Jak tlak komunity donutil Microsoft stáhnout právní výhrůžky vůči lovci zero-day zranitelností

U tří ze šesti chyb se rychle potvrdilo, že jsou aktivně zneužívány: šlo o BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) a UnDefend (CVE-2026-45498) . Americká agentura CISA je zařadila na svůj seznam známých zneužívaných zranitelností a nařídila federálním úřadům neprodleně nainstalovat nouzové záplaty . Microsoft opravil BlueHammer v rámci dubnového opravného úterý a na RedSun a UnDefend vydal mimořádné záplaty 21. května poté, co byly nahlášeny aktivní útoky . Zbývající tři – YellowKey (obcházení BitLockeru, CVE-2026-45585), GreenPlasma a MiniPlasma – zůstávaly začátkem června stále neopravené .

Výzkumník tvrdil, že má s Microsoftem dlouhodobé spory ohledně způsobu, jakým firma řeší nahlášené chyby. Nightmare Eclipse údajně uváděl, že jeho dřívější hlášení zaslaná oficiálními kanály byla ignorována nebo špatně zpracována a že mu byly zadržovány odměny za odhalení chyb – údajně až 250 tisíc dolarů za exploity pro Hyper-V . Microsoft naopak uvedl, že výzkumník chyby před zveřejněním oficiální cestou nenahlásil .

Jak Microsoft konflikt vyhrotil

Situace se dramaticky vyostřila v posledním květnovém týdnu. Kolem 23. května byl účet Nightmare Eclipse na GitHubu pozastaven. Následně byl výzkumník 26. či 27. května zabanován i na GitLabu . Ze svého osobního blogu pak pohrozil „drtivým“ (bone shattering) zveřejněním dalších exploitů, které naplánoval na 14. července 2026 – tedy na další opravné úterý .

27. května zveřejnil MSRC příspěvek s názvem „Sdílená odpovědnost: Ochrana zákazníků prostřednictvím koordinovaného odhalování zranitelností“ . Příspěvek odsuzoval nekoordinované odhalování a tvrdil, že „nekoordinovaná zveřejnění, která vkládají proof-of-concept kód neopravených zranitelností do rukou kyberzločinců, nejsou nikdy ospravedlnitelná a mají reálné následky“ .

Jedna konkrétní pasáž vyvolala v celé bezpečnostní komunitě poplach:

„Naše jednotka pro digitální zločiny (Digital Crimes Unit) bude pokračovat v podávání žalob proti těmto aktérům i těm, kteří umožňují jejich trestnou činnost – a v případě potřeby bude koordinovat postup s orgány činnými v trestním řízení po celém světě“ .

Ačkoli Microsoft výslovně nezmínil Nightmare Eclipse jménem, kontext příspěvku – přímé reakce na probíhající kampaň zero-day – vedl mnohé bezpečnostní výzkumníky k interpretaci, že jde o konkrétní právní hrozbu mířící právě na něj .

Komunita kyberbezpečnosti explodovala

Reakce byla blesková a drtivě negativní. Bezpečnostní výzkumníci, komentátoři i velké technologické publikace obvinili Microsoft ze zastrašovacích taktik, které by mohly utlumit legitimní bezpečnostní výzkum .

Během několika dní vyšla kritická hodnocení v mnoha médiích. TechCrunch napsal titulek: „Microsoft pod palbou kritiky za vyhrožování výzkumníkovi trestním vyšetřováním“ . Windows Central citoval osobní obavy výzkumníka titulkem: „Zničí mi život“ . Další servery jako The Register, Security Affairs, CSO Online a The Times of India informovaly o vlně odporu a mezinárodní „nevůli“ či „pobouření“ v kyberbezpečnostní komunitě .

Ústředním tématem kritiky bylo tvrzení, že právní postoj Microsoftu podkopává samotnou důvěru v proces koordinovaného odhalování. Pokud by se výzkumníci museli bát právní odplaty, mohli by přestat oficiálně nahlašovat chyby úplně . Několik komentátorů poukázalo na ironii situace: Microsoft vyhrožuje výzkumníkovi, zatímco tři ze šesti jím odhalených zranitelností stále zůstávají neopravené .

Bezpečnostní expert Kevin Beaumont veřejně upozornil na nepřiměřenost reakce Microsoftu . V komunitě převládl konsenzus, že Microsoft eskalaci sám vyprovokoval špatným vyřízením původních hlášení a následně celý problém ještě zhoršil právním „řinčením zbraněmi“ .

Ústup 2. června

2. června 2026 Microsoft otočil. V prohlášení zveřejněném na sociální síti X, o kterém informovala řada médií, firma deklarovala: „Aby bylo jasno v našem přístupu k právním otázkám – nemáme v úmyslu podnikat kroky vůči jednotlivcům, kteří provádějí nebo zveřejňují svůj bezpečnostní výzkum“ .

Toto prohlášení bylo v přímém rozporu s předchozí řečí o zapojení Jednotky pro digitální zločiny z blogového příspěvku z 27. května. Microsoft se snažil svou dřívější komunikaci zpětně zarámovat jako obecné vyjádření k praktikám koordinovaného odhalování, a nikoli jako konkrétní hrozbu proti výzkumníkovi .

Německý technologický blog BornCity popsal obrat jako „částečné couvání“ po „shitstormu“, který původní příspěvek MSRC vyvolal . Australský iTnews uvedl, že krok přišel „po silné vlně odporu ze strany bezpečnostních výzkumníků“ .

Co tento ústup vlastně znamená

Prohlášení z 2. června je třeba chápat především jako prostředek k uhašení požáru, nikoli jako zásadní změnu politiky. Microsoft se nezavázal ke změně svých očekávání ohledně způsobu zveřejňování zranitelností, ani nevyřešil tvrzení výzkumníka o ignorovaných hlášeních a nevyplacených odměnách. Společnost stáhla právní výhrůžku, ale nadále trvá na tom, že nekoordinované zveřejňování je nezodpovědné .

Reakce z výzkumnické komunity tuto skepsi odrážely. Mnozí vnímali toto „vyjasnění“ jako taktický ústup vynucený tlakem veřejnosti, a ne jako upřímný závazek chránit práva výzkumníků . Nevyřešený stav zranitelností YellowKey, GreenPlasma a MiniPlasma, které byly začátkem června stále bez záplat, dále živil kritiku, že priority Microsoftu jsou špatně nastavené .

Celá epizoda odhalila hluboké napětí v normách pro zveřejňování zranitelností. Koordinované odhalování stojí na důvěře: výzkumníci soukromě nahlásí chyby a výrobci je v rozumném čase opraví. Když jedna ze stran vnímá narušení této nepsané dohody – ať už ignorováním hlášení, zadržováním odměn, nebo právními hrozbami – celý systém se stává křehkým. K ústupu Microsoft donutily tři faktory: masivní a rychlá vlna rozhořčení komunity, hrozba výzkumníka ještě větším únikem exploitů 14. července a nepříjemné PR v podobě právních výhrůžek v situaci, kdy vlastní záplaty nebyly kompletní.