Грег Линарес поделился забавной историей на X о том, как он и его товарищи по команде объявили о большой уязвимости нулевого дня в Office 2007. Однако выяснилось, что это была ошибка с их стороны. Чтобы спасти свою репутацию, работу и, возможно, даже бизнес, им пришлось изо всех сил искать настоящую ошибку. Это произошло в конце 2006 года, когда Линарес работал с фирмой цифровой безопасности eEye, и они тестировали новый пакет Microsoft Office на наличие уязвимостей.
eEye является одним из ведущих учреждений по управлению угрозами, ее задачей было проверить, имела ли последняя версия офисного пакета какие-либо недостатки нулевого дня. В течение 36 часов после запуска Линарес обнаружил ошибку в функции конвертации объектов Word Art. Он направил эту находку своему руководителю Марку Мейффрету, который согласился с открытием Линареса и направил его в Microsoft Security Response Center (MSRC). В то же время eEye опубликовала несколько пресс-релизов об ошибке, а некоторые крупные новостные издания осветили историю на основе анонса eEye.
Но вскоре Дэвид Леблан, который был одним из главных экспертов по безопасности и работал над Office 2007, заметил, что ошибку можно использовать, только если к программе подключен отладчик. Но при типичном использовании пакета программ средними пользователями такого почти никогда не бывает. Это означало, что открытие Грега Линареса было ложноположительным, поэтому eEye пришлось отозвать свои объявления.
К тому времени Грег проработал в eEye менее двух месяцев и чувствовал себя опустошенным, поскольку его ошибка потенциально могла стоить компании ее репутации, а ему самому — должности в компании. eEye пришлось бы отозвать свой анонс.
Но у Марка была другая идея: вместо того, чтобы отозвать пресс-релиз, он сказал исследовательской группе найти для него новую ошибку нулевого дня в Office 2007 как можно скорее. Тем временем eEye тянула время, сообщив MSRC, что команда прислала неправильный файл и вскоре предоставит обновление.
Итак, Линарес начал вручную выполнять фаззинг — или случайно вставлять недействительные и неожиданные данные — для пакета Office, чтобы попытаться что-то найти. В этом ему помогала вся исследовательская группа. Никто из команды не выходил из офиса в течение нескольких дней, а их жены и партнеры очень переживали за них. Они продолжали свои попытки, пока не нашли другую ошибку, чтобы подтвердить свое первое объявление.
После четырех дней различных попыток наконец удалось найти и воспроизвести ошибку — полную перезапись указателя расширенных инструкций, что позволило команде взять программу под контроль. Другие члены команды начали искать источник ошибки, и обнаружили, что она повлияла на Microsoft Publisher. После повторного тестирования уязвимости с помощью отладчика и новой операционной системы команда подтвердила ошибку.
Затем команда передала информацию о новой уязвимости MSRC и провела полные демонстрации уязвимости и подтвердила свои выводы прессе. Затем Microsoft подтвердила ее, а после этого eEye написала консультативное сообщение о подробностях уязвимости. Компании не пришлось отозвать свой первоначальный анонс, Грег сохранил свою работу в eEye как исследователь безопасности и уже около 20 лет работает в индустрии информационной безопасности.
Источник: tomshardware