Microsoft gedwongen om beleid terug te trekken over rogue zero-day onderzoeker Nightmare Eclipse

Microsoft is officieel teruggekomen op zijn agressieve juridische houding tegen de onafhankelijke beveiligingsonderzoeker die opereert onder de schuilnaam "Nightmare Eclipse." Na ernstige reacties uit de wereldwijde cyberbeveiligingsgemeenschap heeft de techgigant stilletjes zijn recente bedrijfsretoriek geschrapt, waarin ongecoördineerde onthullingen van bugs gelijk werden gesteld aan kwaadaardig gedrag. De plotselinge verschuiving is een belangrijke poging van Redmond om de snel verslechterende relaties met externe bedreigingsanalisten en beveiligingsprofessionals, die de ruggengraat vormen van moderne softwareverdedigingsecosystemen, te herstellen.

In de Nightmare Eclipse zero-day campagne

Het geschil ontstond nadat Nightmare Eclipse de traditionele rapportagekanalen van bedrijven omzeilde om functionele proof-of-concept code te publiceren voor verschillende zeer ernstige Windows-fouten. De campagne slaagde erin bewapende zero-day kwetsbaarheden in fundamentele verdedigingssystemen, door het inzetten van lokale privilege-escalatieketens zoals BlueHammer (CVE-2026-33825) en de RedSun-tool die is ontworpen om Microsoft Defender te verblinden. Microsofts aanvankelijke vergelding - waaronder agressieve juridische dreigementen van zijn Digital Crimes Unit en het op grote schaal verbieden van accounts op code-hosting platforms zoals GitHub en GitLab-leidde tot een wijdverspreide veroordeling door beveiligingsleiders van bedrijven, die waarschuwden dat hardhandige intimidatie door bedrijven defensief onderzoek in de kiem zou smoren en actieve netwerken zou blootstellen aan kwaadwillende actoren.

De overgang terug naar gecoördineerde openbaarmaking van kwetsbaarheden

In zijn laatste beleidsupdate heeft Microsoft expliciet verduidelijkt dat het niet van plan is om juridische stappen te ondernemen tegen personen die zich bezighouden met legitieme identificatie van kwetsbaarheden. De softwaregigant heeft met name de controversiële term "responsible disclosure" volledig uit zijn officiële berichtkanalen verwijderd. In plaats daarvan is het bedrijf teruggekeerd naar het klassieke "Coordinated Vulnerability Disclosure" raamwerk, waarbij het toegeeft dat sommige van zijn recente geautomatiseerde platformaanvallen niet voldeden aan de professionele gemeenschapsnormen en het belooft om in de toekomst te goeder trouw te rapporteren.

Onopgeloste vectoren en dreigende patches in juni

Ondanks Microsofts terugtrekking van structureel beleid, blijft de onderliggende architecturale bedreigingsvector onopgelost. Nightmare Eclipse heeft de olijftak van het bedrijf genegeerd en bevestigd dat meerdere onafhankelijke exploitontwikkelaars ongepatchte beveiligingsbugs nu rechtstreeks naar hen doorsluizen om de rapportagepijplijnen van het bedrijf volledig te omzeilen. De pseudonieme ontwikkelaar heeft al een op handen zijnde Exploit payload van juni gericht op oudere Secure Boot levenscyclus kwetsbaarhedenhij beweert dat de aankomende codedrop de BitLocker hardwareversleuteling op operationele virtuele machines volledig zal omzeilen, in afwachting van een verwachte deadline voor vergelding halverwege de zomer.