Microsoft снова в центре скандала с исследователем безопасности, известным как Nightmare-Eclipse (он же Chaotic Eclipse). Компания забанила его аккаунт на GitHub — причины не назвали, так что исследователь переехал на GitLab. Вдобавок Microsoft якобы уже удалила его учётную запись, через которую он отправлял баг-репорты.
В своём блоге Eclipse утверждает, что это месть. Говорит, что Microsoft отказалась от общения и что он «не получил ни копейки» за свои находки. Намёк понятный: речь о невыплаченных баунти через программу MSRC. Программа платит до $30 000–$100 000 за zero-day на конечную точку и до $250 000 — за взлом Hyper-V. У Eclipse на счету уже шесть zero-day эксплойтов. Он обещает, что 14 июля начнётся «расплата»: он опубликует новые уязвимости.
Конфликт тянется с начала апреля, когда Eclipse без предупреждения выложил zero-day под названием BlueHammer. Язык его постов — эмоциональный и жёсткий. Он заявляет, что Microsoft лично сказала ему: «Мы разрушим твою жизнь» — и сделала это. Говорит о неком «рубильнике смерти» и обещает «разнести кости» компании.
Эксперт Уильям Дорман из Tharros предположил, что раньше MSRC работала отлично, но Microsoft уволила опытных сотрудников, оставив тех, кто просто действует по инструкции. По его словам, не удивительно, что дело закрыли, когда репортёр отказался снимать видео с эксплойтом — это теперь требование MSRC.
Microsoft хранит молчание. Неясно, кто виноват — неконструктивный исследователь или компания, зажимающая отчёты. Но бан аккаунта на GitHub выглядит плохо: код уже в сети, так что блокировка не помогает безопасности.
На фоне того, что AI-исследования делают 90-дневное окно на патчи бессмысленным, а время до эксплуатации стремится к нулю, Microsoft и другим стоит пересмотреть политику.
Технический послужной список Eclipse впечатляет. BlueHammer и RedSun дают доступ к системе через Defender. UnDefend отключает Defender. GreenPlasma взламывает службу CTFMon, MiniPlasma — драйвер Windows Cloud Filter. YellowKey — уязвимость в BitLocker, позволяющая открыть зашифрованные диски почти без усилий, что прямо противоречит задаче технологии. BlueHammer, RedSun и UnDefend уже активно эксплуатируются в реальных атаках — публикация частичного или полного кода сделала их лёгкой добычей для злоумышленников.