La resa di Big Tech: come la community ha spento l'ira di Microsoft

Tre delle sei vulnerabilità sono state rapidamente confermate come oggetto di sfruttamento attivo: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) e UnDefend (CVE-2026-45498) . La CISA, l'agenzia statunitense per la cybersicurezza, le ha aggiunte al suo catalogo di vulnerabilità sfruttate note, imponendo alle agenzie federali di applicare patch d'emergenza . Microsoft ha corretto BlueHammer con gli aggiornamenti del Patch Tuesday del 14 aprile e rilasciato fix fuori programma per RedSun e UnDefend il 21 maggio, dopo la segnalazione di attacchi in corso . Le restanti tre — YellowKey (un bypass di BitLocker, CVE-2026-45585), GreenPlasma e MiniPlasma — erano ancora senza patch all'inizio di giugno .

Il ricercatore rivendicava una storia di contrasti con la gestione delle vulnerabilità di Microsoft. Nightmare Eclipse ha affermato che precedenti segnalazioni inviate attraverso i canali ufficiali erano state ignorate o gestite male e che i pagamenti dei "bug bounty" — fino a 250.000 dollari per exploit su Hyper-V — erano stati trattenuti . Microsoft, da parte sua, ha dichiarato che il ricercatore non aveva segnalato le vulnerabilità attraverso i canali ufficiali prima della pubblicazione .

L'escalation dello scontro

La situazione è precipitata nell'ultima settimana di maggio. Intorno al 23 maggio, l'account GitHub di Nightmare Eclipse è stato sospeso. Il ricercatore è stato poi bandito da GitLab tra il 26 e il 27 maggio . Operando dal suo blog personale, ha minacciato un rilascio "devastante" ("bone shattering") di ulteriori exploit, programmato per il 14 luglio 2026, il successivo Patch Tuesday .

Il 27 maggio, l'MSRC di Microsoft ha pubblicato un post sul blog intitolato "A Shared Responsibility: Protecting customers through Coordinated Vulnerability Disclosure" (Una responsabilità condivisa: proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità) . Il post condannava le divulgazioni non coordinate, affermando che esse "non sono mai giustificabili e hanno conseguenze nel mondo reale" .

Un passaggio in particolare ha fatto scattare l'allarme nella comunità della sicurezza informatica:

"La nostra Digital Crimes Unit continuerà a portare avanti casi contro questi attori e coloro che consentono la loro attività criminale, coordinandosi se necessario con le forze dell'ordine in tutto il mondo" .

Sebbene Microsoft non abbia fatto direttamente il nome di Nightmare Eclipse, il contesto del post — una risposta diretta alla campagna di divulgazione in corso — ha portato molti esperti a interpretarlo come una chiara minaccia legale nei confronti del ricercatore .

L'esplosione della rabbia nella comunità

La reazione è stata immediata e feroce. Ricercatori di sicurezza, commentatori del settore e le principali testate tecnologiche hanno accusato Microsoft di tattiche intimidatorie che avrebbero potuto scoraggiare la legittima ricerca sulla sicurezza .

In pochi giorni, numerose pubblicazioni hanno diffuso una copertura critica. Il titolo di TechCrunch recitava: "Microsoft sotto accusa per aver minacciato un ricercatore di sicurezza con un'indagine penale" . Windows Central ha riportato la paura personale del ricercatore con il titolo "Mi rovineranno la vita" . The Register, Security Affairs, CSO Online e The Times of India hanno tutti coperto la reazione negativa, con organi di stampa internazionali che hanno parlato di "indignazione" e "sollevazione" nella comunità .

Un tema centrale nelle critiche: i ricercatori sostenevano che la postura legale di Microsoft minasse la fiducia nel processo di divulgazione coordinata. Se i ricercatori temevano ritorsioni legali, avrebbero potuto smettere del tutto di segnalare bug attraverso i canali ufficiali . Diversi commentatori hanno notato l'ironia: Microsoft minacciava un ricercatore mentre tre delle sei vulnerabilità divulgate restavano senza una soluzione .

Il ricercatore Kevin Beaumont ha pubblicamente messo in luce la gestione della situazione da parte di Microsoft, mettendo in dubbio la proporzionalità della risposta dell'azienda . L'opinione comune si è coagulata sull'idea che Microsoft avesse innescato l'escalation gestendo male le segnalazioni iniziali e poi aggravato il problema con l'uso di "sciabole legali" .

La resa del 2 giugno

Il 2 giugno 2026, Microsoft ha invertito la rotta. In una dichiarazione sulla piattaforma social X, ripresa da più organi di stampa, l'azienda ha dichiarato: "Per essere chiari sul nostro approccio alle questioni legali, non abbiamo intenzione di perseguire azioni contro individui che conducono o pubblicano le loro ricerche di sicurezza" .

La dichiarazione contraddiceva direttamente il linguaggio della Digital Crimes Unit usato nel post del 27 maggio. Microsoft ha tentato di inquadrare la sua precedente comunicazione come una dichiarazione generale sulle pratiche di divulgazione coordinata, piuttosto che una minaccia specifica contro Nightmare Eclipse .

Il blog tecnologico tedesco BornCity ha descritto l'inversione di marcia come un "fare un po' marcia indietro" dopo la "tempesta di m***a" innescata dal post dell'MSRC . La pubblicazione di settore iTnews ha riferito che la mossa "arriva dopo una forte reazione da parte dei ricercatori di sicurezza" .

Cosa significa davvero questa ritirata

La dichiarazione del 2 giugno è da intendersi più come una misura di contenimento del danno che come una vera e propria revisione delle politiche. Microsoft non si è impegnata a modificare le sue aspettative sulla divulgazione delle vulnerabilità, né ha affrontato le rivendicazioni di fondo del ricercatore su segnalazioni mal gestite e premi non pagati. L'azienda ha semplicemente ritirato la minaccia legale, mantenendo la propria posizione secondo cui la divulgazione non coordinata è irresponsabile .

Le reazioni del mondo della ricerca riflettevano questo scetticismo. In molti hanno visto la precisazione come una ritirata tattica, dettata dalla pressione pubblica piuttosto che da un autentico impegno a proteggere i diritti dei ricercatori . Lo stato irrisolto di YellowKey, GreenPlasma e MiniPlasma — tutte ancora senza patch all'inizio di giugno — ha continuato ad alimentare le critiche sul fatto che le priorità di Microsoft fossero disallineate .

L'episodio ha messo a nudo le profonde tensioni nelle norme sulla divulgazione delle vulnerabilità. La divulgazione coordinata si basa sulla fiducia: i ricercatori segnalano i bug in privato e le aziende li correggono in tempi ragionevoli. Quando una delle due parti percepisce una rottura di questo patto — sia attraverso segnalazioni ignorate, premi trattenuti o minacce legali — l'intero sistema diventa fragile. Tre fattori hanno costretto Microsoft a cedere: il volume e la velocità della protesta della comunità, la minaccia del ricercatore di un rilascio ancora più massiccio il 14 luglio e l'immagine scomoda di chi minaccia azioni legali mentre le proprie toppe di sicurezza restano incomplete.