Badacz bezpieczeństwa twierdzi, że Microsoft go oszukał na bug bounty
Justin O'Leary jest badaczem bezpieczeństwa, który zarabia dzięki programom bug bounty. Te opierają się na tym, że specjalista szuka luk w systemach, zgłasza je ich właścicielom, a te wypłacają mu nagrodę. Twierdzi on, że Microsoft go oszukał.
Otóż 17 marca bieżącego roku zgłosił On Microsoftowi lukę w Azure Backup for AKS. Ta umożliwiała dostęp administratora klastra w formie współautora kopii zapasowej przy niskich uprawnieniach. Co to oznacza w praktyce? Otóż ktoś, kto ma bardzo niskie uprawnienia, nagle zyskuje pełną kontrolę. Błąd jest więc poważny i chociaż nie umożliwia ataku z zewnątrz, to pozwala na atak z wewnątrz.
Microsoft twierdzi, że luka nie jest poważna, a badacz zarzuca firmie kłamstwo
Microsoft odrzucił zgłoszenie, twierdząc, że luka już wcześniej wymaga pełnego dostępu do konta administratora, aby z niej skorzystać, z czym Justin O'Leary się nie zgodził. Sprawa ta zainteresowała serwis BleepingComputer, który zajmuje się cyberbezpieczeństwem. Jego redaktorzy otrzymali od Microsoftu następujące oświadczenie:
Nasza ocena wykazała, że nie jest to luka w zabezpieczeniach, a raczej oczekiwane zachowanie, które wymaga istniejących uprawnień administracyjnych w środowisku klienta. W związku z tym nie wprowadzono żadnych zmian w produkcie w celu rozwiązania tego problemu i nie wydano żadnego kodu CVE ani CVSS.
I tu zaczynają się schody. Jak twierdzi sam specjalista ds. bezpieczeństwa, Microsoft naprawił ten problem. Na co ms twarde dowody — w końcu na zbieraniu ich polega bug bounty. Czy to oznacza, że został on oszukany przez Microsoft? Tego nie wiem. Nie jestem specjalistą ds. bezpieczeństwa. Jedyne co mogę zrobić w tej sprawie, to przedstawić stanowiska obydwu stron.
