AMD оказалась в споре с исследователем безопасности после исправления критической уязвимости в системе автообновления драйверов. Исследователь утверждает, что сообщил о сценарии удаленного выполнения кода через атаку «человек посередине», ждал стандартную выплату в $10 тыс., но получил отказ. На закрытие проблемы у компании ушло 124 дня.
По описанию исследователя, проблема затрагивала механизм автоматической доставки и установки обновлений AMD. При определенных условиях злоумышленник мог перехватить трафик между системой пользователя и инфраструктурой обновлений, а затем подменить содержимое. Такой класс атак относится к MITM, когда атакующий встраивается между двумя узлами связи и получает возможность читать или менять передаваемые данные.
Отчет был подан через программу bug bounty, после чего AMD отклонила выплату. Основание, по словам исследователя, было формальным: компания не относит MITM-сценарии к случаям, подпадающим под вознаграждение по своей политике. При этом патч позже все же вышел, а сам процесс исправления сопровождался переносами сроков и расширением перечня затронутых компонентов. Исследователь, как утверждается, соблюдал эмбарго и даже удалил публикацию о проблеме до выхода исправления.
Для программ поиска уязвимостей такая коллизия чувствительна. Удаленное выполнение кода обычно относится к самым дорогим классам находок, потому что позволяет запускать произвольный код на чужой системе. Для сравнения, Google в отдельных программах платит за такие находки суммы на порядок выше, а Microsoft в своих bounty отдельно выделяет наиболее опасные цепочки атак. На этом фоне отказ AMD выглядит не как спор о размере премии, а как вопрос о границах собственной политики раскрытия и мотивации исследователей.
История важна и для рынка драйверов в целом. Каналы обновлений давно остаются привлекательной целью, потому что дают доступ сразу к большому числу устройств, а атаки на цепочку поставок софта за последние годы стали отдельным классом инцидентов. Если AMD не пересмотрит правила программы, компания рискует получать меньше ранних сообщений о сложных сценариях, которые формально не вписываются в bounty, хотя на практике требуют срочного патча.