Notebookcheck Logo

Microsoft krijgt te maken met reacties uit de beveiligingsgemeenschap over Nightmare Eclipse

De render van het herontwerp van het technische hoofdkantoor van Microsoft in Redmond.
ⓘ blogs.microsoft.com/
De render van het herontwerp van het technische hoofdkantoor van Microsoft in Redmond.
Microsofts dreigement om Nightmare Eclipse strafrechtelijk te vervolgen heeft scherpe kritiek uitgelokt van beveiligingsveteranen, met drie Windows zero-days die nog niet gepatcht zijn.
Business Security Hack / Data Breach Windows Microsoft

Het publieke dreigement van Microsoft om een strafrechtelijke aanklacht in te dienen tegen de onderzoeker achter zes onthullingen van "zero-day's" in Windows heeft een geschil over een kwetsbaarheid veranderd in een grootschalig verzet van de beveiligingsgemeenschap.

De onderzoeker, bekend onder de naam Nightmare Eclipse, publiceerde tussen begin april en midden mei 2026 proof-of-concept code voor zes Windows kwetsbaarheden zonder overleg met Microsoft. Drie zwakke plekken, BlueHammer, RedSun en UnDefend, zijn gebruikt in live aanvallen. YellowKey, GreenPlasma en MiniPlasma zijn nog niet gepatcht.

Microsoft schiet terug

Microsoft publiceerde een formeel blogbericht op 28 mei waarin het de onthullingen beschreef als "nooit te rechtvaardigen" en waarschuwde dat zijn Digital Crimes Unit zaken zou aanspannen tegen iedereen die criminele activiteiten mogelijk maakt door middel van exploit code. Het bedrijf beschuldigde de onderzoeker van het omzeilen van gecoördineerde standaarden voor het openbaar maken van kwetsbaarheden.

Nightmare Eclipse betwist dit. De onderzoeker beweert dat Microsoft het Security Response Center-account dat gebruikt werd om de oorspronkelijke bugrapporten in te dienen, heeft verwijderd en verder contact heeft geweigerd. "U hebt letterlijk de Microsoft-account verwijderd die ik gebruikte om bugs aan u te melden, en ik heb er nul cent aan verdiend," schreef de onderzoeker.

De reactie van de gemeenschap

De beveiligingsindustrie kiest niet de kant van Microsoft. Katie Moussouris, de pionier van bug bounty-programma's bij Microsoft en bedenker van het gecoördineerde openbaarmakingsraamwerk waar het bedrijf zich nu op beroept, heeft de blogpost op Bluesky publiekelijk bekritiseerd. Een beroep doen op "verantwoordelijke openbaarmaking" was het eerste probleem, schreef ze. Het toevoegen van een dreiging van vervolging door de Digital Crimes Unit maakte het nog erger en zou onderzoekers ervan weerhouden Microsoft te vertrouwen.

Kevin Beaumont, een voormalige Microsoft-beveiligingsingenieur, noemde de situatie "een dumpster fire van hun eigen makelij", waarbij hij opmerkte dat Microsoft eerder SandboxEscaper had ingehuurd nadat ze zonder waarschuwing zero-day exploit-code had gepubliceerd, gedrag dat Redmond nu als crimineel bestempelt.

Wat is nog niet gepatcht en wat komt hierna

Nachtmerrie Eclipse werd rond 23 mei verbannen van GitHub en op 26-27 mei van GitLab, en publiceert nu vanaf een persoonlijke blog. Een 14 juli exploit release gericht op juli's Patch Tuesday blijft een bedreiging, met waarschuwingen voor escalatie naar remote code execution kwetsbaarheden.

Beheerders moeten het volgende behandelen YellowKeygreenPlasma en MiniPlasma als actieve risico's behandelen. Voor YellowKey vereist de beperking van Microsoft het handmatig bewerken van de offline WinRE-registerhive en het verwijderen van autofstx.exe uit de BootExecute-waarde.

Een TPM+PIN-configuratie vóór het opstarten snijdt de fysieke extractieroute volledig af. Defender motor versie 1.1.26040.8 of later verwerkt RedSun en UnDefend, en die update moet niet wachten op een gepland onderhoudsvenster.

Google LogoAdd as a preferred source on Google
Mail Logo

Gelijkaardige Artikels

> Overzichten en testrapporten over laptops en mobieltjes > Nieuws > Nieuws Archief > Nieuws archieven 2026 05 > Microsoft krijgt te maken met reacties uit de beveiligingsgemeenschap over Nightmare Eclipse
Darryl Linington, 2026-05-30 (Update: 2026-05-30)