Microsoft опублікувала заяву, в якій відмовилася від агресивної риторики в конфлікті з дослідником з кібербезпеки Nightmare Eclipse (також відомим як Chaos Eclipse), який раніше оприлюднив експлойти для шести невиправлених вразливостей Windows. Компанія заявила, що не має наміру вдаватися до юридичних дій проти фахівців, які займаються дослідженнями безпеки. Такий розворот стався після масштабної критики з боку професійної спільноти, зокрема колишніх працівників самої Microsoft. Ситуація порушує фундаментальне питання взаємин між великими вендорами та незалежними дослідниками вразливостей.
Хронологія конфлікту
Конфлікт почався після того, як Nightmare Eclipse без попереднього повідомлення Microsoft оприлюднив інформацію про шість невиправлених вразливостей. Чотири з них отримали ідентифікатори CVE та зареєстровані в базі NVD: CVE-2026-33825 (BlueHammer), CVE-2026-41091 (RedSun), CVE-2026-45498 (UnDefend) і CVE-2026-45585 (YellowKey). Ще дві вразливості — GreenPlasma і MiniPlasma — згадуються без присвоєних CVE, і їхній статус залишається непідтвердженим з боку незалежних джерел. Жодна з чотирьох CVE не внесена до каталогу CISA Known Exploited Vulnerabilities, утім для цих вразливостей існують публічні PoC-експлойти.
Наприкінці травня Microsoft заявила, що публікація експлойтів для невиправлених багів «не може бути виправдана нічим», і згадала підрозділ Digital Crimes Unit, який займається розслідуванням кіберзлочинів спільно з правоохоронними органами. Хоча прямих погроз озвучено не було, спільнота фахівців з кібербезпеки сприйняла це як завуальований тиск.
Реакція спільноти й відступ Microsoft
Позиція Microsoft викликала різку критику з боку авторитетних спеціалістів. За даними першоджерела, колишній співробітник Microsoft Кевін Бомонт назвав ситуацію «катастрофою, створеною самою Microsoft». Керівник досліджень Nextron Systems Флоріан Рот вказав, що компанія припустилася серйозної помилки, перетворивши ситуацію на публічне протистояння. Кеті Муссуріс — засновниця програми bug bounty в Microsoft і фундаторка Luta Security — відзначила суперечливість сигналів компанії: з одного боку, розповіді про винагороди для дослідників, з іншого — конфлікт зі спеціалістом, який стверджує, що не отримав ані визнання, ані виплат. Згадку Digital Crimes Unit вона охарактеризувала як «завуальовану погрозу».
У підсумку Microsoft була змушена пом’якшити позицію. Ключові тези нової заяви:
- Компанія не збирається вживати юридичних заходів проти людей, які займаються дослідженнями з кібербезпеки або публікують їхні результати.
- Взаємодія з правоохоронними органами можлива лише у разі протиправної діяльності, що завдає реальної шкоди клієнтам.
- Компанія визнала, що деякі взаємодії з дослідниками «могли відбуватися не надто гладко», і пообіцяла врахувати зворотний зв’язок.
Водночас Microsoft жодним чином не прокоментувала конкретні звинувачення дослідника в блокуванні акаунтів і невиплаті винагород.
Ескалація: нові розкриття
Конфлікт, вочевидь, призвів до ефекту, протилежного очікуванням Microsoft. Nightmare Eclipse повідомив у блозі, що після публічного тиску з боку компанії з ним почали зв’язуватися інші дослідники, передаючи інформацію про виявлені вразливості. Зокрема, він анонсував вразливість під назвою Bitskrieg, яку приписує досліднику JonasLyk, що, як стверджується, порушує захист Secure Boot і дає змогу обходити BitLocker. Технічні деталі очікуються в червні. Слід підкреслити: ця інформація ґрунтується виключно на публікації в особистому блозі дослідника і не підтверджена ані вендором, ані незалежними джерелами.
Паралельно інший спеціаліст, Аммар Аскар, розкрив інформацію про 0-day вразливість у Visual Studio Code всього через годину після повідомлення розробників GitHub. За наявною інформацією, мотивацією став попередній негативний досвід взаємодії з MSRC. Цей випадок, хоч і не пов’язаний безпосередньо з Nightmare Eclipse, ілюструє системну проблему у відносинах Microsoft з дослідницькою спільнотою.
Оцінка впливу та системні висновки
Ситуація виходить за рамки поодинокого конфлікту й оголює структурну проблему. Коли найбільший вендор програмного забезпечення втрачає довіру дослідників, наслідки зачіпають усю екосистему безпеки Windows — а отже, корпоративних і державних користувачів по всьому світу. Кожне розкриття вразливості без попереднього повідомлення вендора створює вікно можливостей для зловмисників, доки не буде випущено патч.
Найбільшому ризику піддаються організації, які використовують задіяні компоненти Windows, особливо якщо підтвердиться вразливість у ланцюжку Secure Boot / BitLocker. Обхід повнодискового шифрування може мати критичні наслідки для захисту даних за наявності фізичного доступу до пристрою.
Рекомендації
- Моніторинг CVE: відстежуйте оновлення щодо CVE-2026-33825, CVE-2026-41091, CVE-2026-45498, CVE-2026-45585 в NVD та очікуйте присвоєння оцінок CVSS і виходу офіційних патчів Microsoft.
- Публічні PoC: беріть до уваги, що для зазначених вразливостей доступні публічні експлойти. Проведіть оцінку релевантності цих вразливостей для вашої інфраструктури до виходу патчів.
- Bitskrieg: до оприлюднення технічних деталей і незалежної верифікації перевірте актуальність конфігурації Secure Boot і політик BitLocker у вашому середовищі. Переконайтеся, що прошивки UEFI оновлено до останніх версій.
- Розширення VS Code: обмежте встановлення розширень із неперевірених джерел і слідкуйте за оновленнями безпеки Visual Studio Code.
Цей конфлікт — наочна демонстрація того, як спроба вендора придушити «незручного» дослідника може призвести до каскадного погіршення ситуації. Для організацій, що використовують Windows, практичний висновок простий: не чекаючи на офіційні патчі, проведіть інвентаризацію систем, які потенційно зачіпаються чотирма підтвердженими CVE, і підготуйте план оперативного оновлення, щойно Microsoft випустить виправлення. Окремо варто стежити за червневою публікацією деталей Bitskrieg — якщо обхід BitLocker підтвердиться, це вимагатиме перегляду моделі захисту даних на кінцевих пристроях.
