北京
微軟正因一場 0-day 漏洞披露風波遭到安全圈批評。
事件主角是一名使用 Nightmare Eclipse/Chaotic Eclipse 代號的安全研究員,其近期公開披露多項微軟產品漏洞和利用代碼,涉及 Microsoft Defender、BitLocker 等組件。
爭議焦點在于微軟隨后發布的回應,被不少安全研究人員解讀為帶有刑事追責意味。
微軟在 5 月 27 日發布的 MSRC 博文中稱,近期有多項 0-day 漏洞被公開披露,但相關細節在發布前并未提交給微軟,這讓客戶面臨“不必要風險”。
微軟點名提到 RedSun、UnDefend、BlueHammer、YellowKey、GreenPlasma 和 MiniPlasma,并強調未協調公開未修復漏洞,尤其是公開概念驗證代碼,會增加攻擊者利用這些問題的機會。
真正引發反彈的是微軟博文內容的一段措辭。
微軟稱,其 Digital Crimes Unit 將繼續對相關攻擊者以及“促成其犯罪活動的人”采取行動,并在必要時與全球執法機構協作。
微軟沒有直接點名研究員本人,但由于整篇回應圍繞這批公開披露的漏洞展開,這句話被多名安全人士解讀為對研究員釋放法律威脅。
這起事件并不只是“微軟打壓研究員”這么簡單,部分漏洞確實已經進入真實攻擊場景。
Huntress 稱,其在真實入侵調查中觀察到 Nightmare Eclipse 相關的 BlueHammer、RedSun 和 UnDefend 利用技術,其中 BlueHammer 和 RedSun 可被用于權限提升,讓攻擊者從普通權限提升到 SYSTEM 權限。
CISA 后續也將部分 Microsoft Defender 漏洞列入已知被利用漏洞目錄。
5 月 20 日,CISA 發布公告,新增 7 個已知被利用漏洞,其中包括 CVE-2026-41091 和 CVE-2026-45498,前者是 Microsoft Defender 權限提升漏洞,后者是 Microsoft Defender 拒絕服務漏洞。
Help Net Security 也報道稱,這兩個漏洞已被利用,CVE-2026-41091 可導致本地權限提升,CVE-2026-45498 可讓 Defender 無法正常工作。
從微軟角度看,其擔憂有現實依據。
Defender 是 Windows 生態中默認部署廣泛的安全組件,一旦自身被用作權限提升或繞過安全防護的入口,影響面會迅速擴大。
Huntress 的分析顯示,相關利用技術并非停留在理論層面,攻擊者已經在入侵鏈中使用這類公開工具完成權限提升、持久化和進一步橫向移動準備。
但安全社區的反彈點在于,微軟沒有只討論用戶風險,而是使用了接近執法和刑事追責的表述。
前微軟員工、安全研究員 Kevin Beaumont 批評稱,不遵守廠商定義的“負責任披露”流程,并不自動等于違法;如果廠商將公開 PoC 與犯罪活動掛鉤,可能對安全研究產生寒蟬效應。
TechCrunch 也援引多名安全人士觀點稱,微軟的措辭可能進一步損害研究員對微軟披露流程的信任。
Nightmare Eclipse/Chaotic Eclipse 一方聲稱,自己此前曾嘗試通過 Microsoft Security Response Center 報告漏洞,但與 Microsoft 的溝通徹底破裂。
研究員稱,其用于提交漏洞的 Microsoft 賬號被刪除,GitHub 賬號也被封禁;同時,自己提交多個 0-day 后沒有獲得漏洞賞金,也沒有得到滿意溝通。
研究員聲稱自己受到羞辱,并暗示未來還會繼續披露更多內容。
微軟則強調協調漏洞披露的重要性,認為公開未修復漏洞會危及客戶安全。
雙方的沖突點,本質上已經從單個漏洞擴展到“廠商能否定義披露規則”以及“研究員是否會因公開漏洞代碼面臨法律風險”。
這起事件沒有一個絕對干凈的單方敘事。公開未修復漏洞和 PoC 代碼,確實可能讓真實攻擊加速;但大廠若用“負責任披露”作為單方面規則,并通過執法暗示壓制研究員,也會破壞漏洞披露生態。
云頭條聲明:如以上內容有誤或侵犯到你公司、機構、單位或個人權益,請聯系我們說明理由,我們會配合,無條件刪除處理。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
