Microsoft уточнила позицию после скандала вокруг исследователя Nightmare-Eclipse, также известного как Chaotic Eclipse. Компания заявила, что не намерена принимать меры против людей, которые добросовестно проводят или публикуют исследования в области безопасности.
Уточнение появилось после критики со стороны ИБ-сообщества. Поводом стал предыдущий текст Microsoft Security Response Center, где компания резко осудила публикацию рабочих proof-of-concept для нескольких Windows 0-day и написала, что Digital Crimes Unit будет вести дела против тех, кто атакует клиентов Microsoft или помогает такой активности.
Многие прочитали это как угрозу не только конкретному автору публичных эксплойтов, но и исследователям, которые публикуют технические детали уязвимостей вне официальной процедуры. Теперь Microsoft пытается провести границу: легитимное исследование — отдельно, вредоносная эксплуатация и реальный ущерб клиентам — отдельно.
Конфликт всё равно не исчерпан. В центре истории остаются шесть публично раскрытых уязвимостей Windows, блокировка аккаунтов Nightmare-Eclipse на платформах разработки, спор, как компании должны реагировать, когда исследователь публикует рабочий эксплойт без согласованного срока исправления.
С апреля по май 2026 года Nightmare-Eclipse опубликовал несколько рабочих эксплойтов для Windows и связанных компонентов Microsoft. В публикациях фигурировали названия BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma и MiniPlasma.
Часть этих проблем получила CVE. Самая заметная — YellowKey, зарегистрированная как CVE-2026-45585. NVD описывает её как обход функции безопасности Windows, публично известный под названием YellowKey. В записи также указано, что proof-of-concept был опубликован в нарушение практик согласованного раскрытия, а Microsoft выпустила CVE, чтобы дать временные меры защиты до полноценного обновления.
YellowKey связывали с обходом защиты BitLocker через среду восстановления Windows. Риск требует физического доступа к устройству, но последствия серьёзные: в модели CVSS от Microsoft указаны высокие показатели влияния на конфиденциальность, целостность и доступность.
Другие опубликованные эксплойты затрагивали Microsoft Defender и механизмы Windows. Cybersecurity News пишет, что BlueHammer, RedSun и UnDefend после публикации использовали в реальных атаках, а CISA добавила их в каталог Known Exploited Vulnerabilities. Так спор быстро вышел за пределы теории о свободе исследования, потому что рабочий код начал использоваться не только для проверки защиты.
Изначальная реакция Microsoft была жесткой. Компания заявила, что публичное раскрытие без координации создает ненужный риск для клиентов. В тексте также прозвучала фраза о Digital Crimes Unit, которая будет продолжать дела против злоумышленников и тех, кто помогает их преступной активности.
Юридически т Microsoft защищает клиентов и не хочет, чтобы рабочие эксплойты свободно ускоряли атаки. Но репутационно угроза сработала плохо. Исследователи увидели в ней сигнал: если вы опубликуете PoC не так, как хочет вендор, вас могут записать в «помощники преступников».
Отдельный раздражитель — блокировка аккаунтов Nightmare-Eclipse на GitHub, GitLab и в MSRC-портале. GitHub принадлежит Microsoft, поэтому в ИБ-сообществе быстро возникла версия о давлении на исследователя через инфраструктуру, где публиковался код.
В новом сообщении Microsoft провела более аккуратную границу. Компания заявила, что не собирается принимать меры против людей, которые занимаются добросовестным исследованием или публикацией исследований безопасности.
Юридическая эскалация, по новой формулировке, относится к случаям, где человек нарушает закон, действует вредоносно и причиняет реальный ущерб клиентам.
Microsoft также признала, что отношения между вендорами и исследователями хрупкие, а часть прошлых взаимодействий MSRC с исследователями могла не соответствовать ожиданиям. Компания пообещала увеличить прозрачность коммуникации при обработке новых отчетов.
Но это обещание не снимает главную дилемму: что делать с рабочими эксплойтами для неисправленных уязвимостей, если автор не доверяет вендору или считает, что тот затягивает исправление.
Nightmare-Eclipse, также называющий себя Chaotic Eclipse, — анонимный исследователь или оператор, который вступил в публичный конфликт с Microsoft. В своих сообщениях он утверждал, что Microsoft игнорировала прежние отчеты, удалила связанные аккаунты, не выплатила вознаграждения и разрушила доверие к процессу.
В теории все гладко: исследователь сообщает вендору о проблеме. Вендор исправляет. После патча или по истечении разумного срока публикуются детали. В идеале выигрывают все: пользователи защищены, исследователь получает признание и bounty выплату, компания улучшает продукт.
В реальности все сложнее. У крупных вендоров тысячи отчетов, много ложных срабатываний, спорные оценки риска, юридические ограничения и длинные циклы патчей. У исследователей — время, репутация, ожидание выплат, страх, что баг тихо закроют без признания, и раздражение от шаблонных ответов.
Публичная публикация эксплойта — крайняя мера. Чем популярнее продукт, тем короче окно между публикацией PoC и массовой эксплуатацией.
YellowKey — публичное название CVE-2026-45585. NVD описывает её как обход функции безопасности Windows. Microsoft выпустила запись не как обычный патч, а как advisory с временными мерами, пока полноценное обновление ещё не готово. Атака требует физического доступа.
Microsoft указывает, что использование TPM+PIN защищает от эксплуатации YellowKey. TPM — аппаратный модуль доверенной платформы, а PIN добавляет второй фактор на этапе загрузки. Без PIN устройство может автоматически разблокировать ключи при определённых условиях, если атакующий получил физический доступ.
BlueHammer, RedSun и UnDefend стали отдельной проблемой, потому что их, как сообщается, начали использовать в реальных атаках после публикации. BlueHammer связывают с повышением привилегий. RedSun и UnDefend — с поведением Microsoft Defender и возможностью мешать защитным механизмам. Для атакующего это удобная связка: получить больше прав, ослабить защиту, закрепиться или подготовить дальнейшие действия.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
