Waarom Microsoft zijn juridische dreigementen tegen Nightmare Eclipse introk na opstand in securitywereld

Van drie van de zes lekken werd snel bevestigd dat ze actief werden uitgebuit: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) en UnDefend (CVE-2026-45498) . Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) voegde ze toe aan zijn catalogus van bekende uitgebuitte kwetsbaarheden, waardoor federale instanties verplicht werden noodpatches toe te passen . Microsoft patchte BlueHammer in de Patch Tuesday-ronde van 14 april en bracht op 21 mei out-of-band fixes uit voor RedSun en UnDefend, nadat actieve aanvallen waren gemeld . De overige drie — YellowKey (een BitLocker-bypass, CVE-2026-45585), GreenPlasma en MiniPlasma — waren begin juni nog steeds niet gepatcht .

De onderzoeker beweerde een geschiedenis van klachten te hebben over Microsofts aanpak van kwetsbaarheden. Nightmare Eclipse stelde dat eerdere meldingen via officiële kanalen waren genegeerd of slecht afgehandeld, en dat bugbounty-betalingen — naar verluidt tot $250.000 voor Hyper-V-exploits — werden ingehouden . Microsoft van zijn kant verklaarde dat de onderzoeker de kwetsbaarheden niet via officiële kanalen had gemeld vóór publicatie .

Hoe Microsoft het conflict escaleerde

De situatie escaleerde dramatisch in de laatste week van mei. Rond 23 mei werd het GitHub-account van Nightmare Eclipse opgeschort. Kort daarna, rond 26–27 mei, volgde een ban op GitLab . Vanuit een persoonlijke blog dreigde de onderzoeker met een "botverbrijzelende" release van extra exploits, gepland voor 14 juli 2026 — de volgende Patch Tuesday .

Op 27 mei publiceerde het MSRC een blogpost met de titel "A Shared Responsibility: Protecting customers through Coordinated Vulnerability Disclosure" . De post veroordeelde ongecoördineerde openbaarmakingen en stelde dat "ongecoördineerde openbaarmakingen die proof-of-concept-code voor ongepatchte kwetsbaarheden in handen van kwaadwillenden brengen, nooit te rechtvaardigen zijn en reële gevolgen hebben" .

Een specifieke passage sloeg in als een bom in de securitywereld:

"Onze Digital Crimes Unit zal doorgaan met het aanpakken van deze actoren en degenen die hun criminele activiteiten faciliteren — waar nodig in coördinatie met wetshandhavingsinstanties over de hele wereld" .

Hoewel Microsoft Nightmare Eclipse niet bij naam noemde, was de context van de post — een directe reactie op de lopende zero-daycampagne — voor veel beveiligingsonderzoekers een ondubbelzinnig juridisch dreigement .

De cybersecuritywereld ontploft

De reactie was snel en overweldigend negatief. Beveiligingsonderzoekers, commentatoren uit het vak en grote techpublicaties beschuldigden Microsoft van intimidatietactieken die legitiem beveiligingsonderzoek konden verlammen .

Meerdere media publiceerden binnen enkele dagen kritische analyses. TechCrunch kopte "Microsoft onder vuur voor het dreigen met strafrechtelijk onderzoek tegen beveiligingsonderzoeker" . Windows Central berichtte over de persoonlijke angst van de onderzoeker met de kop "Ze zullen mijn leven ruïneren" . The Register, Security Affairs, CSO Online en The Times of India deden allemaal verslag van de terugslag .

Een centraal thema in de kritiek: onderzoekers stelden dat de juridische houding van Microsoft het vertrouwen in het gecoördineerde openbaarmakingsproces zelf ondermijnde. Als onderzoekers bang moesten zijn voor juridische represailles, zouden ze misschien helemaal geen bugs meer via officiële kanalen melden . Diverse commentatoren wezen op de ironie dat Microsoft een onderzoeker bedreigde terwijl drie van de zes openbaar gemaakte kwetsbaarheden nog niet gepatcht waren .

Beveiligingsonderzoeker Kevin Beaumont stelde Microsofts aanpak publiekelijk ter discussie en plaatste vraagtekens bij de proportionaliteit ervan . De consensus was dat Microsoft de escalatie zelf had uitgelokt door de oorspronkelijke meldingen van de onderzoeker verkeerd af te handelen, en het probleem vervolgens verergerde met juridisch wapengekletter .

De terugtrekking op 2 juni

Op 2 juni 2026 draaide Microsoft zijn standpunt terug. In een verklaring op sociale mediaplatform X, waarover door meerdere media werd bericht, verklaarde het bedrijf: "Om duidelijk te zijn over onze aanpak van juridische zaken: we zijn niet van plan actie te ondernemen tegen individuen die hun beveiligingsonderzoek uitvoeren of publiceren" .

De verklaring was in directe tegenspraak met de taal over de Digital Crimes Unit uit de blogpost van 27 mei. Microsoft probeerde zijn eerdere communicatie af te schilderen als een algemene stellingname over gecoördineerde openbaarmaking, en niet als een specifiek dreigement aan het adres van Nightmare Eclipse .

De Duitse techblog BornCity omschreef de bocht als een "kleine terugtrekking" van Microsoft na de "shitstorm" die de MSRC-post had veroorzaakt . Vakpublicatie iTnews meldde dat de stap "komt na een sterke terugslag van beveiligingsonderzoekers" .

Wat de terugtrekking werkelijk betekent

De verklaring van 2 juni kan het beste worden gezien als schadebeperking, niet als een beleidsherziening. Microsoft deed geen toezeggingen om zijn verwachtingen rond de openbaarmaking van kwetsbaarheden te veranderen, en ging evenmin in op de onderliggende claims van de onderzoeker over slecht afgehandelde meldingen en onbetaalde beloningen. Het bedrijf trok het juridische dreigement in, maar bleef bij zijn standpunt dat ongecoördineerde openbaarmaking onverantwoord is .

De reacties uit de onderzoeksgemeenschap weerspiegelden dit scepticisme. Velen zagen de verduidelijking als een tactische terugtocht onder publieke druk, in plaats van een oprechte toezegging om de rechten van onderzoekers te beschermen . De onopgeloste status van YellowKey, GreenPlasma en MiniPlasma — begin juni allemaal nog ongepatcht — voedde de aanhoudende kritiek dat Microsofts prioriteiten niet op de juiste plek lagen .

Deze episode legde diepe spanningen bloot in de normen voor de openbaarmaking van kwetsbaarheden. Gecoördineerde openbaarmaking is gebaseerd op vertrouwen: onderzoekers melden bugs privé, en leveranciers patchen deze binnen een redelijke termijn. Wanneer een van beide partijen een breuk in die overeenkomst ervaart — of het nu gaat om genegeerde meldingen, achtergehouden beloningen of juridische dreigementen — wordt het hele systeem fragiel. Drie factoren dwongen Microsoft tot inkeer: het volume en de snelheid van de verontwaardiging uit de gemeenschap, de dreiging van de onderzoeker met een nog grotere exploitdump op 14 juli, en de ongemakkelijke optiek van juridisch optreden terwijl de eigen patches nog onvolledig waren.