Исследователи по ошибке заявили об уязвимости в Office 2007, а затем искали новую, чтобы не потерять работу

Опубликовал
Вадим Карпусь

Грег Линарес поделился забавной историей на X о том, как он и его товарищи по команде объявили о большой уязвимости нулевого дня в Office 2007. Однако выяснилось, что это была ошибка с их стороны. Чтобы спасти свою репутацию, работу и, возможно, даже бизнес, им пришлось изо всех сил искать настоящую ошибку. Это произошло в конце 2006 года, когда Линарес работал с фирмой цифровой безопасности eEye, и они тестировали новый пакет Microsoft Office на наличие уязвимостей.

eEye является одним из ведущих учреждений по управлению угрозами, ее задачей было проверить, имела ли последняя версия офисного пакета какие-либо недостатки нулевого дня. В течение 36 часов после запуска Линарес обнаружил ошибку в функции конвертации объектов Word Art. Он направил эту находку своему руководителю Марку Мейффрету, который согласился с открытием Линареса и направил его в Microsoft Security Response Center (MSRC). В то же время eEye опубликовала несколько пресс-релизов об ошибке, а некоторые крупные новостные издания осветили историю на основе анонса eEye.

Но вскоре Дэвид Леблан, который был одним из главных экспертов по безопасности и работал над Office 2007, заметил, что ошибку можно использовать, только если к программе подключен отладчик. Но при типичном использовании пакета программ средними пользователями такого почти никогда не бывает. Это означало, что открытие Грега Линареса было ложноположительным, поэтому eEye пришлось отозвать свои объявления.

Онлайн- курсPython developer від Mate academy.
Amazon, Facebook, Netflix, Spotify використовують Python в розробці. Вивчіть цю мову на курсі Python developer і отримайте нову роботу! .
Отримати знижку на курс

К тому времени Грег проработал в eEye менее двух месяцев и чувствовал себя опустошенным, поскольку его ошибка потенциально могла стоить компании ее репутации, а ему самому — должности в компании. eEye пришлось бы отозвать свой анонс.

Но у Марка была другая идея: вместо того, чтобы отозвать пресс-релиз, он сказал исследовательской группе найти для него новую ошибку нулевого дня в Office 2007 как можно скорее. Тем временем eEye тянула время, сообщив MSRC, что команда прислала неправильный файл и вскоре предоставит обновление.

Итак, Линарес начал вручную выполнять фаззинг — или случайно вставлять недействительные и неожиданные данные — для пакета Office, чтобы попытаться что-то найти. В этом ему помогала вся исследовательская группа. Никто из команды не выходил из офиса в течение нескольких дней, а их жены и партнеры очень переживали за них. Они продолжали свои попытки, пока не нашли другую ошибку, чтобы подтвердить свое первое объявление.

После четырех дней различных попыток наконец удалось найти и воспроизвести ошибку — полную перезапись указателя расширенных инструкций, что позволило команде взять программу под контроль. Другие члены команды начали искать источник ошибки, и обнаружили, что она повлияла на Microsoft Publisher. После повторного тестирования уязвимости с помощью отладчика и новой операционной системы команда подтвердила ошибку.

Затем команда передала информацию о новой уязвимости MSRC и провела полные демонстрации уязвимости и подтвердила свои выводы прессе. Затем Microsoft подтвердила ее, а после этого eEye написала консультативное сообщение о подробностях уязвимости. Компании не пришлось отозвать свой первоначальный анонс, Грег сохранил свою работу в eEye как исследователь безопасности и уже около 20 лет работает в индустрии информационной безопасности.

Источник: tomshardware

Disqus Comments Loading...