Microsoft i åben konflikt med utilfreds researcher efter bølge af Windows‑0‑dagssårbarheder
Microsoft står midt i en usædvanlig og offentligt udspillet konflikt med sikkerhedsresearcheren kendt som Nightmare Eclipse – også omtalt som Chaotic Eclipse. På få uger har researcheren offentliggjort seks alvorlige Windows‑0‑dagssårbarheder uden for Microsofts officielle rapporteringskanaler og ledsaget dem af fungerende proof‑of‑concept‑kode. Konflikten er nu eskaleret til gensidige anklager, aktiv udnyttelse i angreb og en varslet ny offentliggørelse den 14. juli.
Det skriver The Register.
Microsoft har for første gang reageret samlet med et blogindlæg om ukoordineret sårbarhedsafsløring, hvor virksomheden tager skarpt afstand fra publicering af exploit‑kode til ikke‑rettede sårbarheder. Indlægget nævner samtidig Microsofts Digital Crimes Unit og samarbejde med myndigheder, hvilket af flere i sikkerhedsmiljøet er blevet opfattet som et juridisk signal i retning af researcheren.
Seks 0‑dagssårbarheder på få uger
De seks offentliggjorte 0‑dagssårbarheder har fået navnene RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma og MiniPlasma. Ifølge Microsoft blev ingen af dem rapporteret via Microsoft Security Response Center (MSRC), før de blev gjort offentligt tilgængelige.
Kort efter offentliggørelsen blev mindst tre af sårbarhederne – BlueHammer, RedSun og UnDefend – observeret under aktiv udnyttelse. Angrebene tog fart få timer efter, at researcheren havde lagt fungerende exploit‑kode op på GitHub og GitLab, konti som siden er blevet lukket.
Microsofts egen vurdering er, at tempoet i udnyttelsen af 0‑dagssårbarheder nu er så højt, at forskellen mellem offentliggørelse og egentlig weaponization ofte kun måles i timer. Det efterlader organisationer med et stærkt reduceret vindue til detektion og afværge.
Manglende rettelser og forhøjet risiko
Situationen forværres af, at ikke alle sårbarheder endnu er blevet rettet. YellowKey, GreenPlasma og MiniPlasma mangler fortsat sikkerhedsopdateringer. Microsoft har i den forbindelse vurderet, at risikoen for udnyttelse af YellowKey – registreret som CVE‑2026‑45585 – er forhøjet, blandt andet fordi der eksisterer offentligt tilgængelig exploit‑kode.
I sit blogindlæg understreger Microsoft, at offentliggørelse af proof‑of‑concept‑kode til urettede 0‑dagssårbarheder “aldrig kan retfærdiggøres” og udgør en reel risiko for både kunder og det bredere digitale økosystem. Samtidig fremhæver virksomheden, at dens sikkerhedsteams arbejder tæt sammen med myndigheder globalt for at spore og standse aktører, der udnytter sårbarhederne.
Microsoft har ikke ønsket at svare på spørgsmål om, hvorvidt der er tale om konkrete juridiske skridt mod Nightmare Eclipse, eller om researcheren er nuværende eller tidligere medarbejder. Heller ikke status på researcherens MSRC‑konto er blevet bekræftet.
Offentlig konfrontation og gensidige anklager
Nightmare Eclipse har i flere offentlige opslag fremsat alvorlige anklager mod Microsoft. Ifølge researcheren har Microsoft lukket den konto, der blev brugt til at rapportere sårbarheder, nægtet betaling og offentlig anerkendelse og efterfølgende offentligt beskyldt vedkommende for at bryde reglerne for koordineret sårbarhedsafsløring.
Researcheren beskriver forløbet som ydmygende og hævder, at alle legitime kommunikationskanaler reelt er blevet lukket. I samme udmelding advares der om, at der fortsat eksisterer forhold, som forhindrer yderligere offentliggørelser i juni, men at den 14. juli er markeret som et afgørende tidspunkt. Udmeldingen er ledsaget af en direkte og voldsom formulering rettet mod Microsoft.
Uanset om der sker yderligere afsløringer på den dato, har de allerede offentliggjorte 0‑dagssårbarheder haft mærkbar effekt. Systems engineer Muhammad Qasim Shahzad har offentligt vurderet, at én enkelt researcher på seks uger har forårsaget mere enterprise‑niveau skade end mange avancerede trusselsaktører gør på et år.
Kritik fra sikkerhedsmiljøet
The Register skriver, at flere erfarne profiler i sårbarhedsmiljøet har kritiseret både researcheren og Microsofts håndtering. Dustin Childs fra Zero Day Initiative, der tidligere har arbejdet flere år hos Microsoft, peger på, at koordineret sårbarhedsafsløring er et fælles ansvar.
Ifølge Childs er det opsigtsvækkende, at Microsoft offentligt anklager en researcher for at bryde processen uden samtidig at dokumentere dialogen mellem parterne. Han fremhæver også, at Microsoft i begrænset omfang har kommunikeret klart til kunderne om den konkrete risiko og om mulige tekniske afværgeforanstaltninger.
Luta Securitys stifter og CEO Katie Moussouris, som tidligere var med til at opbygge Microsofts bug bounty‑program, beskriver Microsofts udmelding som forvirrende og potentielt eskalerende. Hun kritiserer brugen af begrebet “responsible disclosure” og fremhæver, at henvisningen til Digital Crimes Unit i samme kontekst som sårbarhedsrapportering kan opfattes som indirekte truende.
Et sammenbrud i koordineringen
Sikkerhedsanalytiker Kevin Beaumont, også tidligere Microsoft‑medarbejder, har kaldt sagen en “dumpster fire” og peger på, at Microsoft tidligere har haft en mere pragmatisk tilgang til researchers, der offentliggjorde 0‑dagssårbarheder – herunder tilfælde, hvor sådanne personer senere blev ansat i virksomheden.
Ingen af de citerede eksperter forsvarer offentliggørelse af udnyttelsesklar exploit‑kode til urettede 0‑dagssårbarheder. Alligevel tegner sagen et billede af et samarbejde, der er brudt fuldstændigt sammen, og hvor uenigheder om proces, betaling og kommunikation har udviklet sig til en åben og konfliktfyldt offentlig strid.
For Microsoft betyder det aktuelt tre Windows‑0‑dagssårbarheder under aktiv udnyttelse, flere urettede fejl og en varslet offentliggørelse i juli, der allerede nu præger trusselsbilledet for Windows‑miljøer i sommerperioden.