ไมโครซอฟท์ประเมินช่องโหว่ที่นักวิจัยแจ้งพลาดจนนักวิจัยเปิดช่องโหว่สู่สาธารณะ สุดท้ายไมโครซอฟท์จ่ายรางวัล 15,000 ดอลลาร์

2018-10-23

Matt Nelson นักวิจัยความปลอดภัยอิสระเล่าบทเรียนถึงการรายงานช่องโหว่การข้ามการบล็อค OLE ในไฟล์ Office 2016 ที่เปิดให้แฮกเกอร์ส่งไฟล์ที่ฝังสคริปต์ไว้ภายในแล้วไปรันบนเครื่องของเหยื่อได้ แต่ความผิดพลาดในการสื่อสารทำให้ไมโครซอฟท์ไม่รับบั๊กไว้ จนกระทั่งมีการใช้ช่องโหว่ไปโจมตีผู้ใช้ในที่สุด

เขารายงานช่องโหว่พร้อมโค้ดตัวอย่าง ตั้งแต่เดือนกุมพาพันธ์ที่ผ่านมา แม้ทีมงาน MSRC (Microsoft Security Response Center) ของไมโครซอฟท์จะส่งผู้จัดการเคสมารับเรื่องอย่างรวดเร็ว แต่การสื่อสารก็ขาดช่วง และสุดท้ายหลังจากผ่านไปเกือบสี่เดือนไมโครซอฟท์ก็แจ้งว่าความร้ายแรงของช่องโหว่ต่ำกว่าระดับที่ MSRC รับดูแล และการรายงานของ Matt ก็ถูกปิดเคสไป

Matt เปิดเผยช่องโหว่นี้บนบล็อกของเขาในสัปดาห์ต่อมา เพียงไม่กี่วันหลังจากนั้น แฮกเกอร์เริ่มใช้ช่องโหว่นี้โจมตีผู้ใช้ผ่านเบราว์เซอร์ทั้งโครมและไฟร์ฟอกซ์ Matt จึงอีเมลกลับไปยังไมโครซอฟท์อีกครั้ง พร้อมแจ้งว่ามอซิลล่ารายงานช่องโหว่นี้เป็น CVE-2018-12368 แล้ว

MSRC ตอบกลับมาพร้อมกับขอโทษที่สื่อสารผิดพลาดจนมีการแจ้ง Matt ว่าช่องโหว่ระดับต่ำเกินไป และแจ้งว่าช่องโหว่นี้เข้าข่ายการรับรางวัลตามโครงการ Windows Insider Preview Bounty Program จากนั้นไมโครซอฟท์เปิดเลขช่องโหว่ CVE-2018-8414 และปล่อยแพตช์เมื่อกลางเดือนสิงหาคมที่ผ่านมา

ไมโครซอฟท์จ่ายเงินรางวัลให้ Matt 15,000 ดอลลาร์แม้ช่องโหว่จะถูกเปิดเผยก่อนมีการปล่อยแพตช์ก็ตาม และเมื่อ Matt เล่าเหตุการณ์นี้ MSRC ก็แสดงความเห็นเพิ่มเติม ยอมรับว่าเหตุการณ์ครั้งนี้เป็นบทเรียนให้มีการเปลี่ยนแปลงกระบวนการภายใน

ที่มา – enigma0x

No Description