✔В Microsoft заявили, что не будут преследовать исследователей за публикацию 0-day-эксплоитов - «Новости»

06 июня 2026 0 Новости / Преимущества стилей / Заработок / Самоучитель CSS / Отступы и поля / Вёрстка 0

Напомним, что ранее представители Microsoft резко осудили действия Nightmare Eclipse, который без предварительного уведомления компании обнародовал эксплоиты и раскрыл информацию о шести неисправленных уязвимостях: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma и MiniPlasma.

В конце мая в компании заявили, что публикация эксплоитов для еще неисправленных багов «не может быть оправдана ничем», и отдельно упомянули подразделение Digital Crimes Unit, которое занимается расследованием киберпреступлений и взаимодействует с правоохранительными органами по всему миру. Хотя прямых угроз в адрес исследователя не прозвучало, многие специалисты восприняли это как намек на возможные юридические меры.

Позиция Microsoft вызвала в основном негативную реакцию в профессиональном сообществе. К примеру, ИБ-специалист и бывший сотрудник Microsoft Кевин Бомонт (Kevin Beaumont) назвал ситуацию «катастрофой, созданной самой Microsoft». В свою очередь, глава исследований компании Nextron Systems Флориан Рот (Florian Roth) писал, что независимо от того, кто прав в конфликте, компания допустила серьезную ошибку, превратив происходящее в публичное противостояние.

Создательница bug bounty-программы Microsoft и основательница Luta Security Кэти Муссурис (Katie Moussouris) тоже раскритиковала риторику компании. По ее словам, Microsoft посылала противоречивые сигналы: рассказывала о вознаграждениях и признании, которые получают ИБ-исследователи, одновременно отвечая на претензии специалиста, утверждающего, что он не получил ни того ни другого. Кроме того, упоминание Digital Crimes Unit выглядело «завуалированной угрозой».

В итоге на этой неделе представители Microsoft были вынуждены опубликовать новое заявление, заметно смягчив свою риторику. В компании подчеркнули, что не собираются предпринимать никаких юридических действий против людей, которые занимаются ИБ-исследованиями или публикуют их результаты. По словам представителей компании, взаимодействие с правоохранительными органами возможно лишь в тех случаях, когда речь идет о противоправной деятельности, причиняющей реальный ущерб клиентам.

Также в Microsoft признали, что некоторые взаимодействия с исследователями могли проходить не слишком гладко, и пообещали учесть полученную обратную связь.

При этом сотрудники компании никак не комментируют обвинения Nightmare Eclipse, который заявлял, что его лишили доступа к учетной записи MSRC, аккаунты на GitHub и GitLab были заблокированы, его сообщения игнорировались, а выплаты за найденные уязвимости так и не были произведены.

Тем временем сам Nightmare Eclipse пишет в блоге, что попытки Microsoft надавить на него привели к обратному результату. По словам исследователя, после недавних событий с ним начали связываться другие специалисты и передавать ему информацию о найденных уязвимостях. В частности, он анонсировал баг под названием Bitskrieg, обнаруженный исследователем JonasLyk. Эта проблема якобы нарушает защиту Secure Boot и позволяет полностью обходить BitLocker. Публикация технических деталей уязвимости ожидается в июне.

Отметим, что на этой неделе другой ИБ-специалист, Аммар Аскар (Ammar Askar), тоже публично раскрыл информацию о 0-day-уязвимости в Visual Studio Code (всего через час после того как уведомил о баге разработчиков GitHub). По его словам, причиной стали прошлые негативные взаимодействия со специалистами Microsoft Security Response Center. Аскар утверждает, что сотрудники MSRC ранее исправили найденную им уязвимость без упоминания автора, но при этом классифицировали ее как незначительную.

Представители компании Microsoft пытаются сгладить конфликт с ИБ-исследователем, известным под ником Nightmare Eclipse (он же Chaos Eclipse), который публикует эксплоиты для 0-day-уязвимостей в Windows. После критики со стороны ИБ-сообщества компания заявила, что не намерена преследовать специалистов, занимающихся исследованиями безопасности. Напомним, что ранее представители Microsoft резко осудили действия Nightmare Eclipse, который без предварительного уведомления компании обнародовал эксплоиты и раскрыл информацию о шести неисправленных уязвимостях: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma и MiniPlasma. В конце мая в компании заявили, что публикация эксплоитов для еще неисправленных багов «не может быть оправдана ничем», и отдельно упомянули подразделение Digital Crimes Unit, которое занимается расследованием киберпреступлений и взаимодействует с правоохранительными органами по всему миру. Хотя прямых угроз в адрес исследователя не прозвучало, многие специалисты восприняли это как намек на возможные юридические меры. Позиция Microsoft вызвала в основном негативную реакцию в профессиональном сообществе. К примеру, ИБ-специалист и бывший сотрудник Microsoft Кевин Бомонт (Kevin Beaumont) назвал ситуацию «катастрофой, созданной самой Microsoft». В свою очередь, глава исследований компании Nextron Systems Флориан Рот (Florian Roth) писал, что независимо от того, кто прав в конфликте, компания допустила серьезную ошибку, превратив происходящее в публичное противостояние. Создательница bug bounty-программы Microsoft и основательница Luta Security Кэти Муссурис (Katie Moussouris) тоже раскритиковала риторику компании. По ее словам, Microsoft посылала противоречивые сигналы: рассказывала о вознаграждениях и признании, которые получают ИБ-исследователи, одновременно отвечая на претензии специалиста, утверждающего, что он не получил ни того ни другого. Кроме того, упоминание Digital Crimes Unit выглядело «завуалированной угрозой». В итоге на этой неделе представители Microsoft были вынуждены опубликовать новое заявление, заметно смягчив свою риторику. В компании подчеркнули, что не собираются предпринимать никаких юридических действий против людей, которые занимаются ИБ-исследованиями или публикуют их результаты. По словам представителей компании, взаимодействие с правоохранительными органами возможно лишь в тех случаях, когда речь идет о противоправной деятельности, причиняющей реальный ущерб клиентам. Также в Microsoft признали, что некоторые взаимодействия с исследователями могли проходить не слишком гладко, и пообещали учесть полученную обратную связь. При этом сотрудники компании никак не комментируют обвинения Nightmare Eclipse, который заявлял, что его лишили доступа к учетной записи MSRC, аккаунты на GitHub и GitLab были заблокированы, его сообщения игнорировались, а выплаты за найденные уязвимости так и не были произведены. Тем временем сам Nightmare Eclipse пишет в блоге, что попытки Microsoft надавить на него привели к обратному результату. По словам исследователя, после недавних событий с ним начали связываться другие специалисты и передавать ему информацию о найденных уязвимостях. В частности, он анонсировал баг под названием Bitskrieg, обнаруженный исследователем JonasLyk. Эта проблема якобы нарушает защиту Secure Boot и позволяет полностью обходить BitLocker. Публикация технических деталей уязвимости ожидается в июне. Отметим, что на этой неделе другой ИБ-специалист, Аммар Аскар (Ammar Askar), тоже публично раскрыл информацию о 0-day-уязвимости в Visual Studio Code (всего через час после того как уведомил о баге разработчиков GitHub). По его словам, причиной стали прошлые негативные взаимодействия со специалистами Microsoft Security Response Center. Аскар утверждает, что сотрудники MSRC ранее исправили найденную им уязвимость без упоминания автора, но при этом классифицировали ее как незначительную.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.