Русский
Русский
English
Статистика
Реклама

Пост 6324034

Nightmare Eclipse против Microsoft: история человека, которого попытались стереть

Дисклеймер: я не журналист, поэтому чтобы скомпоновать эту статью я дергал несколько нейронок за нервы, вручную проверяя инфу.

Вопрос: кто знает, дружит ли джой с markdown (md) ? В будущем сэкономит на корректировке формата.

Ну, поехали.

-----

Имя Nightmare Eclipse вам, скорее всего, ни о чём не говорит. Microsoft это вполне устраивает.

Так что по порядку. Nightmare Eclipse (он же Chaotic Eclipse, он же Dead Eclipse) независимый исследователь безопасности. Проще говоря, человек, который копается в чужом софте и находит в нём дыры. В Windows он разбирается очень хорошо. И весной 2026-го он использовал это знание так, как мало кто решается: публично, методично и крайне неприятно для крупнейшей софтверной компании мира.

Что вообще произошло

С апреля по середину мая Eclipse выложил в открытый доступ шесть zero-day уязвимостей Windows. Zero-day это дыра, о которой производитель ещё не знает и которую не успел закрыть. То есть в момент публикации под ударом оказывается каждая непропатченная машина. И он не просто описал проблемы он выложил рабочий код, показывающий, как ими воспользоваться.

У шести эксплойтов есть имена: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma и MiniPlasma. Били они по тому, чему люди доверяют больше всего, по Microsoft Defender, встроенному антивирусу, и по BitLocker, шифрованию, которое должно защищать данные на диске.

Со стороны чистое безрассудство. Но, если верить самому Eclipse, начиналось всё совсем не так.

Сначала он стучался в дверь

По его словам, он делал ровно то, что исследователю и положено. Сообщал об уязвимостях по-тихому, через официальный канал Microsoft Security Response Center (MSRC), портал, созданный именно для этого.

А дальше, по его рассказу, пошло то, на что жалуются многие. Часть багов чинили молча, без всякого признания. За некоторые не дали ни CVE, ни выплаты по bug bounty. Ответов приходилось ждать месяцами. Договорённости о раскрытии менялись по ходу или не доводились до конца. В какой-то момент у него попросту забрали доступ к порталу к тому самому месту, куда приходишь, чтобы помочь.

Логика у него была простая: если в частном порядке тебя не слышат услышат публично. Так он и перестал отправлять отчёты, а начал публиковать.

Что ответила Microsoft

28 мая Microsoft наконец отреагировала не патчем, а постом в блоге. Компания обвинила Eclipse в нарушении правил скоординированного раскрытия и вставила формулировку про возможные судебные дела против нарушителей и тех, кто им помогает. Учитывая, что к тому моменту его аккаунты уже заблокировали на GitHub (а GitHub принадлежит Microsoft), на GitLab и в самом MSRC, сообщество прочитало это однозначно: сообщишь о дырах не так, как нам удобно, и за тобой придут.

И тут компания просчиталась. Против неё выступили те самые независимые исследователи, на которых она и держится. Страх был понятный: если за сообщение о баге можно получить расследование и бан, то зачем вообще о чём-то сообщать? Через несколько дней Microsoft пошла на попятную и уточнила, что преследовать будет только тех, кто нарушает закон и причиняет реальный вред. Но угроза уже прозвучала, и её запомнили.

Сам Eclipse останавливаться не собирается. Следующую публикацию он обещал на 14 июля.

Почему это важно

Если убрать шум, история простая. Один человек нашёл серьёзные проблемы в софте, от которого зависят миллиарды людей. Попытался сообщить о них как надо. По его словам, компания с триллионной капитализацией сначала отмахнулась, а потом и вовсе закрыла перед ним дверь и зашевелилась только тогда, когда всё это оказалось на виду. А отреагировав, первым делом достала юристов и баны, а не извинения.

Можно считать, что Nightmare Eclipse перегнул палку. Вопрос в другом: почему единственное, что сдвинуло Microsoft с места, это угроза публичного позора?

-----

Про ярлык злодей. Сама Microsoft и пара компаний, которые кормятся с той же индустрии, называют Eclipse не информатором, а вредоносным актором то есть преступником, а не исследователем. Это их формулировка, и она удобно переводит стрелки с того, как с человеком, по его словам, обошлись. Честности ради, один момент не корпоративный спин: три эксплойта (BlueHammer, RedSun, UnDefend) действительно засветились в реальных атаках и попали в список известных эксплуатируемых уязвимостей американского агентства CISA. То есть после публикации кода под ударом оказались обычные пользователи. Кому это записать в счёт Eclipse, компании, которая его якобы игнорировала, или обоим решайте сами.

-----

Источники

- TechCrunch Microsoft под огнём критики за угрозы исследователю: https://techcrunch.com/2026/05/29/microsoft-under-fire-for-threatening-security-researcher-with-criminal-investigation/

- The Next Web Microsoft пригрозила исследователю, сообщество в ярости: https://thenextweb.com/news/microsoft-threatens-security-researcher-nightmare-eclipse

- The Register эскалация конфликта и обещание новой публикации: https://www.theregister.com/security/2026/05/28/microsoft-0-day-feud-escalates-as-researcher-threatens-another-windows-exploit-dump/

- Cybernews реакция Microsoft на zero-day Nightmare Eclipse: https://cybernews.com/security/microsoft-responds-to-nightmare-eclipse-zero-days/

- Cybersecurity News уточнение Microsoft и список из шести эксплойтов с CVE: https://cybersecuritynews.com/microsoft-clarifies-nightmare-eclipse-controversy/

- The Hacker News три zero-day Defender в реальных атаках: https://thehackernews.com/2026/04/three-microsoft-defender-zero-days.html

- Help Net Security CVE-2026-41091 и CVE-2026-45498 эксплуатируются в дикой природе: https://www.helpnetsecurity.com/2026/05/21/microsoft-defender-vulnerabilities-cve-2026-41091-cve-2026-45498/

- Huntress тулинг Nightmare Eclipse в реальном вторжении (технический разбор): https://www.huntress.com/blog/nightmare-eclipse-intrusion

- Notebookcheck дедлайн CISA и статус патчей по каждой уязвимости: https://www.notebookcheck.net/CISA-gives-Windows-admins-until-June-3-to-patch-Nightmare-Eclipse-Defender-flaws.1312029.0.html


Источник: joyreactor.cc
К списку статей
Опубликовано: 02.06.2026 01:47:15
0

Сейчас читают

Комментариев (0)
Имя
Электронная почта

Кибербезопасность

Microsoft

Последние комментарии

  • Имя: Тимофей
    29.05.2026 | 13:50
    Оригинальное замещение весла! Плюс фигуристая дама выглядит весьма притягательно. Подробнее..
  • Имя: sa<sa>as"<sa
    23.04.2026 | 02:16
  • Имя: Vorgal
    17.12.2025 | 12:06
    Современная версия классической скульптуры "Девушка с веслом". «Девушка с глушителем». - это новый, концептуальный арт-объект в городе Москве. Он появился в начале 2000-х. Композиция предст Подробнее..
  • Имя: Vorgal
    17.12.2025 | 12:06
    Современная версия классической скульптуры "Девушка с веслом". «Девушка с глушителем». - это новый, концептуальный арт-объект в городе Москве. Он появился в начале 2000-х. Композиция предст Подробнее..
  • Имя: Rino
    23.11.2023 | 19:26
  • Имя: Домовой
    12.10.2023 | 12:32
  • Имя: Домовой
    12.10.2023 | 12:26
  • Имя: Стас
    03.07.2023 | 21:34
  • Имя: Васян
    02.08.2022 | 18:40
    Кончил))) Подробнее..
© 2006-2026, ebanoeit.ru