← На главную

Исследователь выложил 6 zero-day Windows, пообещав релиз 14 июля

29.05.2026 19:37 · hackernews

Исследователь безопасности Nightmare Eclipse, публикующий zero-day уязвимости Windows из мести Microsoft, пообещал «сокрушительный» релиз 14 июля. До этого он уже выложил шесть «дырок»: RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma и MiniPlasma. Microsoft наконец ответила блогом, заявив, что ни одна из них не была прислана через официальные каналы. Три уязвимости — BlueHammer, RedSun и UnDefend — начали эксплуатировать почти сразу после публикации рабочих PoC-эксплойтов на забаненных аккаунтах исследователя в GitHub и GitLab.

YellowKey, GreenPlasma и MiniPlasma всё ещё не исправлены. Microsoft оценивает «эксплуатацию более вероятной» для CVE-2026-45585 (YellowKey) из-за готового PoC. Компания осудила действия Nightmare, пригрозив, что Digital Crimes Unit будет преследовать «таких субъектов». Microsoft не ответила The Register, планирует ли она судиться, был ли исследователь её сотрудником и заблокировала ли она его MSRC-аккаунт.

Nightmare утверждает, что аккаунт заблокировали. «Вы отказались со мной общаться, унизили меня, оскорбили прилюдно, — написал он. — Вы клевещете на меня в своём бюллетене по CVE-2026-45585, хотя удалили мой Microsoft-аккаунт, через который я репортил баги, и я не получил ни цента». И добавил: «Запомните 14 июля. В этот день ваши кости будут раздроблены».

Инженер Мухаммад Касим Шахзад назвал это «корпоративным ущербом, которого большинство APT-групп не наносят за год». Охотник за багами Zero Day Initiative Дастин Чайлдс считает, что Microsoft могла бы поступить лучше: «CVD — это двусторонний процесс. Публично обвинять исследователя в нарушении координации, не показывая переписку, — смело».

Основательница Luta Security Кэти Мусурис, создававшая программу баг-баунти Microsoft, назвала ответ компании «противоречивым». По её словам, Microsoft использует устаревший термин «responsible disclosure» и угрозы от Digital Crimes Unit «выглядят намеренно угрожающими». «Трудно понять, почему Microsoft не пытается снизить накал, хотя бы ради избежания охлаждения других исследователей», — добавила она.

Бывший сотрудник Microsoft Кевин Бомон назвал ситуацию «мусорным пожаром, который Microsoft устроила сама». Он напомнил, что компания ранее нанимала хакера SandboxEscaper за публикацию zero-day, а теперь называет это уголовным преступлением. «Удачи защищать это в суде — там вскроется целый клоунский вагон предыдущих решений Microsoft».

Все опрошенные не поддерживают методы Nightmare. Но Мусурис отметила «динамику Давида и Голиафа»: «Багги принадлежат Microsoft. Они написали код и несут риск за клиентов. Исследователи идут на крайности, только когда чувствуют, что других вариантов нет». Чайлдс добавил, что проблемы с раскрытием уязвимостей в Microsoft не единичны: «Исследователи говорили мне, что перестали искать баги в Microsoft — с ними слишком сложно работать».

Читать оригинал →