«Кости будут сломаны»: исследователь объявил войну Microsoft и пока выигрывает со счётом 6:0
NewsMakerКак поссорились корпорация и обиженный хакер.
Microsoft столкнулась с редким для крупного вендора кризисом вокруг уязвимостей Windows . Исследователь под псевдонимом Nightmare Eclipse, также известный как Chaotic Eclipse, за шесть недель публично раскрыл несколько уязвимостей нулевого дня, а теперь пообещал новую публикацию 14 июля и сопроводил предупреждение резкой фразой о «разбитых костях».
Microsoft ответила исследователю постом о скоординированном раскрытии уязвимостей. Компания перечислила уже опубликованные проблемы: RedSun , UnDefend , BlueHammer , YellowKey , GreenPlasma и MiniPlasma. В Microsoft заявили, что Nightmare Eclipse не передавал сведения через официальные каналы до публичного раскрытия.
Атаки начались почти сразу после публикации рабочих эксплойтов. Специалисты Huntress сообщили, что злоумышленники начали активно использовать BlueHammer, RedSun и UnDefend вскоре после появления демонстрационного кода. BlueHammer позволяет повысить привилегии, RedSun связан с поведением Защитника Microsoft, а UnDefend помогает блокировать обновления антивирусных баз. Рабочие эксплойты также разобрали специалисты CYDERES.
Код публиковался через аккаунты Nightmare Eclipse на GitHub и GitLab . Позднее площадки заблокировали аккаунты исследователя. Для корпоративных администраторов ситуация стала особенно неприятной: между публикацией кода и реальными атаками прошли не недели, а часы.
Для YellowKey, GreenPlasma и MiniPlasma исправлений пока нет. Microsoft считает эксплуатацию YellowKey, или CVE-2026-45585, более вероятной, поскольку для уязвимости уже существует рабочий код. YellowKey связывают с обходом BitLocker, а GreenPlasma описывают как локальную уязвимость для повышения привилегий в Windows.
MiniPlasma стал ещё одним звеном в цепочке публикаций Chaotic Eclipse. Исследователь выложил исходный код и готовый исполняемый файл эксплойта для повышения привилегий до уровня SYSTEM в Windows 11. Проблема связана с драйвером Cloud Filter и старой ошибкой, которую Microsoft считала исправленной ещё в 2020 году. Хронология публикации MiniPlasma и других материалов Chaotic Eclipse собрана в отдельном разборе .
Позднее Microsoft закрыла часть проблем. RedSun получила номер CVE-2026-41091 и связана с Microsoft Malware Protection Engine, а UnDefend получила номер CVE-2026-45498 и затрагивает Microsoft Defender Antimalware Platform. Обе уязвимости позволяют повысить привилегии до уровня SYSTEM, а свежие исправления вошли в обновления безопасности Microsoft.
В официальном сообщении Microsoft заявила, что выступает против несогласованного раскрытия уязвимостей, особенно когда в открытый доступ попадает код для атаки на ещё не исправленные ошибки. Компания также упомянула подразделение Digital Crimes Unit, которое занимается делами против злоумышленников и взаимодействует с правоохранительными органами. Часть специалистов восприняла формулировку как возможный намёк на юридические действия против исследователя.
Microsoft публично не уточнила, планирует ли судебные шаги против Nightmare Eclipse, связан ли исследователь с компанией и блокировала ли учётную запись MSRC, через которую можно передавать сведения об ошибках. Nightmare Eclipse утверждает, что Microsoft удалила аккаунт, использовавшийся для отчётов об уязвимостях.
В последнем посте исследователь обвинил Microsoft в отказе от диалога, публичном давлении и лишении доступа к каналу для передачи багов. Nightmare Eclipse также написал, что не может выпустить некие документы в июне из-за ограничений со стороны Microsoft, а затем призвал запомнить дату 14 июля.
Даже без новой публикации конфликт уже повлиял на корпоративную безопасность. Системный инженер Мухаммад Касим Шахзад написал в LinkedIn, что один человек за шесть недель нанёс компаниям больше ущерба, чем многие APT-группы за год. По словам специалиста, промежуток между раскрытием и применением уязвимости теперь измеряется часами, а не днями, поэтому окно для установки исправлений быстро сжимается.
Руководитель направления исследования уязвимостей Zero Day Initiative Дастин Чайлдс, ранее около семи лет работавший в Microsoft Security, считает, что Microsoft могла действовать иначе. По словам Чайлдса, скоординированное раскрытие работает в обе стороны, поэтому вендор тоже несёт ответственность за коммуникацию. Эксперт назвал спорным публичное обвинение исследователя без показа переписки между сторонами.
Чайлдс также отметил, что Microsoft стоило яснее объяснить клиентам реальные риски и доступные меры защиты. Компаниям сейчас нужны не общие заявления о недопустимости публикации эксплойтов, а понятные приоритеты: какие уязвимости уже используют, какие системы находятся под риском и какие меры помогут до установки патча.
Основательница Luta Security Кэти Муссурис, которая участвовала в запуске программы выплат за уязвимости Microsoft, назвала реакцию компании противоречивой. Microsoft говорит о выплатах и публичном признании исследователей, но отвечает человеку, который утверждает, что не получил ни денег, ни признания. Муссурис также раскритиковала термин responsible disclosure. Раньше Microsoft сама отказалась от такой формулировки в пользу coordinated vulnerability disclosure, поскольку старая версия звучала оценочно и мешала диалогу между вендором и исследователем.
Муссурис также напомнила, что Microsoft не сразу пришла к выплатам за найденные ошибки. Руководители компании в прошлом отказывались платить исследователям за баги, хотя позднее программа вознаграждений стала важной частью работы MSRC.
Специалист по безопасности Кевин Бомонт, ранее тоже работавший в Microsoft, назвал конфликт проблемой, которую компания создала сама. В своём блоге Бомонт напомнил, что Microsoft раньше нанимала исследовательницу SandboxEscaper после публикации PoC-эксплойтов для продуктов компании. Случай с SandboxEscaper также описывал KrebsOnSecurity .
При этом эксперты не поддерживают публикацию рабочих эксплойтов для неисправленных уязвимостей. Чайлдс назвал сообщение о 14 июля тревожным, а Муссурис отметила, что резкая формулировка мешает компаниям спокойно оценивать технический риск.
Проблема выходит за рамки одного конфликта. Исследователи годами жалуются на сложные отношения с Microsoft при раскрытии уязвимостей, особенно когда компания относит ошибку не к критическому, а к умеренному уровню опасности. Чайлдс рассказал, что некоторые специалисты переставали искать баги в продуктах Microsoft, потому что работа с вендором становилась слишком трудной.
Рост числа отчётов об уязвимостях может усилить напряжение между исследователями и разработчиками. Инструменты на базе искусственного интеллекта помогают находить больше ошибок, программы вознаграждений получают больше спорных заявок, а командам безопасности приходится быстрее отличать реальный риск от слабого отчёта. Для пользователей Windows главный итог уже виден: рабочие эксплойты всё чаще появляются до исправлений, поэтому компаниям приходится реагировать ещё до выхода официального патча.
Microsoft столкнулась с редким для крупного вендора кризисом вокруг уязвимостей Windows . Исследователь под псевдонимом Nightmare Eclipse, также известный как Chaotic Eclipse, за шесть недель публично раскрыл несколько уязвимостей нулевого дня, а теперь пообещал новую публикацию 14 июля и сопроводил предупреждение резкой фразой о «разбитых костях».
Microsoft ответила исследователю постом о скоординированном раскрытии уязвимостей. Компания перечислила уже опубликованные проблемы: RedSun , UnDefend , BlueHammer , YellowKey , GreenPlasma и MiniPlasma. В Microsoft заявили, что Nightmare Eclipse не передавал сведения через официальные каналы до публичного раскрытия.
Атаки начались почти сразу после публикации рабочих эксплойтов. Специалисты Huntress сообщили, что злоумышленники начали активно использовать BlueHammer, RedSun и UnDefend вскоре после появления демонстрационного кода. BlueHammer позволяет повысить привилегии, RedSun связан с поведением Защитника Microsoft, а UnDefend помогает блокировать обновления антивирусных баз. Рабочие эксплойты также разобрали специалисты CYDERES.
Код публиковался через аккаунты Nightmare Eclipse на GitHub и GitLab . Позднее площадки заблокировали аккаунты исследователя. Для корпоративных администраторов ситуация стала особенно неприятной: между публикацией кода и реальными атаками прошли не недели, а часы.
Для YellowKey, GreenPlasma и MiniPlasma исправлений пока нет. Microsoft считает эксплуатацию YellowKey, или CVE-2026-45585, более вероятной, поскольку для уязвимости уже существует рабочий код. YellowKey связывают с обходом BitLocker, а GreenPlasma описывают как локальную уязвимость для повышения привилегий в Windows.
MiniPlasma стал ещё одним звеном в цепочке публикаций Chaotic Eclipse. Исследователь выложил исходный код и готовый исполняемый файл эксплойта для повышения привилегий до уровня SYSTEM в Windows 11. Проблема связана с драйвером Cloud Filter и старой ошибкой, которую Microsoft считала исправленной ещё в 2020 году. Хронология публикации MiniPlasma и других материалов Chaotic Eclipse собрана в отдельном разборе .
Позднее Microsoft закрыла часть проблем. RedSun получила номер CVE-2026-41091 и связана с Microsoft Malware Protection Engine, а UnDefend получила номер CVE-2026-45498 и затрагивает Microsoft Defender Antimalware Platform. Обе уязвимости позволяют повысить привилегии до уровня SYSTEM, а свежие исправления вошли в обновления безопасности Microsoft.
В официальном сообщении Microsoft заявила, что выступает против несогласованного раскрытия уязвимостей, особенно когда в открытый доступ попадает код для атаки на ещё не исправленные ошибки. Компания также упомянула подразделение Digital Crimes Unit, которое занимается делами против злоумышленников и взаимодействует с правоохранительными органами. Часть специалистов восприняла формулировку как возможный намёк на юридические действия против исследователя.
Microsoft публично не уточнила, планирует ли судебные шаги против Nightmare Eclipse, связан ли исследователь с компанией и блокировала ли учётную запись MSRC, через которую можно передавать сведения об ошибках. Nightmare Eclipse утверждает, что Microsoft удалила аккаунт, использовавшийся для отчётов об уязвимостях.
В последнем посте исследователь обвинил Microsoft в отказе от диалога, публичном давлении и лишении доступа к каналу для передачи багов. Nightmare Eclipse также написал, что не может выпустить некие документы в июне из-за ограничений со стороны Microsoft, а затем призвал запомнить дату 14 июля.
Даже без новой публикации конфликт уже повлиял на корпоративную безопасность. Системный инженер Мухаммад Касим Шахзад написал в LinkedIn, что один человек за шесть недель нанёс компаниям больше ущерба, чем многие APT-группы за год. По словам специалиста, промежуток между раскрытием и применением уязвимости теперь измеряется часами, а не днями, поэтому окно для установки исправлений быстро сжимается.
Руководитель направления исследования уязвимостей Zero Day Initiative Дастин Чайлдс, ранее около семи лет работавший в Microsoft Security, считает, что Microsoft могла действовать иначе. По словам Чайлдса, скоординированное раскрытие работает в обе стороны, поэтому вендор тоже несёт ответственность за коммуникацию. Эксперт назвал спорным публичное обвинение исследователя без показа переписки между сторонами.
Чайлдс также отметил, что Microsoft стоило яснее объяснить клиентам реальные риски и доступные меры защиты. Компаниям сейчас нужны не общие заявления о недопустимости публикации эксплойтов, а понятные приоритеты: какие уязвимости уже используют, какие системы находятся под риском и какие меры помогут до установки патча.
Основательница Luta Security Кэти Муссурис, которая участвовала в запуске программы выплат за уязвимости Microsoft, назвала реакцию компании противоречивой. Microsoft говорит о выплатах и публичном признании исследователей, но отвечает человеку, который утверждает, что не получил ни денег, ни признания. Муссурис также раскритиковала термин responsible disclosure. Раньше Microsoft сама отказалась от такой формулировки в пользу coordinated vulnerability disclosure, поскольку старая версия звучала оценочно и мешала диалогу между вендором и исследователем.
Муссурис также напомнила, что Microsoft не сразу пришла к выплатам за найденные ошибки. Руководители компании в прошлом отказывались платить исследователям за баги, хотя позднее программа вознаграждений стала важной частью работы MSRC.
Специалист по безопасности Кевин Бомонт, ранее тоже работавший в Microsoft, назвал конфликт проблемой, которую компания создала сама. В своём блоге Бомонт напомнил, что Microsoft раньше нанимала исследовательницу SandboxEscaper после публикации PoC-эксплойтов для продуктов компании. Случай с SandboxEscaper также описывал KrebsOnSecurity .
При этом эксперты не поддерживают публикацию рабочих эксплойтов для неисправленных уязвимостей. Чайлдс назвал сообщение о 14 июля тревожным, а Муссурис отметила, что резкая формулировка мешает компаниям спокойно оценивать технический риск.
Проблема выходит за рамки одного конфликта. Исследователи годами жалуются на сложные отношения с Microsoft при раскрытии уязвимостей, особенно когда компания относит ошибку не к критическому, а к умеренному уровню опасности. Чайлдс рассказал, что некоторые специалисты переставали искать баги в продуктах Microsoft, потому что работа с вендором становилась слишком трудной.
Рост числа отчётов об уязвимостях может усилить напряжение между исследователями и разработчиками. Инструменты на базе искусственного интеллекта помогают находить больше ошибок, программы вознаграждений получают больше спорных заявок, а командам безопасности приходится быстрее отличать реальный риск от слабого отчёта. Для пользователей Windows главный итог уже виден: рабочие эксплойты всё чаще появляются до исправлений, поэтому компаниям приходится реагировать ещё до выхода официального патча.