Microsoft truer researcher

Eskil Sørensen

06.01.2026 13:20

En offentlig konflikt mellem Microsoft og en uafhængig researcher genopliver striden om koordineret sårbarhedsafsløring og grænserne mellem sikkerhedsresearch og kriminalitet.

Microsoft er havnet i en usædvanlig åben konflikt med en uafhængig sikkerhedsresearcher efter offentliggørelsen af flere alvorlige, endnu ikke udbedrede sårbarheder i virksomhedens produkter. Sagen har udviklet sig fra en teknisk uenighed til en principiel strid med juridiske undertoner og markante reaktioner fra sikkerhedsmiljøet.

Det skriver Tech Crunch

Sikkerhedsresearcherern, der går under navnet Nightmare Eclipse, offentliggjorde i maj detaljer om flere sårbarheder - kendt som blandt andet BlueHammer, RedSun, UnDefend og YellowKey - som påvirkede centrale komponenter som Windows Defender og BitLocker. Sammen med beskrivelserne blev der offentliggjort fungerende exploitkode.

Microsoft kritiserede i et blogindlæg researcheren for ikke at have rapporteret sårbarhederne via virksomhedens etablerede processer. Ifølge Microsoft burde fundene være indrapporteret, så de kunne blive rettet, inden tekniske detaljer blev offentliggjort.

Trussel om juridiske skridt

Microsoft fremhævede samtidig, at offentliggørelsen kan have hjulpet kriminelle aktører. Ifølge virksomheden er flere af sårbarhederne siden blevet udnyttet i reelle angreb, hvilket også er blevet bekræftet af den amerikanske cybersikkerhedsmyndighed CISA.

Opsigtsvækkende var henvisningen til Microsofts Digital Crimes Unit, som ifølge blogindlægget vil fortsætte med at føre sager mod aktører, der muliggør kriminel aktivitet, herunder i samarbejde med politimyndigheder. Udmeldingen blev bredt tolket som en indirekte trussel om retsforfølgelse.

Nightmare Eclipse har i egne blogindlæg hævdet, at der var indledt dialog med Microsoft, men at denne blev afbrudt, blandt andet ved at researcherens adgang til Microsoft Security Response Center blev lukket. Ifølge researcheren efterlod det ingen mulighed for fortsat koordination.

Sårbarhederne blev offentliggjort via GitHub og GitLab. Researcherens konti på begge platforme er siden blevet lukket, herunder også på GitHub, som ejes af Microsoft. Ingen af parterne har ønsket at kommentere sagen yderligere.

Kritik fra sikkerhedsmiljøet

Microsofts håndtering har udløst kritik fra erfarne profiler i cybersikkerhedsmiljøet. Flere researchere har delt negative erfaringer med at rapportere sårbarheder til virksomheden og advarer om konsekvenserne.

Katie Moussouris, grundlægger af Luta Security og tidligere Microsoft-medarbejder, har kritiseret brugen af begrebet “ansvarlig offentliggørelse” og advaret om, at trusler om retslige skridt kan underminere tilliden mellem researchere og leverandører.

Også en tidligere ansat hos Microsoft, Kevin Beaumont, nu researcherhar kritiseret virksomhedens position og stillet spørgsmålstegn ved, om offentliggørelse af proof-of-concept-kode nu betragtes som kriminel aktivitet.

Læs mere

https://techcrunch.com/2026/05/29/microsoft-under-fire-for-threatening-security-researcher-with-criminal-investigation/

Information