Какие уязвимости обнаружил Nightmare Eclipse в продуктах Microsoft?

Исследователь выявил критические уязвимости, включая эксплойты BlueHammer, RedSun, UnDefend и YellowKey, которые позволяли обходить защиту систем в Defender и BitLocker.

Почему Microsoft обвинила Nightmare Eclipse в нарушении этики раскрытия уязвимостей?

Корпорация утверждает, что публикация эксплойтов до выпуска патчей создала угрозу для пользователей и нарушила принципы «ответственного раскрытия», так как часть уязвимостей уже использовалась злоумышленниками.

Как Nightmare Eclipse ответил на обвинения Microsoft?

Исследователь заявил, что пытался взаимодействовать с Microsoft через MSRC, но столкнулся с блокировкой доступа. Он обвинил вендора в игнорировании его попыток наладить диалог и был вынужден обнародовать данные.

Какую реакцию вызвал инцидент в профессиональном сообществе?

Эксперты, включая бывших сотрудников Microsoft, обвинили компанию в чрезмерной агрессии и попытке запугать исследователей. Основатель Luta Security Кэти Муссорис назвала угрозы уголовного преследования «перебором».

← 全部新闻

安全

微软威胁安全研究人员将面临刑事起诉

2026年5月29日

图片： TechCrunch

简要回答

Microsoft угрожает уголовным преследованием исследователю безопасности Nightmare Eclipse за публикацию неисправленных уязвимостей в Defender и BitLocker.

一名化名为Nightmare Eclipse的独立安全研究人员公布了微软多款产品中的多个严重漏洞，包括内置杀毒软件Defender和磁盘加密工具BitLocker。其中发现的漏洞包括BlueHammer、RedSun、UnDefend和YellowKey等，这些漏洞可绕过系统保护。

微软对此做出强烈批评，指责研究人员违反了“负责任披露”原则，并对用户构成威胁。在官方博客中，微软声称部分漏洞已被恶意攻击者在实际攻击中利用，而研究人员在补丁发布前公开漏洞利用代码可能助长了这种行为。微软还提到可能动用其数字犯罪部门（Digital Crimes Unit）及执法机构来追究此类事件。

Nightmare Eclipse则表示，曾尝试通过微软安全响应中心（Microsoft Security Response Center）与微软沟通，但遭遇不当对待，包括账户被封禁。研究人员强调，在微软无视其建立对话的尝试后，被迫公开相关数据。在GitHub和GitLab等平台上发布漏洞利用代码后，其账户遭到封锁。

此事件在网络安全社区引发强烈反响。包括前微软员工在内的专家指责微软过度强硬，试图恐吓研究人员。Luta Security创始人凯蒂·穆索里斯（Katie Moussouris）曾参与微软漏洞赏金计划的创建，她称刑事起诉的威胁为“过度行为”，并警告这将损害供应商的信任，减少漏洞报告的数量。

此次争议再次引发了利益平衡的讨论：研究人员是否应等待供应商修复漏洞，从而冒用户安全风险，还是供应商有义务及时响应漏洞报告，而不将责任推卸给专家？

常见问题

Какие уязвимости обнаружил Nightmare Eclipse в продуктах Microsoft?: Исследователь выявил критические уязвимости, включая эксплойты BlueHammer, RedSun, UnDefend и YellowKey, которые позволяли обходить защиту систем в Defender и BitLocker.
Почему Microsoft обвинила Nightmare Eclipse в нарушении этики раскрытия уязвимостей?: Корпорация утверждает, что публикация эксплойтов до выпуска патчей создала угрозу для пользователей и нарушила принципы «ответственного раскрытия», так как часть уязвимостей уже использовалась злоумышленниками.
Как Nightmare Eclipse ответил на обвинения Microsoft?: Исследователь заявил, что пытался взаимодействовать с Microsoft через MSRC, но столкнулся с блокировкой доступа. Он обвинил вендора в игнорировании его попыток наладить диалог и был вынужден обнародовать данные.
Какую реакцию вызвал инцидент в профессиональном сообществе?: Эксперты, включая бывших сотрудников Microsoft, обвинили компанию в чрезмерной агрессии и попытке запугать исследователей. Основатель Luta Security Кэти Муссорис назвала угрозы уголовного преследования «перебором».

Dzen 订阅： /feed/dzen.xml · RSS： /feed.xml