A AMD se recusou a pagar uma recompensa pela vulnerabilidade e a corrigiu em 124 dias.

A AMD se recusou a pagar uma recompensa de US$ 10.000 a um pesquisador de segurança cibernética, apesar da assistência e cooperação prestadas por ele. O incidente começou em fevereiro, quando o pesquisador descobriu uma vulnerabilidade no sistema de atualização de software da AMD que permitia um ataque do tipo “homem no meio” e a execução remota de código.

Fonte da imagem: amd.com

O pesquisador que descobriu o problema, Paul, enviou um relatório ao site da AMD como parte do programa de recompensas por bugs e solicitou uma recompensa. Seu pedido foi negado porque ataques do tipo “homem no meio” não são cobertos pela política. No entanto, a pedido da AMD, Paul excluiu a postagem relevante do blog, mas agora a reabriu, revelando a história original.

A AMD já corrigiu a vulnerabilidade e a versão atual de seu software está protegida contra esse ataque. Mas o caminho até aqui não foi fácil nem rápido. Quando Paul descobriu o bug, a empresa pediu que ele fechasse a postagem do blog, prometeu registrar o número CVE da vulnerabilidade, corrigir o software e atribuir a descoberta ao pesquisador, mas afirmou imediatamente que nenhum pagamento seria feito. Paul concordou, mas especificou o prazo estipulado pela empresa para a resolução do problema, oferecendo os 90 dias padrão. A AMD respondeu que “provavelmente precisará de um embargo maior, pois parece que outras ferramentas além do Ryzen Master são afetadas e precisarão de atualizações adicionais”.

Isso levantou três questões. Primeiro, parecia que uma simples correção de um caractere no código — substituir “http” por “https” — seria suficiente. Segundo, se o problema estava demorando tanto para ser resolvido, por que não concordaram em pagá-lo? Terceiro, se a questão era tão importante, por que a AMD não a priorizou?

Finalmente, quando o prazo de 100 dias acordado expirou e Paul perguntou sobre o andamento da solução, a empresa pediu mais tempo porque “o bug afeta várias ferramentas” e “os clientes da AMD solicitaram uma prorrogação após o lançamento das atualizações”. A atualização, segundo a AMD, foi finalmente lançada em 9 de junho, 124 dias após a descoberta da vulnerabilidade. A empresa de fato havia reformulado o código de atualização automática, e Paul confirmou que os drivers agora carregam no modo de segurança. No entanto, ele observou que a validade do arquivo baixado é verificada usando o algoritmo de hash CRC32, já desatualizado e considerado criptograficamente seguro.

E talvez a parte mais engraçada dessa história tenha sido compartilhada por um usuário do Reddit. Segundo ele, explorar a vulnerabilidade descoberta por Paul não teria sido possível porque o fragmento correspondente não foi chamado inicialmente. Em outras palavras, a AMD não conseguiu atualizar o sistema de patches porque o código do patch não podia ser atualizado, exigindo que os usuários instalassem o software manualmente.