Грег Лінарес поділився кумедною історією на X про те, як він і його товариші по команді оголосили про велику вразливість нульового дня в Office 2007. Проте з’ясувалося, що це була помилка з їхнього боку. Щоб врятувати свою репутацію, роботу і, можливо, навіть бізнес, їм довелося щосили шукати справжню помилку. Це сталося наприкінці 2006 року, коли Лінарес працював із фірмою цифрової безпеки eEye, і вони тестували новий пакет Microsoft Office на наявність вразливостей.
eEye є однією з провідних установ з управління загрозами, її завданням було перевірити, чи мала остання версія офісного пакета будь-які недоліки нульового дня. Протягом 36 годин після запуску Лінарес виявив помилку у функції конвертації об’єктів Word Art. Він надіслав цю знахідку своєму керівнику Марку Мейффрету, який погодився з відкриттям Лінареса та надіслав його до Microsoft Security Response Center (MSRC). Водночас eEye опублікувала кілька пресрелізів про помилку, а деякі великі новинні видання висвітлили історію на основі анонсу eEye.
Im in a half passed out state, filled with delirium, pizza half in my hand barely conscious when I hear a fuzzer really hit
I spill a mountain dew code red while I come back into consciousness
— Greg Linares (Laughing Mantis) (@Laughing_Mantis) June 8, 2024
Та невдовзі Девід Леблан, який був одним із головних експертів із безпеки та працював над Office 2007, помітив, що помилку можна використати, лише якщо до програми під’єднано відладчик. Але за типового використання пакета програм середніми користувачами такого майже ніколи не буває. Це означало, що відкриття Грега Лінареса було хибнопозитивним, тому eEye довелося відкликати свої оголошення.
На той час Грег пропрацював у eEye менше двох місяців і почувався спустошеним, оскільки його помилка потенційно могла коштувати компанії її репутації, а йому самому – посади в компанії. eEye довелося б відкликати свій анонс.
Але у Марка була інша ідея: замість того, щоб відкликати пресреліз, він сказав дослідницькій групі знайти для нього нову помилку нульового дня в Office 2007 якомога швидше. Тим часом eEye тягнула час, повідомивши MSRC, що команда надіслала неправильний файл і незабаром надасть оновлення.
Отже, Лінарес почав вручну виконувати фаззинг — або випадково вставляти недійсні та несподівані дані — для пакета Office, щоб спробувати щось знайти. В цьому йому допомагаля вся дослідницька група. Ніхто з команди не виходив з офісу протягом кількох днів, а їхні дружини та партнери дуже переживали за них. Вони продовжували свої спроби, доки не знайшли іншу помилку, щоб підтвердити своє перше оголошення.
Після чотирьох днів різноманітних спроб нарешті вдалося знайти та відтворити помилку – повний перезапис покажчика розширених інструкцій, що дозволило команді взяти під контроль програму. Інші члени команди почали шукати джерело помилки, і виявили, що вона вплинула на Microsoft Publisher. Після повторного тестування вразливості за допомогою відладчика та нової операційної системи команда підтвердила помилку.
Потім команда передала інформацію про нову вразливість MSRC та провела повні демонстрації вразливостей і підтвердила свої висновки пресі. Тоді Microsoft підтвердила її, а згодом eEye написала консультативне інформування про подробиці вразливості. Компанії не довелося відкликати свій початковий анонс, Грег зберіг свою роботу в eEye як дослідник безпеки й вже близько 20 років працює в індустрії інформаційної безпеки.
Джерело: tomshardware