Microsoft zdobywa smutne uznanie na Black Hat 2021

Podczas zakończonej wystawy hackerskiej Black Hat USA 2021 Microsoft otrzymał nagrodę, która jednak wcale nie jest prestiżowa. W konkursie Pwnie Awards firma wygrała w kategorii "Most Epic Fail" (Most Epic Fail). Te osobliwe nagrody celebrują zarówno znaczące osiągnięcia w dziedzinie cyberbezpieczeństwa, jak i poważne porażki.

Problemy z Microsoft Exchange i spóźniona reakcja firmy, ogromna dziura w jądrze kryptograficznym Windows oraz nieudana próba poradzenia sobie z serią luk nazwanych PrintNightmare zarysowują prawdziwie koszmarny rok dla firmowych specjalistów ds. bezpieczeństwa.

"Microsoft próbował to naprawić, ale nie udało mu się. Następnie spróbowałem jeszcze raz, aby to naprawić, ale bezskutecznie. Miejmy nadzieję, że nadal próbują. Dwie poprawki i nadal nic! Nie trzeba dodawać, że Microsoft zidentyfikował CVE-2021-34527 jako LPE; trochę siły woli i dramatu na Twitterze uczyniło z niego RCE. Microsoft wydał kolejną łatę, która nie naprawia poprawnie wektora RCE i nawet nie próbuje naprawić LPE.", pisze Black Hat.

Błędy w kodzie Microsoftu doprowadziły również do dwóch dodatkowych zwycięstw, w tym do zwycięstwa bezimiennych badaczy z amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA) za odkrycie błędu w weryfikacji podpisów w systemie Windows.

Źródło: securityweek