Greg Linares compartió una divertida historia en X sobre cómo él y sus compañeros de equipo anunciaron una importante vulnerabilidad de día cero en Office 2007. Sin embargo, resultó que fue un error por su parte. Para salvar su reputación, su trabajo y posiblemente incluso su negocio, tuvieron que buscar a toda prisa el verdadero fallo. Ocurrió a finales de 2006, cuando Linares trabajaba con la empresa de seguridad digital eEye y estaban probando el nuevo paquete Office de Microsoft en busca de vulnerabilidades.
eEye es una de las principales instituciones de gestión de amenazas, y su tarea consistía en comprobar si la última versión del paquete ofimático tenía algún fallo de día cero. A las 36 horas de su lanzamiento, Linares descubrió un fallo en la función de conversión de objetos Word Art. Envió el descubrimiento a su supervisor, Mark Mayfair, quien se mostró de acuerdo con el descubrimiento de Linares y lo envió al Centro de Respuesta de Seguridad de Microsoft (MSRC). Al mismo tiempo, eEye publicó varios comunicados de prensa sobre el fallo, y algunos de los principales medios de comunicación cubrieron la noticia basándose en el anuncio de eEye.
Pero pronto David LeBlanc, uno de los principales expertos en seguridad que trabajó en Office 2007, se dio cuenta de que el fallo sólo podía explotarse si se conectaba un depurador a la aplicación. Pero en el uso típico de un paquete de software por parte de usuarios medios, esto casi nunca ocurre. Esto significaba que el descubrimiento de Greg Linares era un falso positivo, y eEye tuvo que retractarse de su anuncio.
En aquel momento, Greg llevaba menos de dos meses en eEye y se sentía desolado porque su error podía costarle a la empresa su reputación y a él su puesto en la empresa. eEye tendría que retractarse de su anuncio.
Pero Mark tuvo una idea diferente: en lugar de retractarse del comunicado de prensa, dijo al equipo de investigación que le encontraran un nuevo fallo de día cero en Office 2007 lo antes posible. Mientras tanto, eEye se entretuvo, diciendo al MSRC que el equipo había enviado el archivo equivocado y que proporcionaría una actualización en breve.
Así que Linares empezó a hacer manualmente fuzzing — o insertar aleatoriamente datos no válidos e inesperados — para el paquete Office para intentar encontrar algo. Todo el equipo de investigación le ayudó con esto. Ninguno del equipo salió de la oficina durante varios días, y sus esposas y parejas estaban muy preocupadas por ellos. Continuaron con sus intentos hasta que encontraron otro fallo que confirmaba su primer anuncio.
Tras cuatro días de diversos intentos, por fin consiguieron encontrar y reproducir el fallo -una sobrescritura completa del puntero de instrucción extendida-, lo que permitió al equipo hacerse con el control del programa. Otros miembros del equipo empezaron a buscar el origen del fallo y descubrieron que afectaba a Microsoft Publisher. Tras volver a probar la vulnerabilidad con un depurador y un nuevo sistema operativo, el equipo confirmó el fallo.
A continuación, el equipo pasó la información sobre la nueva vulnerabilidad al MSRC y realizó demostraciones completas de la vulnerabilidad y confirmó sus hallazgos a la prensa. Microsoft lo confirmó entonces, y eEye escribió posteriormente un aviso sobre los detalles de la vulnerabilidad. La empresa no tuvo que retractarse de su anuncio inicial, y Greg ha conservado su puesto en eEye como investigador de seguridad y lleva casi 20 años trabajando en el sector de la seguridad de la información.
Fuente: tomshardware