AMD отказала исследователю безопасности в вознаграждении в размере $10 000 за обнаруженную уязвимость, несмотря на его сотрудничество с компанией.
Исследователь обнаружил потенциальную уязвимость удалённого выполнения кода (RCE) через атаку типа «человек посередине» (MITM) в программном обеспечении автоматического обновления AMD. Он отправил отчёт на сайт программы вознаграждения за обнаружение уязвимостей AMD, ожидая как исправления, так и выплаты. Отчёт был отклонён, поскольку атаки MITM не подпадали под действие политики программы. Тем не менее, исследователь удалил сообщение в блоге, описывающее ситуацию, по просьбе AMD. Теперь оно снова появилось в сети.
Выяснилось, что в феврале, когда AMD попросила исследователя временно удалить сообщение в блоге, компания заявила, что выпустит стандартный CVE, исправит программное обеспечение и припишет ему авторство, хотя выплата вознаграждения была исключена. Тот согласился на эти условия, но спросил, каких сроков будет придерживаться AMD, предложив стандартный для отрасли 90-дневный период до повторной публикации публичного сообщения.
AMD ответила, что компании «вероятно, потребуется более длительный эмбарго, поскольку, похоже, затронуты и другие инструменты, помимо Ryzen Master, и нужны их обновления». Однако вопрос о том, почему AMD потребовалось так много времени, чтобы опубликовать, казалось бы, односимвольное исправление, заменяющее «http» на «https» в коде. Кроме того, если проблема была настолько серьёзной, то, возможно, работа исследователя заслуживала компенсации. Наконец, как отметил автор, если эта проблема выглядела настолько срочной, то неясно, почему ей не присвоили более высокий приоритет.
Тем не менее, в итоге исследователь согласился на 100-дневный срок ожидания. Когда этот период прошёл, компания сообщила ему, что «клиенты AMD запрашивают дополнительное время после того, как исправления станут доступны». В конце концов, AMD связалась с нами, заявив, что исправление будет готово 9 июня, то есть через 124 дня после первоначального обнаружения.
Компания, похоже, полностью переработала код загрузки в автообновлении, и исследователь подтвердил, что новая версия действительно безопасно загружает драйверы, хотя он отмечает, что софт проверяет действительность загруженного файла только с помощью устаревшего хеша CRC32, который больше не считается криптографически безопасным.
По словам пользователя Reddit, эксплуатировать обнаруженную уязвимость не получилось бы, потому что соответствующий фрагмент изначально не вызывался. Получается, что AMD не могла обновить систему обновлений, потому что код обновления не мог обновиться, и пользователям требовалось устанавливать ПО вручную.
Между тем исследователь в области безопасности Nightmare Eclipse опубликовал новый эксплойт уязвимости нулевого дня для Microsoft Defender под названием «RoguePlanet» всего через несколько часов после того, как Microsoft исправила два ранее обнаруженных бага во время июньского обновления.
За последние несколько месяцев Nightmare Eclipse опубликовал множество уязвимостей нулевого дня для Windows, включая BlueHammer, RedSun, GreenPlasma и YellowKey. Некоторые из этих них были нацелены на Microsoft Defender, а другие — на BitLocker и компоненты Windows.
Microsoft же отреагировала на эти публикации предупреждениями о том, что будет сотрудничать с правоохранительными органами, если исследователи совершают «злонамеренные действия, причиняющие реальный вред клиентам». Nightmare Eclipse утверждает, что компания удаляла ранее размещённые им репозитории на GitHub и GitLab.
