Раздел Технологии выходит при поддержке Favbet Tech

Грег Линарес поделился забавной историей на X о том, как он и его товарищи по команде объявили о большой уязвимости нулевого дня в Office 2007. Однако выяснилось, что это была ошибка с их стороны. Чтобы спасти свою репутацию, работу и, возможно, даже бизнес, им пришлось изо всех сил искать настоящую ошибку. Это произошло в конце 2006 года, когда Линарес работал с фирмой цифровой безопасности eEye, и они тестировали новый пакет Microsoft Office на наличие уязвимостей.

eEye является одним из ведущих учреждений по управлению угрозами, ее задачей было проверить, имела ли последняя версия офисного пакета какие-либо недостатки нулевого дня. В течение 36 часов после запуска Линарес обнаружил ошибку в функции конвертации объектов Word Art. Он направил эту находку своему руководителю Марку Мейффрету, который согласился с открытием Линареса и направил его в Microsoft Security Response Center (MSRC). В то же время eEye опубликовала несколько пресс-релизов об ошибке, а некоторые крупные новостные издания осветили историю на основе анонса eEye.

Im in a half passed out state, filled with delirium, pizza half in my hand barely conscious when I hear a fuzzer really hit

I spill a mountain dew code red while I come back into consciousness

— Greg Linares (Laughing Mantis) (@Laughing_Mantis) June 8, 2024

Но вскоре Дэвид Леблан, который был одним из главных экспертов по безопасности и работал над Office 2007, заметил, что ошибку можно использовать, только если к программе подключен отладчик. Но при типичном использовании пакета программ средними пользователями такого почти никогда не бывает. Это означало, что открытие Грега Линареса было ложноположительным, поэтому eEye пришлось отозвать свои объявления.

К тому времени Грег проработал в eEye менее двух месяцев и чувствовал себя опустошенным, поскольку его ошибка потенциально могла стоить компании ее репутации, а ему самому — должности в компании. eEye пришлось бы отозвать свой анонс.

Но у Марка была другая идея: вместо того, чтобы отозвать пресс-релиз, он сказал исследовательской группе найти для него новую ошибку нулевого дня в Office 2007 как можно скорее. Тем временем eEye тянула время, сообщив MSRC, что команда прислала неправильный файл и вскоре предоставит обновление.

Итак, Линарес начал вручную выполнять фаззинг — или случайно вставлять недействительные и неожиданные данные — для пакета Office, чтобы попытаться что-то найти. В этом ему помогала вся исследовательская группа. Никто из команды не выходил из офиса в течение нескольких дней, а их жены и партнеры очень переживали за них. Они продолжали свои попытки, пока не нашли другую ошибку, чтобы подтвердить свое первое объявление.

После четырех дней различных попыток наконец удалось найти и воспроизвести ошибку — полную перезапись указателя расширенных инструкций, что позволило команде взять программу под контроль. Другие члены команды начали искать источник ошибки, и обнаружили, что она повлияла на Microsoft Publisher. После повторного тестирования уязвимости с помощью отладчика и новой операционной системы команда подтвердила ошибку.

Затем команда передала информацию о новой уязвимости MSRC и провела полные демонстрации уязвимости и подтвердила свои выводы прессе. Затем Microsoft подтвердила ее, а после этого eEye написала консультативное сообщение о подробностях уязвимости. Компании не пришлось отозвать свой первоначальный анонс, Грег сохранил свою работу в eEye как исследователь безопасности и уже около 20 лет работает в индустрии информационной безопасности.

Источник: tomshardware

Раздел Технологии выходит при поддержке Favbet Tech

Favbet Tech – это IT-компания со 100% украинской ДНК, которая создает совершенные сервисы для iGaming и Betting с использованием передовых технологий и предоставляет доступ к ним. Favbet Tech разрабатывает инновационное программное обеспечение через сложную многокомпонентную платформу, способную выдерживать огромные нагрузки и создавать уникальный опыт для игроков. IT-компания входит в группу компаний FAVBET.