公親變事主,DEVCORE 駁斥陰謀論強調未受到微軟警告

作者 | 發布日期 2021 年 03 月 17 日 8:46 | 分類 Microsoft , 網路 , 資訊安全 Telegram share ! follow us in feedly


微軟郵件伺服器軟體 Exchange Server 資安事件近期鬧的沸沸揚揚,而來自台灣的戴夫寇爾(DEVCORE)日前表示,該公司是這次最早揭露此零日漏洞的團隊;然而,近日卻有消息傳出,戴夫寇爾才是「引狼入室」的罪魁禍首,駭客利用戴夫寇爾測試工具攻擊 Exchange Server。對此,戴夫寇爾嚴正駁斥,指出已針對自身進行徹底調查,已充分證實並未有任何資料從戴夫寇爾外洩的疑慮,且未受到任何來自微軟的求償或是警告。

戴夫寇爾於 Facebook 發布聲明,表示關於微軟日前公布修補遭到駭客攻擊的 Exchange Server 安全漏洞,戴夫寇爾做為最早揭露此零日漏洞的團隊,已於 1 月 5 日即通報微軟,編號命名為「CVE-2021-26855 」及「CVE-2021-27065」(團隊稱其為「ProxyLogon」),於通報過程中獲得微軟高度肯定,並於 3 月 2 日獲得微軟公開致謝。

同時,關於近日部分媒體上出現的臆測,戴夫寇爾也聲稱研究團隊成員高度自律,遵循高道德標準,一直以來若發現企業漏洞,絕對遵循責任揭露(Responsible Disclosure)原則,從未在原廠分享技術細節與公告漏洞修補前洩露任何資訊。自戴夫寇爾成立以來已多次回報國際科技大廠如 Amazon、Facebook、Twitter、Github 和 Uber 的遠端代碼執行漏洞(RCE vulnerabilities),過程中亦從未出現任何異常狀況。

戴夫寇爾進一步指出,得知駭客團體可能使用戴夫寇爾回報給微軟的研究之後,即已立即針對員工電腦設備、公司內部系統以及基礎架構進行徹底調查,調查後確認系統或設備並無遭到入侵或是資料外洩的跡象,亦無異常的登入或檔案存取紀錄。另外,戴夫寇爾漏洞研究在本公司內部為獨立編制,相關研究資料與訊息皆設置在企業內部網路,並受到嚴格控管,內部網路的伺服器設有稽核紀錄,僅有研究人員能夠存取。

最後,戴夫寇爾強調,已針對自身進行徹底調查,已充分證實並未有任何資料從戴夫寇爾外洩的疑慮,且未受到任何來自微軟的求償或是警告。對於所有不實指控,不排除提告並採取法律行動。

(首圖來源:微軟