Microsoft опубликовала заявление, в котором отказалась от агрессивной риторики в конфликте с ИБ-исследователем Nightmare Eclipse (также известным как Chaos Eclipse), ранее раскрывшим эксплоиты для шести неисправленных уязвимостей Windows. Компания заявила, что не намерена предпринимать юридических действий против специалистов, занимающихся исследованиями безопасности. Этот разворот произошёл после масштабной критики со стороны профессионального сообщества, включая бывших сотрудников самой Microsoft. Ситуация затрагивает фундаментальный вопрос взаимоотношений между крупными вендорами и независимыми исследователями уязвимостей.
Хронология конфликта
Конфликт начался после того, как Nightmare Eclipse без предварительного уведомления Microsoft обнародовал информацию о шести неисправленных уязвимостях. Четыре из них получили идентификаторы CVE и зарегистрированы в базе NVD: CVE-2026-33825 (BlueHammer), CVE-2026-41091 (RedSun), CVE-2026-45498 (UnDefend) и CVE-2026-45585 (YellowKey). Ещё две уязвимости — GreenPlasma и MiniPlasma — упоминаются без присвоенных CVE, и их статус остаётся неподтверждённым из независимых источников. Ни одна из четырёх CVE не внесена в каталог CISA Known Exploited Vulnerabilities, однако для уязвимостей существуют публичные PoC-эксплоиты.
В конце мая Microsoft заявила, что публикация эксплоитов для неисправленных багов «не может быть оправдана ничем», и упомянула подразделение Digital Crimes Unit, занимающееся расследованием киберпреступлений совместно с правоохранительными органами. Хотя прямых угроз озвучено не было, ИБ-сообщество восприняло это как завуалированное давление.
Реакция сообщества и отступление Microsoft
Позиция Microsoft вызвала резкую критику со стороны авторитетных специалистов. По данным исходного материала, бывший сотрудник Microsoft Кевин Бомонт назвал ситуацию «катастрофой, созданной самой Microsoft». Глава исследований Nextron Systems Флориан Рот указал, что компания допустила серьёзную ошибку, превратив ситуацию в публичное противостояние. Кэти Муссурис — создательница программы bug bounty в Microsoft и основательница Luta Security — отметила противоречивость сигналов компании: с одной стороны, рассказы о вознаграждениях для исследователей, с другой — конфликт со специалистом, утверждающим, что не получил ни признания, ни выплат. Упоминание Digital Crimes Unit она охарактеризовала как «завуалированную угрозу».
В итоге Microsoft была вынуждена смягчить позицию. Ключевые тезисы нового заявления:
- Компания не собирается предпринимать юридических действий против людей, занимающихся ИБ-исследованиями или публикующих их результаты.
- Взаимодействие с правоохранительными органами возможно лишь при противоправной деятельности, причиняющей реальный ущерб клиентам.
- Компания признала, что некоторые взаимодействия с исследователями «могли проходить не слишком гладко», и пообещала учесть обратную связь.
При этом Microsoft никак не прокомментировала конкретные обвинения исследователя в блокировке аккаунтов и невыплате вознаграждений.
Эскалация: новые раскрытия
Конфликт, по всей видимости, привёл к эффекту, противоположному тому, на который рассчитывала Microsoft. Nightmare Eclipse сообщил в блоге, что после публичного давления со стороны компании с ним начали связываться другие исследователи, передавая информацию о найденных уязвимостях. В частности, он анонсировал уязвимость под названием Bitskrieg, приписываемую исследователю JonasLyk, которая предположительно нарушает защиту Secure Boot и позволяет обходить BitLocker. Технические детали ожидаются в июне. Следует подчеркнуть: эта информация основана исключительно на публикации в личном блоге исследователя и не подтверждена ни вендором, ни независимыми источниками.
Параллельно другой специалист, Аммар Аскар, раскрыл информацию о 0-day-уязвимости в Visual Studio Code всего через час после уведомления разработчиков GitHub. По имеющимся данным, мотивацией послужил прошлый негативный опыт взаимодействия с MSRC. Этот случай, хотя и не связан напрямую с Nightmare Eclipse, иллюстрирует системную проблему в отношениях Microsoft с исследовательским сообществом.
Оценка воздействия и системные выводы
Ситуация выходит за рамки единичного конфликта и обнажает структурную проблему. Когда крупнейший вендор программного обеспечения теряет доверие исследователей, последствия затрагивают всю экосистему безопасности Windows — а значит, корпоративных и государственных пользователей по всему миру. Каждое раскрытие уязвимости без предварительного уведомления вендора создаёт окно возможностей для злоумышленников, пока патч не будет выпущен.
Наибольшему риску подвержены организации, использующие затронутые компоненты Windows, особенно если подтвердится уязвимость в цепочке Secure Boot / BitLocker. Обход полнодискового шифрования может иметь критические последствия для защиты данных при физическом доступе к устройству.
Рекомендации
- Мониторинг CVE: отслеживайте обновления по CVE-2026-33825, CVE-2026-41091, CVE-2026-45498, CVE-2026-45585 в NVD и ожидайте присвоения оценок CVSS и выхода официальных патчей Microsoft.
- Публичные PoC: учитывайте, что для указанных уязвимостей доступны публичные эксплоиты. Проведите оценку применимости к вашей инфраструктуре до выхода патчей.
- Bitskrieg: до публикации технических деталей и независимой верификации проверьте актуальность конфигурации Secure Boot и политик BitLocker в вашей среде. Убедитесь, что прошивки UEFI обновлены до последних версий.
- Расширения VS Code: ограничьте установку расширений из непроверенных источников и следите за обновлениями безопасности Visual Studio Code.
Этот конфликт — наглядная демонстрация того, как попытка вендора подавить неудобного исследователя может привести к каскадному ухудшению ситуации. Для организаций, использующих Windows, практический вывод прост: не дожидаясь официальных патчей, проведите инвентаризацию систем, потенциально затронутых четырьмя подтверждёнными CVE, и подготовьте план оперативного обновления, как только Microsoft выпустит исправления. Отдельно стоит отслеживать июньскую публикацию деталей Bitskrieg — если обход BitLocker подтвердится, это потребует пересмотра модели защиты данных на конечных устройствах.
