inkonsistenter Fakten“ bilden werden, was es für das Unternehmen schwierig macht, sich vor einer gerichtlichen Überprüfung zu rechtfertigen.

Dem gesamten Vorfall nach zu urteilen, verließ sich Microsoft nicht nur auf die Sicherheitsforschungsgemeinschaft, sondern kaufte und stellte auch Sicherheitsexperten ein, die ähnliche Verhaltensweisen ausgenutzt hatten. Andererseits reagierte sie auf öffentlich bekannt gegebene Personen mit äußerst harten und sogar schockierenden Strafvorwürfen. Relevante Kontroversen gären im Sicherheitskreis und haben auch Diskussionen darüber neu entfacht, was eine „verantwortungsvolle Offenlegung“ ausmacht und welche Machtgrenzen große Technologieunternehmen bei der Offenlegung von Sicherheitslücken haben.