A Microsoft a biztonsági közösség ellenérzéseivel szembesül a Nightmare Eclipse miatt

A Microsoft nyilvános fenyegetése, hogy büntetőjogi eljárást indít a hat Windows nulladik napi felfedezés mögött álló kutató ellen, a biztonsági közösség teljes körű visszatetszését váltotta ki a sebezhetőségi vitából.

A Nightmare Eclipse néven ismert kutató április eleje és 2026. május közepe között hat Windows sebezhetőség fegyveres proof-of-concept kódját tette közzé a Microsofttal való egyeztetés nélkül. Három hibát - BlueHammer, RedSun és UnDefend - éles támadásokban használtak ki. A YellowKey, a GreenPlasma és a MiniPlasma továbbra is javítatlan.

A Microsoft visszavág

A Microsoft hivatalos blogbejegyzést tett közzé május 28-án, melyben a felfedéseket "soha nem indokoltnak" minősítette, és a oldalon figyelmeztette a digitális bűncselekményekkel foglalkozó egységét hogy eljárást indít mindazok ellen, akik exploit kódok segítségével bűncselekményeket tesznek lehetővé. A vállalat azzal vádolta a kutatót azzal, hogy megkerülte az összehangolt biztonsági rés közzétételi szabványokat.

Rémálom Eclipse vitatja ezt. A kutató azt állítja, hogy a Microsoft törölte az eredeti hibabejelentések benyújtásához használt Security Response Center fiókot, és megtagadta a további kapcsolatfelvételt. "Szó szerint törölték azt a Microsoft-fiókot, amellyel a hibákat jelentettem önöknek, és nulla fillért kaptam érte" - írta a kutató.

A közösség visszavágása

A biztonsági iparág nem áll a Microsoft oldalára. Katie Moussouris, aki a Microsoftnál úttörő szerepet játszott a bug bounty programok kidolgozásában, és ő alkotta meg a vállalat által mostanában alkalmazott koordinált közzétételi keretrendszert, nyilvánosan kritizálta a Bluesky blogbejegyzését. A "felelős nyilvánosságra hozatalra" való hivatkozás volt az első probléma, írta. A Digitális Bűnözés Elleni Egység büntetőjogi fenyegetésének hozzáadása tovább rontott a helyzeten, és a kutatókat eltántorítaná a Microsoft iránti bizalomtól.

Kevin Beaumont, a Microsoft korábbi biztonsági mérnöke "saját maguk által okozott szemétdomb-tűznek" nevezte a helyzetet, megjegyezve, hogy a Microsoft korábban felvette a SandboxEscapert, miután figyelmeztetés nélkül publikált nulladik napi exploit kódot, a redmondiak most bűncselekménynek minősítik a viselkedést.

Mi az, ami még javítatlan és mi következik ezután

Rémálom Eclipse május 23-a körül kitiltották a GitHubról, május 26-27-én pedig a GitLabról, és most egy személyes blogról publikál. Egy július 14-i exploit kiadás, amely a júliusi Patch Tuesday-t célozza meg, továbbra is fenyegetést jelent, és távoli kódfuttatási sebezhetőségek eszkalálódására figyelmeztet.

A rendszergazdáknak kezelniük kell YellowKey, GreenPlasma és MiniPlasma aktív kockázatként kezelik. A YellowKey esetében a Microsoft enyhítése az offline WinRE registry hive kézi szerkesztését és az autofstx.exe eltávolítását igényli a BootExecute értékből.

A TPM+PIN rendszerindítás előtti konfiguráció teljesen elvágja a fizikai kivonási útvonalat. Defender motor 1.1.26040.8 vagy újabb verziója kezeli a RedSun és az UnDefend programokat, és a frissítésnek nem kell megvárnia a tervezett karbantartási ablakot.