Därför backade Microsoft om rättsliga åtgärder mot zero-day-forskaren Nightmare Eclipse

Tre av de sex sårbarheterna bekräftades snabbt vara under aktivt utnyttjande: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) och UnDefend (CVE-2026-45498) . Den amerikanska cybersäkerhetsmyndigheten CISA lade till dem i sin katalog över kända utnyttjade sårbarheter, vilket tvingade federala myndigheter att installera akuta säkerhetsuppdateringar . Microsoft patchade BlueHammer i april månads Patch Tuesday-uppdatering och släppte akuta korrigeringar för RedSun och UnDefend den 21 maj efter att aktiva attacker rapporterats . De återstående tre – YellowKey (en BitLocker-bypass, CVE-2026-45585), GreenPlasma och MiniPlasma – var fortfarande opatchade i början av juni .

Forskaren hävdade att det fanns en historia av missnöje med Microsofts sårbarhetshantering. Nightmare Eclipse påstod att tidigare rapporter som skickats via officiella kanaler hade ignorerats eller hanterats felaktigt, samt att bugg-belöningar – enligt uppgift upp till 250 000 dollar för Hyper-V-exploits – hade hållits inne . Microsoft å sin sida uppgav att forskaren inte hade rapporterat sårbarheterna via officiella kanaler före publiceringen .

Så eskalerade Microsoft konflikten

Situationen förvärrades dramatiskt under den sista veckan i maj. Runt den 23 maj blev Nightmare Eclipses GitHub-konto avstängt. Forskaren blev sedan avstängd från GitLab runt den 26–27 maj . Från sin personliga blogg hotade forskaren med ett "benkrossande" släpp av ytterligare exploits planerat till den 14 juli 2026 – nästa Patch Tuesday .

Den 27 maj publicerade Microsofts MSRC ett blogginlägg med titeln ”A Shared Responsibility: Protecting customers through Coordinated Vulnerability Disclosure” (Ett gemensamt ansvar: Att skydda kunder genom koordinerad sårbarhetsrapportering) . Inlägget fördömde okoordinerade offentliggöranden och framhöll att ”okoordinerade offentliggöranden som lägger proof-of-concept-kod för opatchade sårbarheter i händerna på illvilliga aktörer aldrig är försvarbara och har faktiska konsekvenser” .

Ett särskilt stycke utlöste larm inom säkerhetsbranschen:

”Vår Digital Crimes Unit kommer att fortsätta driva fall mot dessa aktörer och de som möjliggör deras kriminella verksamhet – och vid behov samordna med brottsbekämpande myndigheter över hela världen” .

Även om Microsoft inte nämnde Nightmare Eclipse vid namn, tolkade många säkerhetsforskare inlägget – som var ett direkt svar på den pågående zero-day-kampanjen – som ett konkret juridiskt hot mot forskaren .

Cybersäkerhetscommunityn rasar

Reaktionen var snabb och överväldigande negativ. Säkerhetsforskare, branschkommentatorer och stora teknikpublikationer anklagade Microsoft för att använda skrämseltaktik som riskerade att avskräcka från legitim säkerhetsforskning .

Flera medier publicerade kritiska artiklar inom loppet av dagar. TechCrunchs rubrik löd ”Microsoft under fire for threatening security researcher with criminal investigation” . Windows Central rapporterade om forskarens personliga rädsla med rubriken ”They will ruin my life” . The Register, Security Affairs, CSO Online och The Times of India bevakade alla motreaktionen, där internationella medier noterade ”ilskan” och ”uppståndelsen” i cybersäkerhetskretsar .

Ett centralt tema i kritiken var att Microsofts juridiska hållning undergrävde förtroendet för själva processen med koordinerad rapportering. Forskare menade att om de riskerade juridiska repressalier, skulle de kanske sluta rapportera buggar via officiella kanaler helt och hållet . Flera kommentatorer noterade ironin i att Microsoft hotade en forskare medan tre av de sex offentliggjorda sårbarheterna förblev opatchade .

Säkerhetsforskaren Kevin Beaumont lyfte offentligt fram Microsofts hantering av situationen och ifrågasatte proportionaliteten i företagets agerande . Konsensus blev att Microsoft själva utlöst eskaleringen genom att missköta forskarens ursprungliga rapporter och sedan förvärrade problemet med juridiskt sabelskrammel .

Reträtten den 2 juni

Den 2 juni 2026 ändrade Microsoft kurs radikalt. I ett uttalande publicerat på sociala medieplattformen X och rapporterat av flera medier, förklarade företaget: ”För att vara tydliga med vår inställning till juridiska frågor, vi har ingen avsikt att vidta åtgärder mot individer som bedriver eller publicerar sin säkerhetsforskning” .

Uttalandet stod i direkt kontrast till formuleringen om Digital Crimes Unit från blogginlägget den 27 maj. Microsoft försökte framställa sin tidigare kommunikation som ett allmänt uttalande om praxis för koordinerad rapportering snarare än ett specifikt hot mot Nightmare Eclipse .

Den tyska teknikbloggen BornCity beskrev helomvändningen som att Microsoft ”till viss del backar” efter den ”shitstorm” som MSRC-inlägget utlöst . Branschpublikationen iTnews rapporterade att agerandet ”kommer efter starka motreaktioner från säkerhetsforskare” .

Vad reträtten faktiskt innebär

Uttalandet den 2 juni bör nog främst förstås som en skadekontrollsåtgärd, inte en genomgripande policyöversyn. Microsoft förband sig inte till att ändra sina förväntningar på sårbarhetsrapportering, och adresserade inte heller forskarens underliggande påståenden om misskötta rapporter och obetalda belöningar. Företaget drog tillbaka det juridiska hotet, men vidhöll sin ståndpunkt att okoordinerad rapportering är oansvarigt agerande .

Reaktionerna från forskarvärlden speglade denna skepsis. Många såg klargörandet som en taktisk reträtt driven av allmänhetens tryck, snarare än ett genuint åtagande att skydda forskares rättigheter . Den olösta statusen för YellowKey, GreenPlasma och MiniPlasma – alla fortfarande opatchade i början av juni – fortsatte att underblåsa kritiken om att Microsofts prioriteringar var felaktiga .

Den här uppmärksammade episoden blottlade djupgående spänningar i normerna för sårbarhetsrapportering. Koordinerad rapportering bygger på förtroende: forskare rapporterar buggar privat och leverantörer patchade dem inom en rimlig tidsram. När någon part upplever att detta kontrakt brutits – vare sig genom ignorerade rapporter, innehållna belöningar eller juridiska hot – blir hela systemet skört och riskerar att rasa samman. Tre faktorer tvingade Microsoft att backa: mängden och hastigheten på kritiken från branschen, forskarens hot om ett ännu större exploit-släpp den 14 juli, och den obekväma bilden av att hota med rättsliga åtgärder medan företagets egna säkerhetsuppdateringar fortfarande var ofullständiga.