Microsoft gir etter for presset: Dropper rettslige trusler mot «Nightmare Eclipse»

Tre av de seks sårbarhetene ble raskt bekreftet å være under aktiv utnyttelse: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) og UnDefend (CVE-2026-45498) . Amerikanske CISA plasserte dem på listen over kjente, utnyttede sårbarheter og krevde at føderale etater innførte nødpatcher . Microsoft tettet BlueHammer i april-runden av Patch Tuesday og slapp hastefikser for RedSun og UnDefend den 21. mai etter meldinger om aktive angrep . De resterende tre – YellowKey (en BitLocker-omgåelse, CVE-2026-45585), GreenPlasma og MiniPlasma – forble ufiksa i begynnelsen av juni .

Forskeren hevdet å ha en lang historie med dårlige erfaringer rundt Microsofts sårbarhetshåndtering. Nightmare Eclipse påsto at tidligere innrapporteringer gjennom offisielle kanaler var blitt ignorert eller feilbehandlet, og at utbetalinger for feiljakt – angivelig opp mot 250 000 dollar for Hyper-V-feil – ble holdt tilbake . Microsoft på sin side uttalte at forskeren aldri hadde rapportert sårbarhetene på vanlig måte før publisering .

Slik eskalerte Microsoft konflikten

Situasjonen tilspisset seg dramatisk i den siste uken av mai. Rundt 23. mai ble Nightmare Eclipse sin GitHub-konto suspendert. Forskeren ble deretter utestengt fra GitLab omtrent 26.–27. mai . Fra en personlig blogg truet forskeren med et «knusende» slepp av enda flere sikkerhetshull, planlagt til 14. juli 2026 – neste Patch Tuesday .

Den 27. mai publiserte MSRC et blogginnlegg med tittelen «Et felles ansvar: Å beskytte kunder gjennom koordinert sårbarhetsavsløring» . Innlegget fordømte ukoordinerte avsløringer og slo fast at «ukoordinerte offentliggjøringer som gir ondsinnede aktører tilgang på kode er aldri forsvarlige og har reelle konsekvenser» .

En bestemt passasje skapte alarm i sikkerhetsmiljøet:

«Vår Digital Crimes Unit vil fortsette å reise sak mot disse aktørene og dem som muliggjør deres kriminelle aktivitet – i samarbeid med politimyndigheter verden over» .

Microsoft navnga ikke Nightmare Eclipse direkte, men konteksten – et direkte svar på den pågående null-dagers kampanjen – førte til at mange forskere leste det som en konkret trussel om rettsforfølgelse .

Cybersikkerhetsmiljøet reagerer

Reaksjonen var umiddelbar og overveldende negativ. Sikkerhetsforskere, bransjekommentatorer og store teknologipublikasjoner anklaget Microsoft for skremselstaktikk som kunne legge en demper på legitim sikkerhetsforskning .

Flere medier hadde kritiske saker i løpet av dager. TechCrunch skrev at «Microsoft under ild for å true sikkerhetsforsker med kriminaletterforskning» . Windows Central viderebrakte forskerens personlige frykt med tittelen «De vil ødelegge livet mitt» . The Register, Security Affairs og CSO Online dekket alle tilbakeslaget, og internasjonale medier noterte «raseri» og «opprør» i fagmiljøet .

Et sentralt poeng i kritikken var at Microsofts juridiske linje undergravde tilliten til selve prosessen for koordinert avsløring. Dersom forskerne fryktet represalier, kunne de slutte helt å rapportere feil via offisielle kanaler . Flere kommentatorer pekte på ironien i at Microsoft truet en forsker mens tre av de seks avslørte sårbarhetene fremdeles var ufiksa .

Sikkerhetsforsker Kevin Beaumont trakk offentlig frem Microsofts håndtering og satte spørsmålstegn ved proporsjonaliteten i selskapets respons . Konsensusen samlet seg om at Microsoft hadde trigget eskaleringen ved å feilbehandle forskerens tidligere henvendelser, og så forverret situasjonen med sabelskramling .

Retretten 2. juni

Den 2. juni 2026 snudde Microsoft. I en uttalelse publisert på sosiale medier og gjengitt av en rekke medier, erklærte selskapet: «For å være tydelig på vår juridiske tilnærming: Vi har ingen intensjon om å forfølge enkeltpersoner som utfører eller publiserer sin sikkerhetsforskning» .

Dette sto i direkte motsetning til formuleringen om Digital Crimes Unit fra blogginnlegget 27. mai. Microsoft forsøkte å fremstille sin tidligere kommunikasjon som en generell uttalelse om koordinert avsløringspraksis, ikke en spesifikk trussel mot Nightmare Eclipse .

Den tyske teknologibloggen BornCity beskrev reverseringen som at Microsoft «ror litt tilbake» etter «shitstormen» utløst av MSRC-innlegget . Den australske bransjepublikasjonen iTnews meldte at skrittet «kommer etter en sterk motreaksjon fra sikkerhetsforskere» .

Hva retretten egentlig betyr

Uttalelsen av 2. juni bør først og fremst forstås som skadebegrensning, ikke en policy-reform. Microsoft forpliktet seg ikke til å endre sine forventninger til sårbarhetsavsløring, og tok heller ikke tak i forskerens underliggende påstander om feilbehandlede rapporter og ubetalt dusør. Selskapet gikk tilbake på den juridiske trusselen, men holdt fast ved at ukoordinert avsløring er uansvarlig .

Reaksjonene fra forskningsmiljøet speilet denne skepsisen. Mange så på presiseringen som en taktisk retrett drevet av offentlig press, snarere enn en ekte vilje til å beskytte forskernes rettigheter . Den uløste statusen til YellowKey, GreenPlasma og MiniPlasma – alle fremdeles ufiksa i begynnelsen av juni – ga næring til kritikken om at Microsofts prioriteringer var på avveie .

Episoden blottla dype spenninger i normene for sårbarhetsavsløring. Koordinert avsløring hviler på tillit: Forskere melder feil privat, og leverandører fikser dem innen rimelig tid. Når en av partene opplever et brudd på denne kontrakten – enten det er ignorerte rapporter, tilbakeholdt dusør eller juridiske trusler – blir hele systemet skjørt. Tre faktorer tvang Microsofts hånd: omfanget og farten på fagmiljøets fordømmelse, forskerens trussel om et enda større slepp 14. juli, og det ubehagelige i å true med rettssak mens egne patcher fortsatt manglet.