Os esforços da Microsoft para restringir a publicação de informações relacionadas aos bugs em seus produtos – antes que ela tenha reparado os erros como parte do pacote de atualização mensal – agora enfrenta um desafio de um grupo anônimo anti-Microsoft de pesquisadores em segurança.
O grupo se auto-intitula MSRC – Microsoft-Spurned Researcher Collective. De acordo com um manifesto divulgado pelos integrantes, a formação do grupo ocorreu por conta da “hostilidade contra pesquisadores de segurança, o exemplo mais recente é Tavis Ormandy” e eles prometem “divulgar as vulnerabilidades descobertas durante o tempo livre, livres de retaliação e sem interferência de empregadores.”
No mês passado, Ormandy informou a Microsoft sobre a vulnerabilidade dia zero – previamente desconhecida – no Windows Help e Support Center. Cinco dias mais tarde, ele, então, publicou ter descoberto a existência do problema. Por esse movimento, ele foi, ao mesmo tempo, premiado e condenado.
A existência do MSRC surgiu na última semana, quando um manifesto do grupo veio anexado a um anúncio de vulnerabilidade distribuído pela VUPEN Security, uma empresa de pesquisa em segurança não-associada ao MSRC.
De acordo com a VUPEN, “a vulnerabilidade identificada no Windows poderia permitir que ataques locais causassem problemas nos serviços.” O problema está relacionado a um erro ligado à função kernel, a falha que “permitiria usuários maliciosos quebrarem o sistema ou executar códigos arbitrários com os privilégios kernel.”
A VUPEN diz que verificou a existência da vulnerabilidade no Windows Vista SP2 e Windows Server 2008 Service Pack 2. Entretanto, a companhia diz que trata-se de um bug de risco baixo.
O nome MSRC faz uma jogada com o Microsoft Security Response Center, utilizado pela fabricante para investigar qualquer e toda vulnerabilidade de segurança que afeta serviços e produtos Microsoft. Também é o primeiro ponto de contato para qualquer pesquisador que queira reportar uma falha de segurança.
O grupo se coloca aberto a novos pesquisadores que queiram se unir ao time ou apenas reporter falhas. “Vetaremos o processo, no entanto, para qualquer empregado da Microsoft que queria entrar no grupo.”
