Windows sıfır gün exploit’lerini yayımlayan güvenlik araştırmacısını GitHub engelledi

 (tomshardware.com)
1 puan yazan GN⁺ 4 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Nightmare-Eclipse’in GitHub hesabı engellendi; kendisi çalışma alanını GitLab’a taşıdı ve bunun Microsoft’un misilleme niteliğinde bir adımı olduğunu savundu
  • Gerilim, nisan başında BlueHammer sıfır gününün yayımlanmasıyla tırmandı; Eclipse, Microsoft’un bildirimlerini ve ödül taleplerini görmezden geldiğini söyledi
  • Microsoft, engelin nedeni ve sürecine ilişkin ayrıntı paylaşmadığı için, asıl tartışma konusunun standart dışı ifşa mı yoksa bildirim-ödül sürecindeki başarısızlık mı olduğu belirsizliğini koruyor
  • Eclipse, BlueHammer, RedSun, UnDefend dahil 6 Windows sıfır gününü yayımladı; bunların bazıları gerçek ortamlarda aktif olarak istismar ediliyor
  • GitHub engeli, zaten yayımlanmış kodu ve istismarı durdurmakta yetersiz kalıyor; yapay zekayla hızlanan açık bulma çağında ifşa ve yama süreçlerinin sınırlarını da ortaya koyuyor

GitHub hesap engeli ve GitLab’a geçiş

  • Microsoft, güvenlik araştırmacısı Nightmare-Eclipse’in (Chaotic Eclipse) GitHub hesabını, henüz açıklanmayan bir nedenle engelledi
  • Eclipse, çalışma alanını GitLab’a taşıdığını ve hata bildirimlerinde kullandığı Microsoft hesabının da zaten silinmiş olduğunu söyledi
  • Blog yazısında, bu adımın misilleme amaçlı olduğunu, Microsoft’un iletişim kurmayı reddettiğini ve ödeme yapmadığını iddia etti
  • Microsoft’un MSRC ödül programı, koşullara bağlı olarak uç nokta sıfır günleri için en fazla 30 bin-100 bin dolar, Hyper-V açıkları için ise en fazla 250 bin dolar ödüyor
  • Eclipse, halihazırda 6 sıfır gün exploit’i yayımladı ve 14 Temmuz’da Microsoft hakkında ek ifşalar olabileceğine işaret etti

Microsoft ile Eclipse arasındaki çatışma

  • Çatışma, nisan başında Eclipse’in önceden uyarı yapmadan BlueHammer sıfır gününü yayımlamasıyla ciddi biçimde büyüdü
  • Eclipse’in blogu, Microsoft ve MSRC’yi sert biçimde eleştiriyor; Microsoft’un sıfır gün bildirimlerini yok saydığını veya reddettiğini ve talep edilen ödülü ödemeyerek maddi zarara yol açtığını öne sürüyor
  • Eclipse, Microsoft’tan “hayatını mahvedeceğiz” dendiğini ve bunun gerçekten gerçekleştiğini iddia etti; ayrıca bir tür dead man’s switch bulunduğunu söyledi
  • Microsoft ayrıntılı süreci açıklamadığı için, sorunun standart ifşa prosedürünü izlemeyen bir araştırmacıdan mı yoksa güvenlik bildirimini zorlaştıran bir şirketten mi kaynaklandığını değerlendirmek zor

MSRC süreci tartışması ve ifşa politikasına baskı

  • Tharros’tan William Dormann, BlueHammer hakkındaki yazısında MSRC’nin geçmişte işbirliğine açık olduğunu, ancak maliyet düşürme adına deneyimli kişileri işten çıkarıp yalnızca prosedür şemalarını izleyen kişileri bıraktığını eleştirdi
  • Dormann, MSRC’nin artık exploit videosu gönderilmesini istiyor gibi göründüğünü, bildirimi yapan kişinin videoyu sunmaması nedeniyle Microsoft’un vakayı kapatmış olabileceğini de düşünüyor
  • Microsoft sessiz kaldığı için, sorumlu açık ifşası süreci ile ödül programının pratikte nasıl işletildiğinin bu çatışmanın asıl merkezinde olup olmadığı netleşmiyor
  • Yapay zeka destekli güvenlik araştırmaları nedeniyle standart 90 günlük ifşa-yama süresinin fiilen eskimiş bir modele dönüştüğü yönünde değerlendirmeler yapılıyor
  • Exploit’e kadar geçen sürenin ve kullanılmayan exploit sayısının ikisinin de sıfıra yaklaştığı bir ortamda, Microsoft ve diğer yazılım şirketlerinin politikalarını güncelleme ihtiyacı büyüyor

Yayımlanan Windows sıfır günleri

  • Eclipse, birden fazla Windows sıfır gün exploit’i yayımladı
  • BlueHammer, Defender üzerinden SYSTEM yetkisi elde etmeyi sağlayan bir açık
  • RedSun da SYSTEM kullanıcısı erişimini mümkün kılıyor
  • UnDefend, Defender’ı çevrimdışı duruma getirebiliyor
  • GreenPlasma, CTFMon servisi üzerinden SYSTEM erişimi sağlıyor
  • MiniPlasma, Windows Cloud Filter sürücüsündeki bir kusur üzerinden benzer bir yetki yükseltmeyi mümkün kılıyor
  • YellowKey, bir BitLocker açığı; saldırganın neredeyse hiç çaba harcamadan şifrelenmiş sürücüleri açabilmesine imkan tanıyor ve BitLocker’ın temel amacını boşa çıkarıyor

Gerçek istismar ve güvenlik etkileri

  • BlueHammer, RedSun ve UnDefend’in gerçek ortamlarda aktif biçimde istismar edildiği doğrulandı
  • Diğer açıkların da tam veya kısmi kavram kanıtlama kodları yayımlandığı için, bunlar ilgili saldırganların kolayca kullanabileceği bir duruma geldi
  • GitHub hesap engeli, yayımlanmış kodu kaldırmak veya istismarı durdurmak için yeterli değil; ayrıca araştırmacı ile platformun sahibi şirket arasındaki çatışmayı daha da büyütüyor
  • Sıfır gün ifşaları, ödül anlaşmazlıkları, hesap engelleri ve yapay zekayla hızlanan açık bulma süreçleri bir araya geldikçe, mevcut güvenlik bildirim-doğrulama-yama süreçlerinin sınırları daha görünür hale geliyor

İlgili okumalar

1 yorum

 
GN⁺ 4 시간 전
Hacker News yorumları

  • Web uygulamalarında güvenlik açığı bulsam bile artık bildirmiyorum. İlk bildirdiğimde polis tarafından tutuklanmanın eşiğine geldim, ikinci seferde ise bana hiç yanıt vermeden doğrudan işverenime ulaşıp bildirimin rahatsız edici olduğunu ve düzeltildikten sonra bunun hakkında yazmak istediğimi söylediler
    O zamandan beri bunun zahmete değmediğine karar verdim; öylece bırakınca ben de sakin bir gün geçirebiliyorum

    • İsterseniz açığı Finnish Cyber Security Centre'a bildirebilirsiniz; etkilenen taraflarla bildirim ve arabuluculuk sürecini onlar yürütüyor
      Tamamen anonim olarak da mümkün, bu yüzden aşırı tepkili şirketlerin hayatınızı mahvetmesinden endişe etmenize gerek yok. Traficom'un FCSC'si, white-hat güvenlik araştırmacılarının kamu yararına katkı vermeyi sürdürmesini sağlayan değerli bir kurum
    • Bir keresinde bir demiryolu hattı sosyal medyada “birine iyilik yaptık” diye bir fotoğraf paylaşmıştı; ofis fotoğrafındaki duvarda çeşitli sistemlere ait kullanıcı adları ve giriş bilgileri yazılı bir A4 kağıdı asılıydı
      Bulabildiğim üç iletişim noktasına bildirdim ama yalnızca biri cevap verdi; bu sistemlerin ne işe yaradığını ve riskin ne olduğunu sordular. Benim hiçbir fikrim yoktu ve ne olduğu belirsiz sistemlere giriş yapıp kontrol etmeyi kesinlikle düşünmediğim için, bunu iç BT ekibine iletip değiştirilmesi veya yenilenmesi gerekip gerekmediğine bakmalarını söyledim
      Sonunda, gösterdiğim özen için teşekkür edip fotoğrafı sildiklerini, dolayısıyla sorunun çözüldüğünü söylediler. Gerçekten anlayan birinin bunu incelemiş olmasını umuyorum ama daha fazla dahil olmamaya karar verdim
    • Kafana takmamak daha iyi
      Bir süre profesyonel olarak white-hat çalıştım ama dürüst ve yardımcı olmaya çalışmanın artık riskli olduğu görüşüne katılıyorum. Açıkları satmaya karar versen de bunu yadırgamam
    • Düzenlemeleri eleştirenler olabilir ama AB'nin zorunlu kıldığı Siber Dayanıklılık Yasası (CRA), şirketleri açık bildirimleri için net bir iletişim noktası oluşturmaya ve gerçekten yanıt vermeye zorluyor
    • Exploit'i anonim olarak bir devlet kurumuna bildirmeyi de deneyebilirsiniz

  • Burada tam olarak ne olduğunu bilmiyorum ama büyük bug bounty programlarının birinci kuralı, satıcı tarafındaki ilgili herkesin ödemenin yapılması yönünde güçlü şekilde teşvik edilmesidir
    Çoğu durumda, ödeme tutarına bağlı iç metrikleri olan biri vardır ve bu tür programlarda ödeme yapılması kutlanacak bir şeydir. Microsoft'un para tasarrufu için bounty talep edenleri taciz etmeye çalıştığını düşünmek neredeyse kesin olarak doğru değildir
    Küçük şirketler için geçerli olmayabilir; zaten küçük şirketlerin bug bounty yürütmemesi gerektiğinin nedenlerinden biri de budur. Ama FAANG/MAG7 ölçeğindeki şirketler için bu kesinlikle geçerlidir. Bu, bu programların her zaman ödeme konusunda cömert olduğu ya da insanları kızdıracak kararlar vermediği anlamına gelmez. Sadece kin yüzünden ödeme tutulduğu iddiasıyla uyuşmuyor
    Yine de Microsoft tarafındaki kişilerle konuşmayalı epey oldu, bu yüzden biraz pay bırakıyorum

    • YellowKey yazısını okursanız, en azından bazı durumlarda bunun ABD istihbarat kurumları ve benzerlerinin kullandığı Microsoft'un resmi bir arka kapısını ifşa etmek gibi göründüğünü düşünebilirsiniz. Yani BitLocker'ın güvenli olmadığı ve bir arka kapı içerdiği söyleniyor
      TrueCrypt'in bir gün aniden kapanıp tüm indirmeleri kaldırdıktan sonra herkese Microsoft BitLocker'a geçmesini tavsiye etmiş olması düşünüldüğünde, bu tamamen beklenmedik bir şey değildi
      [1] - https://www.tomshardware.com/tech-industry/cyber-security/mi...
    • Bu iş, ihbarcıyı videoyu yayınlamamaya ikna edemeyince bürokrasinin Bluehammer'ı incelemeyi bile reddetmesiyle başladı
      Sonra bürokrasiyi düzeltmek yerine hesabı yasaklayarak daha da ileri gitmeleri gerçekten kötü bir görüntü veriyor. Microsoft'un neden iyi niyetli olarak yorumlandığını pek anlayamıyorum
    • Bu kişinin gündeme getirdiği hata, oldukça açık bir BitLocker arka kapısı gibi görünüyor ve Microsoft'un şifrelemede ne yaptığına dair çok ciddi sorular doğuruyor
      Kullanıcı anahtarı olmadan birimlerin çözülebilmesi epey olası görünüyor; bu da son derece kaygı verici. Bunu yokmuş gibi göstermeye çalışıyorlar ama zaten açığa çıktı
    • Akıllılarsa, yasaklama kararından sonra ona yüklü bir ödeme yapıp işe alırlardı. Bu kadar büyük şirketler gerilir ama aptal değillerse parayı öderler
      Microsoft bu konularda en ilerici şirket olmayabilir, bu yüzden bunun farkına vardılar mı bilmiyorum
    • Bug bounty değerlendirmelerinde çalışırken, ödeme yapmaktan kaçınıldığına dair bir kanıt görmedim. Şirket tarafında gördüğüm en kötü davranış, kavram kanıtında “lütfen X'i yapmayın” denmesine rağmen bu talimatı görmezden gelen bir araştırmacıya daha yüksek ödeme yapılmasıydı
      Çünkü sonuçta kanıtlanan risk daha büyüktü. Tersine, büyük programlardan birinde bir araştırmacı yıllar önce sıradan bir XSS exploit'i ile daha yüksek ödeme seviyesine giren bir etki yaratabildiğine programı ikna etmişti; sonrasında da her XSS bulduğunda aynı etkiyi üreten bir kavram kanıtı ekleyerek sürekli uygunsuz biçimde daha yüksek seviyeden ödeme aldı. Diğer araştırmacıların XSS bulguları ise tabloda yazan XSS seviyesinden ödendi
      Aslında bir istisna aklıma geliyor. Biri şirket sunucusuna web shell yerleştirme gibi kutsal kase sayılabilecek bir başarı elde etmişti ve bugünün ölçülerinde 10 bin doların üzerinde ederdi. Ama web shell'i kaldırmadan sadece raporu gönderip öyle bıraktı. Program yöneticisi buna çok öfkelenmişti ve sırf bu yüzden bounty ödemek istemediğini açıkça söylemişti. Sonunda ödeme yapıldı mı, hatırlamıyorum

  • Microsoft sanırım bundan pişman olacak
    Biri zero-day bulursa ödül yok, sadece hesap yasağı var. O zaman da o zero-day'i başka yere satar

    • Ama bu hikaye zero-day exploit'in satılması değil, kamuya açıklanmasıyla ilgili değil mi? Başlık da öyle diyor
      Üstelik Microsoft'la ilgisi olmayan GitLab'de de yasaklanmış
    • Başka zero-day bulan kişiler de var. İtibar çok önemli
    • Zero-day'i başka yere satsa da sorun olmaz gibi. CIA, üst düzey bir yöneticinin talebiyle milyonlarca dolarlık külçe altın verebiliyorsa, exploit satın almak için satın alma siparişi gerekmiyor olabilir

  • Son birkaç ayda çeşitli ilgili olaylarda birçok tuhaf dijital tepkiyle karşılaştım ve tam olarak neyi yanlış yaptığımı saptayamadığım için hayal kırıklığı yaşadım. Sonra makalede şu cümleyi okudum
    “Ama maliyeti kısmak için Microsoft yetkin insanları işten çıkardı ve geriye sadece akış şeması takipçileri kaldı.”
    Akış şeması takipçileri ifadesi akılda tutulmaya değer. Düşünmeleri için değil, önceden tanımlanmış prosedürleri izlemeleri için para alan insanlar bunlar. Yakın gelecekte ister dijital ister gerçek insanlar olsun, bu tür akış şeması takipçileriyle çok daha fazla muhatap olacağız gibi görünüyor

    • Geçmişte muhatap olmak zorunda kaldığım kurumsal güvenlik danışmanlık şirketlerinin çoğu kontrol listeleriyle hareket ediyordu
    • Tamirciler, elektrikçiler, inşaat ustaları gibi birçok mavi yaka meslekte flowchart takip etmek fiilen yasadır ve prosedürler kanla ve sorumlulukla yazılmıştır
      Buna karşılık BT, operasyon ve geliştiriciler kendilerini zanaatkâr ruhlu, özgür düşünen bilgi çalışanları olarak görür. Prosedür izlemekten çok kestirmeler, hack'ler ve kutunun dışında düşünmek yetkinlikle ilişkilendirilir

  • Microsoft'ta neler olduğuna dair kamuya açık bir açıklama var mı? Neden Microsoft ve GitLab o kullanıcıyı birlikte yasakladı?
    Her iki platformun da baştan açıkça etiketlendiği sürece exploit ve güvenlik araştırması barındırmaya izin verdiğini sanıyordum; demek ki muhtemelen bir kural ihlal edildi

    • Hâlâ fiziksel donanım erişimi gerektiren tam disk şifreleme exploit'i ise, belki de üç harfli bir devlet kurumu gibi yerler için yapılmış olabilir

  • Habercinin vurulması bunu çözer herhalde

    • Belki de zafiyetleri yamalamak yerine bunların devlet kurumlarına satılmasını teşvik etmek istiyorlardır

  • Microsoft, GitHub'dan zero-day kaldırma konusunda kendi üzerine editoryal sorumluluk mu aldı?
    Benim yazılımımdaki bir zero-day GitHub'a yüklenirse, Microsoft o hesabı da mı kapatacak?

    • Bu adımın neden gelecekte başka hesaplara karşı da işlem yapma sorumluluğu doğurduğunu anlamıyorum

  • Bu durum, Microsoft'un GitHub'a sahip olmasının yarattığı yapısal çıkar çatışmasını net biçimde gösteriyor
    GitHub'ın aktif, silahlandırılmış exploit'lerin barındırılmasına ilişkin açık hizmet şartları var, ancak Windows'u hedef alan bir araştırmacının yasaklanması, geçerli bir gerekçe olsa bile her zaman misilleme gibi görünecektir

  • Çok önemli bilgi:
    https://www.theregister.com/security/2026/05/28/microsoft-0-...
    Bağlantı verilen Microsoft blog yazısında şöyle deniyor
    “Bu güvenlik açıklarının ayrıntıları, kamuya açıklanmadan önce Microsoft ile paylaşılmadı ve bu açıklama müşterileri gereksiz riske attı.”
    O hâlde Microsoft yalan mı söylüyor? Değilse, Nightmare-Eclipse neden bildirim yapmadı? Oldukça garip bir durum

    • “Bu açıklama müşterileri gereksiz riske attı” ifadesi rahatsız edici
      Sorumlu açıklama olmuş olsun ya da olmasın, müşterileri riske atan araştırmacı değil, Microsoft'un kendisi
    • Nightmare-Eclipse'in bildirim yapmamasının nedeni, memnuniyetsiz bir araştırmacı gibi görünen yabancı bir istihbarat servisinin paravan operasyonu olması olabilir
    • Burada kastedilen müşteriler, lisans için para ödeyen kişi ya da şirketler değil, bu arka kapıyı talep eden taraf olabilir