Microsoft сталкивается с критикой сообщества безопасности по поводу Nightmare Eclipse

Публичная угроза Microsoft возбудить уголовное дело против исследователя, стоящего за шестью раскрытиями "нулевого дня" Windows, превратила спор об уязвимости в полномасштабную ответную реакцию сообщества специалистов по безопасности.

Исследователь, известный под ником Nightmare Eclipse, опубликовал оружейный код для шести уязвимостей Windows в период с начала апреля по середину мая 2026 года без согласования с Microsoft. Три уязвимости, BlueHammer, RedSun и UnDefend, были использованы в реальных атаках. YellowKey, GreenPlasma и MiniPlasma остаются неисправленными.

Microsoft принимает ответные меры

Компания Microsoft опубликовала официальное сообщение в своем блоге 28 мая, в котором раскрытие информации названо "неоправданным", и предупредила, что ее подразделение по борьбе с цифровыми преступлениями будет возбуждать дела против всех, кто поддерживает преступную деятельность с помощью кода эксплойтов. Компания обвинила исследователя в том, что он обошел согласованные стандарты раскрытия информации об уязвимостях.

Nightmare Eclipse оспаривает это. Исследователь утверждает, что компания Microsoft удалила учетную запись Security Response Center, использовавшуюся для отправки оригинальных сообщений об ошибках, и отказалась от дальнейших контактов. "Вы буквально удалили учетную запись Microsoft, с помощью которой я сообщал Вам об ошибках, и я получил за это ноль пенни", - написал исследователь.

Отпор сообщества

Индустрия безопасности не встала на сторону Microsoft. Кэти Муссурис (Katie Moussouris), которая была пионером программ "bug bounty" в Microsoft и придумала систему скоординированного раскрытия информации, которой теперь пользуется компания, публично раскритиковала эту запись в блоге на Bluesky. Она написала, что "ответственное раскрытие информации" - это первая проблема. Добавление угрозы преследования со стороны подразделения по борьбе с цифровыми преступлениями усугубляет ситуацию и отталкивает исследователей от доверия к Microsoft.

Кевин Бомонт (Kevin Beaumont), бывший инженер по безопасности Microsoft, назвал ситуацию "пожаром в мусорном баке, который они сами устроили", отметив, что ранее Microsoft наняла SandboxEscaper после того, как она опубликовала код эксплойтов нулевого дня без предупреждения, причем поведение, которое Редмонд теперь называет преступным.

Что еще не исправлено и что будет дальше

Кошмарный Eclipse был заблокирован на GitHub около 23 мая и на GitLab 26-27 мая, и теперь публикуется в личном блоге. Выпущенный 14 июля эксплойт, нацеленный на июльский Patch Tuesday, по-прежнему представляет угрозу, предупреждая об уязвимостях, связанных с эскалацией к удаленному выполнению кода.

Администраторы должны относиться к YellowKey, GreenPlasma и MiniPlasma как активные риски. Для YellowKey меры по снижению риска, предлагаемые Microsoft, требуют ручного редактирования автономной ветви реестра WinRE и удаления autofstx.exe из значения BootExecute.

Конфигурация TPM+PIN перед загрузкой полностью исключает физический путь извлечения. Движок Defender Engine версии 1.1.26040.8 или более поздней справляется с RedSun и UnDefend, и это обновление не должно дожидаться окна планового обслуживания.