Почему Microsoft отказалась от судебного преследования охотника за уязвимостями Nightmare Eclipse

Три из шести уязвимостей очень быстро подтвердились как активно эксплуатируемые злоумышленниками: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) и UnDefend (CVE-2026-45498) . Американское агентство CISA включило их в каталог Known Exploited Vulnerabilities, потребовав от федеральных ведомств экстренной установки патчей . Microsoft исправила BlueHammer в рамках апрельского Patch Tuesday (14 апреля), а для RedSun и UnDefend выпустила внеплановые заплатки 21 мая — уже после сообщений об активных атаках . Три другие уязвимости — YellowKey (байпас BitLocker, CVE-2026-45585), GreenPlasma и MiniPlasma — оставались неисправленными по состоянию на начало июня .

За этой агрессивной кампанией стояла личная обида. Исследователь утверждал, что его предыдущие отчёты, поданные через официальные каналы Microsoft, игнорировались либо обрабатывались с нарушениями, а выплаты по программе bug bounty — по некоторым данным, вознаграждение за эксплойты для Hyper-V составляло до $250 000 — были задержаны или отменены . Microsoft, со своей стороны, настаивала, что исследователь вообще не уведомлял компанию о багах через официальные каналы до публикации .

Эскалация конфликта

В последнюю неделю мая ситуация резко накалилась. Около 23 мая был заблокирован GitHub-аккаунт Nightmare Eclipse, а к 26–27 мая исследователь лишился учётной записи и на GitLab . Перейдя на персональный блог, он пригрозил «сокрушительным» сливом новых эксплойтов, запланированным на 14 июля 2026 года — очередной Patch Tuesday .

27 мая MSRC опубликовал в блоге пост под названием «A Shared Responsibility: Protecting customers through Coordinated Vulnerability Disclosure» («Общая ответственность: защита клиентов через координированное раскрытие уязвимостей») . Текст осуждал некоординированные публикации, а один из пассажей вызвал настоящую тревогу в профессиональной среде:

«Наше подразделение Digital Crimes Unit продолжит возбуждать дела против этих лиц и тех, кто способствует их преступной деятельности, координируя действия с правоохранительными органами по всему миру» .

Хотя Microsoft не назвала Nightmare Eclipse по имени, контекст — прямой ответ на продолжающуюся утечку 0-day — не оставил у многих экспертов сомнений: это была адресная юридическая угроза .

Взрыв возмущения в сообществе кибербезопасности

Реакция оказалась молниеносной и однозначно негативной. Исследователи, отраслевые обозреватели и ключевые техноиздания обвинили Microsoft в запугивании, которое способно заморозить легитимные исследования в области безопасности .

Ведущие СМИ опубликовали критические материалы в течение нескольких дней. Заголовок TechCrunch гласил: «Microsoft под огнём критики за угрозу уголовного расследования в адрес исследователя» . В Windows Central вышел материал с хлёстким заголовком «They will ruin my life» («Они разрушат мою жизнь») . The Register, Security Affairs, CSO Online и The Times of India единодушно освещали волну негодования, причём международные издания отмечали «ярость» и «бунт» в рядах специалистов .

Ключевой аргумент критиков сводился к тому, что юридическая поза Microsoft подрывает доверие к самому процессу координированного раскрытия. Если исследователи начнут опасаться правовых последствий, они могут вовсе перестать сообщать о багах через официальные каналы . Многие комментаторы указывали на очевидный парадокс: корпорация угрожает исследователю, хотя три из шести раскрытых им уязвимостей до сих пор не получили патчей .

Эксперт по безопасности Кевин Бомонт публично указал на непропорциональность ответных действий Microsoft . Среди специалистов выкристаллизовалась общая позиция: Microsoft сама спровоцировала эскалацию, сначала провалив обработку первоначальных заявок исследователя, а затем усугубив ситуацию бряцанием юридическим оружием .

Отступление 2 июня

2 июня 2026 года Microsoft сменила курс. В заявлении, опубликованном в соцсети X и процитированном многими изданиями, компания объявила: «Чтобы не оставалось неясностей в отношении нашего подхода к правовым вопросам, мы не намерены преследовать лиц, проводящих или публикующих свои исследования в области безопасности» .

Это заявление прямо опровергало пассаж о Digital Crimes Unit из блога от 27 мая. Microsoft попыталась изобразить свой предыдущий пост как обобщённое разъяснение принципов координированного раскрытия, а не конкретную угрозу в адрес Nightmare Eclipse .

Немецкий техноблог BornCity охарактеризовал этот разворот как «частичный откат» после «шквала критики» (shitstorm), вызванного постом MSRC . Отраслевое издание iTnews сообщило, что шаг компании «последовал за жёсткой реакцией со стороны исследователей кибербезопасности» .

Что на самом деле означает это отступление

Заявление от 2 июня правильнее рассматривать как меру по контролю над ущербом, а не как пересмотр политики. Microsoft не взяла на себя обязательств изменить ожидания от раскрытия уязвимостей и никак не прокомментировала изначальные претензии исследователя об игнорировании отчётов и невыплаченных вознаграждениях. Компания убрала юридическую угрозу, но сохранила позицию, что некоординированное раскрытие безответственно .

Реакция исследовательского сообщества отражала именно такой скепсис. Многие восприняли «разъяснение» как тактическое отступление под давлением общественности, а не как искреннюю приверженность защите прав исследователей . Неопределённый статус YellowKey, GreenPlasma и MiniPlasma — все три оставались без исправлений на начало июня — продолжал питать критику о смещённых приоритетах Microsoft .

Этот эпизод обнажил глубинные противоречия в нормах раскрытия уязвимостей. Координированное раскрытие держится на доверии: исследователи приватно сообщают о багах, а вендор выпускает патчи в разумные сроки. Когда одна из сторон чувствует, что негласный договор нарушен — игнорированием отчётов, задержкой вознаграждений или правовыми угрозами, — вся система даёт трещину. В данном случае три фактора вынудили Microsoft отступить: громкость и скорость возмущения сообщества, угроза исследователя устроить ещё более массированный слив эксплойтов 14 июля и неловкая оптика ситуации, при которой корпорация размахивала юридической дубиной, пока её собственные заплатки оставались неполными.