Microsoft spotyka się z reakcją społeczności bezpieczeństwa na Nightmare Eclipse

Publiczna groźba Microsoftu dotycząca postawienia zarzutów karnych badaczowi stojącemu za sześcioma ujawnionymi przypadkami dnia zerowego w systemie Windows zmieniła spór dotyczący luk w zabezpieczeniach w reakcję na pełną skalę ze strony społeczności zajmującej się bezpieczeństwem.

Badacz, znany jako Nightmare Eclipse, opublikował uzbrojony kod proof-of-concept dla sześciu luk w systemie Windows między początkiem kwietnia a połową maja 2026 roku bez koordynacji z Microsoftem. Trzy luki, BlueHammer, RedSun i UnDefend, zostały wykorzystane w atakach na żywo. YellowKey, GreenPlasma i MiniPlasma pozostają niezałatane.

Microsoft odpowiada

Microsoft opublikował oficjalny wpis na blogu 28 maja, opisując ujawnione informacje jako "nigdy nieuzasadnione" i ostrzegając, że jego jednostka ds. przestępstw cyfrowych będzie prowadzić sprawy przeciwko każdemu, kto umożliwia działalność przestępczą za pomocą kodu exploita. Firma oskarżyła badacza o ominięcie skoordynowanych standardów ujawniania luk w zabezpieczeniach.

Nightmare Eclipse kwestionuje to. Badacz twierdzi, że Microsoft usunął konto Security Response Center użyte do złożenia oryginalnych raportów o błędach i odmówił dalszego kontaktu. "Dosłownie usunęli Państwo konto Microsoft, za pomocą którego zgłaszałem Państwu błędy, a ja nie dostałem za to ani grosza" - napisał badacz.

Sprzeciw społeczności

Branża bezpieczeństwa nie stoi po stronie Microsoftu. Katie Moussouris, która była pionierem programów bug bounty w Microsofcie i wymyśliła skoordynowane ramy ujawniania informacji, na które obecnie powołuje się firma, publicznie skrytykowała wpis na blogu Bluesky. Powoływanie się na "odpowiedzialne ujawnianie" było pierwszym problemem, napisała. Dodanie groźby ścigania przez Digital Crimes Unit pogorszyło sytuację i odstraszyło badaczy od zaufania Microsoftowi.

Kevin Beaumont, były inżynier bezpieczeństwa Microsoftu, nazwał tę sytuację "pożarem śmietnika, który sami stworzyli", zauważając, że Microsoft wcześniej zatrudnił SandboxEscaper po tym, jak opublikowała kod exploita zero-day bez ostrzeżenia, zachowanie Redmond określa teraz jako przestępcze.

Co wciąż nie zostało załatane i co będzie dalej?

Nightmare Eclipse została zablokowana na GitHub około 23 maja i GitLab w dniach 26-27 maja, a teraz publikuje z osobistego bloga. Wydany 14 lipca exploit ukierunkowany na lipcowy Patch Tuesday pozostaje zagrożeniem, z ostrzeżeniami o eskalacji do luk w zdalnym wykonywaniu kodu.

Administratorzy powinni traktować YellowKey, GreenPlasma i MiniPlasma jako aktywne zagrożenia. W przypadku YellowKey, rozwiązanie Microsoftu wymaga ręcznej edycji offline WinRE rejestru i usunięcia autofstx.exe z wartości BootExecute.

Konfiguracja TPM + PIN przed uruchomieniem całkowicie odcina fizyczną drogę ekstrakcji. Defender Engine w wersji 1.1.26040.8 lub nowszej obsługuje RedSun i UnDefend, a aktualizacja nie powinna czekać na zaplanowane okno konserwacji.