微软邮件伺服器软体 Exchange Server 资安事件近期闹的沸沸扬扬,而来自台湾的戴夫寇尔(DEVCORE)日前表示,该公司是这次最早揭露此零日漏洞的团队;然而,近日却有消息传出,戴夫寇尔才是「引狼入室」的罪魁祸首,骇客利用戴夫寇尔测试工具攻击 Exchange Server。对此,戴夫寇尔严正驳斥,指出已针对自身进行彻底调查,已充分证实并未有任何资料从戴夫寇尔外洩的疑虑,且未受到任何来自微软的求偿或是警告。
戴夫寇尔于 Facebook 发布声明,表示关于微软日前公布修补遭到骇客攻击的 Exchange Server 安全漏洞,戴夫寇尔做为最早揭露此零日漏洞的团队,已于 1 月 5 日即通报微软,编号命名为「CVE-2021-26855 」及「CVE-2021-27065」(团队称其为「ProxyLogon」),于通报过程中获得微软高度肯定,并于 3 月 2 日获得微软公开致谢。
同时,关于近日部分媒体上出现的臆测,戴夫寇尔也声称研究团队成员高度自律,遵循高道德标準,一直以来若发现企业漏洞,绝对遵循责任揭露(Responsible Disclosure)原则,从未在原厂分享技术细节与公告漏洞修补前洩露任何资讯。自戴夫寇尔成立以来已多次回报国际科技大厂如 Amazon、Facebook、Twitter、Github 和 Uber 的远端代码执行漏洞(RCE vulnerabilities),过程中亦从未出现任何异常状况。
戴夫寇尔进一步指出,得知骇客团体可能使用戴夫寇尔回报给微软的研究之后,即已立即针对员工电脑设备、公司内部系统以及基础架构进行彻底调查,调查后确认系统或设备并无遭到入侵或是资料外洩的迹象,亦无异常的登入或档案存取纪录。另外,戴夫寇尔漏洞研究在本公司内部为独立编制,相关研究资料与讯息皆设置在企业内部网路,并受到严格控管,内部网路的伺服器设有稽核纪录,仅有研究人员能够存取。
最后,戴夫寇尔强调,已针对自身进行彻底调查,已充分证实并未有任何资料从戴夫寇尔外洩的疑虑,且未受到任何来自微软的求偿或是警告。对于所有不实指控,不排除提告并採取法律行动。
