Microsoft recusa análise de vulnerabilidade sem vídeo, e pesquisador responde com looping irônico

Um analista de vulnerabilidades e figura conhecida na comunidade de segurança da informação criticou a Microsoft por se recusar a analisar um relatório de bug sem que um vídeo fosse enviado junto com a explicação escrita.

O pesquisador Will Dormann, analista sênior de vulnerabilidades, relatou na semana passada que enviou ao Microsoft Security Response Center (MSRC) uma descrição detalhada do bug, acompanhada de capturas de tela, mas foi informado de que o relatório não seria analisado sem um vídeo.

O MSRC respondeu a Dormann com a seguinte solicitação:

"Conforme solicitado, por favor, forneça um vídeo claro de prova de conceito (PoC) demonstrando como a vulnerabilidade pode ser explorada. Não podemos avançar sem isso. Sua colaboração será muito apreciada."

Irritado com a exigência da Microsoft, Dormann destacou que o vídeo não acrescentaria valor, pois apenas mostraria ele digitando comandos que já estavam ilustrados nas capturas de tela e pressionando Enter no prompt de comando (CMD). Como forma de protesto, ele criou um vídeo repleto de conformidade maliciosa.

O vídeo tem 15 minutos de duração e, aos quatro segundos, exibe uma captura de tela do filme Zoolander, na cena em que o protagonista apresenta o "Centro para Crianças que Não Sabem Ler Bem". Além disso, há uma trilha sonora techno repetitiva, enquanto o restante do vídeo desperdiça 14 minutos de inatividade, tornando a análise completamente inútil.

Dormann expressou sua frustração no Mastodon, dizendo:

"Entendo que quem faz trabalho repetitivo segue fluxos de trabalho fixos, mas exigir um vídeo que apenas capture o ato de eu digitar e o Windows respondendo na tela adiciona qual valor?"

Para piorar a situação, ao tentar enviar o vídeo pelo portal da Microsoft, o upload falhou devido a um erro 403.

Coincidentemente, a reclamação de Dormann surgiu no mesmo dia em que o MSRC publicou um blog destacando as qualidades do seu programa de divulgação coordenada de vulnerabilidades.

Solicitar um vídeo de PoC, além de capturas de tela, não é uma prática comum na indústria de segurança cibernética. Organizações como a CISA, que utiliza o sistema VINCE da Carnegie Mellon para receber relatórios de vulnerabilidade, permitem o envio de um único arquivo de 10 MB para suporte, com a possibilidade de anexar arquivos adicionais sob demanda.

No Reino Unido, órgãos do setor público seguem as diretrizes do National Cyber Security Centre (NCSC), que não exige vídeos nos relatórios. Em geral, apenas uma descrição detalhada do problema e instruções para reproduzi-lo são consideradas suficientes.

Dormann acrescentou que, embora algumas plataformas como HackerOne e Bugcrowd também peçam vídeos em alguns casos, a exigência sinaliza que o revisor está apenas seguindo um processo mecânico, sem realmente entender o relatório.

O pesquisador criticou o MSRC por ignorar o conteúdo do relatório apenas pela ausência de um vídeo:

"Se um pesquisador está fazendo o esforço de relatar vulnerabilidades para ajudar os fornecedores, o mínimo que a empresa pode fazer é fingir que está levando o assunto a sério."

Dormann também revelou que recentemente relatou três vulnerabilidades diferentes à Microsoft:

1. Duas delas tiveram solicitação de vídeo PoC, mesmo que não fizesse sentido ter um vídeo para demonstrar o problema.

2. A terceira foi rejeitada com base em um parecer genérico, indicando que o analista do MSRC nem sequer leu o relatório corretamente.

   
   

"Pesquisadores que fazem a coisa certa merecem um tratamento melhor."

Dormann ainda aguardava uma resposta da Microsoft sobre seu vídeo. No entanto, a Microsoft respondeu ao site The Register afirmando que, embora o vídeo não seja um requisito obrigatório, pode ajudar na avaliação da vulnerabilidade e na possível recompensa de bug bounty.

Via - TR