Основы Интернет - технологий.

Пока исследователь Nightmare Eclipse (он же Chaos Eclipse) продолжает свою войну с Microsoft и публикует все новые эксплоиты, в компании заявляют, что его действия могут вредить всей ИБ-экосистеме. В Microsoft сообщили, что специалист не уведомлял компанию об уязвимостях до публикации эксплоитов, а значит, разработчики не имели возможности заранее оценить риски и подготовить защиту. Напомним, что поводом для этого конфликта, который длится уже два месяца, послужили шесть 0-day-уязвимостей в Windows. Информацию о багах Nightmare Eclipse опубликовал в открытом доступе вместе с рабочими эксплоитами, минуя стандартную процедуру Coordinated Vulnerability Disclosure (CVD, «Скоординированное раскрытие уязвимостей»): BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma и MiniPlasma. Исследователь заявлял, что публикует 0-day-эксплоиты в знак протеста против того, как специалисты Microsoft Security Response Center (MSRC) обращаются с ИБ-специалистами. По его словам, представители Microsoft не просто игнорировали его сообщения и не выплатили вознаграждение за найденные проблемы, но также угрожали ему и обещали «разрушить его жизнь». Представители Microsoft пишут, что подобная практика в первую очередь ставит под удар пользователей. В компании напомнили, что ежегодно взаимодействуют с сотнями ИБ-исследователей в рамках CVD, когда сведения об уязвимости сначала получает вендор, а технические детали проблемы публикуются только после выхода исправлений. В Microsoft отдельно отметили, что после публикации эксплоитов специалисты были вынуждены «круглосуточно» анализировать последствия, разрабатывать меры защиты и готовить патчи. При этом как минимум три проблемы — BlueHammer, RedSun и UnDefend — уже начали эксплуатироваться злоумышленниками в реальных атаках. Особенно тревожной остается ситуация вокруг проблемы YellowKey (CVE-2026-45585), которая позволяет обойти шифрование BitLocker. В Microsoft считают эксплуатацию уязвимости весьма вероятной, но исправления для YellowKey, GreenPlasma и MiniPlasma пока отсутствуют. В своем заявлении представители Microsoft резко осудили любые несогласованные раскрытия информации о 0-day-багах и отдельно упомянули подразделение Digital Crimes Unit, которое занимается расследованием киберпреступлений и взаимодействует с правоохранительными органами по всему миру. Хотя прямых угроз в адрес исследователя не прозвучало, многие специалисты восприняли эту часть заявления как намек на возможные юридические последствия для Nightmare Eclipse. Отметим, что на прошлой неделе Nightmare Eclipse заявил, что представители компании лишили его доступа к учетной записи MSRC, а после публикации эксплоитов его аккаунты на GitHub и GitLab были заблокированы. В своем сообщении исследователь вновь обвинил компанию в публичном унижении и отказе от коммуникации. Кроме того, Nightmare Eclipse заявил, что располагает некими документами, связанными с корпорацией, и пообещал опубликовать нечто настолько серьезное, что оно «раздробит кости Microsoft» 14 июля 2026 года. Мнения в ИБ-сообществе разделились. Одни эксперты осуждают публикацию рабочих эксплоитов для неисправленных уязвимостей. Другие считают, что Microsoft сама усугубила ситуацию. Так, руководитель Zero Day Initiative Дастин Чайлдс (Dustin Childs) напомнил, что процесс CVD предполагает ответственность обеих сторон, а глава Luta Security Кэти Муссурис (Katie Moussouris) раскритиковала риторику Microsoft, назвав ее противоречивой и излишне агрессивной. При этом большинство специалистов сходятся в одном: независимо от причин конфликта проигравшими оказываются пользователи. Учитывая, что три из шести 0-day уже используются в атаках, последствия этого противостояния вышли за рамки обычного спора между исследователем и производителем.