Microsoft отказывается рассматривать отчёт об уязвимости, если нет видео вместе с письменным объяснением инцидента

Исследователь по ИБ Уилл Дорманн раскритиковал работу Центра реагирования на угрозы безопасности Microsoft (MSRC) за отказ рассматривать его отчёт об уязвимости, пока белый хакер не предоставил компании подробное видео вместе с письменным объяснением обнаруженного инцидента с подтверждающими скриншотам.

«Я понимаю, что дети в наши дни не могут понять ничего, что не существует в TikTok. Но MSRC не принимает чётко сформулированный отчёт об уязвимости, к которому нет соответствующего видео», — заявил Дорманн.

В MSRC заявили Дорманну: «По просьбе предоставьте чёткое видео POC (доказательство концепции) того, как эксплуатируется указанная уязвимость. Без этого мы не сможем добиться никакого прогресса. Это будет высоко оценено». Разочарованный требованием Microsoft, в котором, по словам Дормана, должно показываться только ввод нескольких команд, которые уже были изображены им на скриншотах, и нажатие Enter в CMD, аналитик создал пятнадцатиминутное видео, напичканное сторонним контентом. В ролике также присутствует энергичная фоновая музыка в стиле техно, которая тратит время рецензента примерно на 14 минут бездействия.

«Я понимаю, что люди, выполняющие рутинную работу, в основном имеют фиксированные рабочие процессы, которые они проходят с общими последующими шагами. Но запрос видео, которое теперь фиксирует (помимо моих уже отправленных скриншотов) процесс набора текста и ответ Windows, отрисованный на экране, добавляет какую ценность сейчас? В довершение всего, при попытке отправить видео через портал Microsoft загрузка не удалась из‑за ошибки 403», — сообщил Дорманн.

По совпадению, жалобы Дорманна поступили в тот же день, когда специалисты MSRC опубликовали в блог компании заявление, в котором подчёркивались сильные стороны и