微软批评不负责任的漏洞披露行为

微软对一名心怀不满的安全研究人员进行了回击。该研究人员在未事先向微软通报的情况下，直接公开了微软产品中六个零日漏洞的概念验证攻击代码，微软表示这种行为让客户面临"不必要的风险"。

这名研究人员在社区中以Nightmare Eclipse等相关账号为人所知，有人认为他是恶意行为者，也有人将其视为类似罗宾汉的网络英雄。他的行为似乎源于对微软的个人不满。

该研究人员的真实身份尚未公开，但据了解，在过去几天内，他已被代码托管平台GitHub和GitLab封禁。他威胁将进一步披露漏洞，并告诉旁观者在日历上标记7月14日。

微软表示，每年都会通过既定的协同漏洞披露流程与数百名安全研究人员合作。这是一套行业标准的最佳实践，使道德黑客能够与供应商分享他们的发现，让供应商在披露前解决问题。

理论上，这一流程旨在确保在概念验证代码落入威胁行为者手中之前发布补丁，并公平地补偿和认可研究人员，但Nightmare Eclipse对此提出质疑。

然而，微软表示，Nightmare Eclipse发现的漏洞（分别被命名为BlueHammer、GreenPlasma、MiniPlasma、RedSun、UnDefend和YellowKey）并未经过负责任的披露，而是在过去几周内毫无预警地向全世界公开，导致微软团队措手不及，疲于应对。

微软表示："为了应对这些披露造成的不必要风险，我们的安全团队一直在夜以继日地工作，以了解影响、保护客户并开发安全更新。我们坚决反对这些行为，以及任何可能损害客户和数字生态系统的不当协调披露。将未修补漏洞的概念验证代码交到恶意行为者手中的不协调披露永远不可原谅，并会产生现实后果。"

微软表示，虽然欢迎不同观点，并认识到不会总是与独立研究人员在所有问题上达成一致，但公司"致力于透明度"，希望继续为与更广泛社区的对话创造更多机会。

微软表示："我们的团队将继续支持负责任的研究，尽一切努力快速调查、解决并发布影响客户的漏洞更新。我们一直欢迎并将继续欢迎任何人通过我们的公共研究人员门户提交漏洞，无论过去的互动或声誉如何。"

漏洞管理

截至5月28日，Nightmare Eclipse发布的六个漏洞中有四个已被分配通用漏洞披露编号。按数字顺序分别是：

CVE-2026-33825，也称为BlueHammer，是Windows Defender中的权限提升漏洞，使具有普通用户级别访问权限的攻击者能够提升到系统级权限。需要注意的是，微软将此漏洞归功于另外两名研究人员；

CVE-2026-41091，也称为RedSun，是Windows Defender中的另一个权限提升漏洞，同样能够实现系统级执行权限；

CVE-2026-45498，也称为UnDefend，是Windows Defender中的拒绝服务漏洞，源于不受控制的资源消耗问题，使具有提升访问权限的攻击者能够通过干扰Defender的运行来避免检测；

CVE-2026-45585，也称为YellowKey，是Windows BitLocker中的安全功能绕过漏洞，可能使对目标系统具有物理访问权限的攻击者访问受特定BitLocker配置保护的驱动器上的数据。

与此同时，GreenPlasma是Windows BitLocker中的权限提升漏洞，尚未分配CVE编号，而MiniPlasma则绕过了CVE-2020-17103，这是Windows云过滤器驱动程序中先前修补的权限提升漏洞。

变化中的世界

虽然Nightmare Eclipse的行为普遍被认为是不当且极不负责任的，但网络安全社区的许多成员指出，传统的协同漏洞披露流程正在开始崩溃。

John Carberry是洛杉矶托管安全服务提供商Xcape的首席营销官兼解决方案专家。他描述了道德黑客与企业供应商之间"不断升级的消耗战"。

Carberry表示："这种摩擦指向了更深层次的系统性崩溃。安全研究社区显然对供应商的分类处理时间越来越不满，这已成为一个关键瓶颈，因为微软已经被工程工作量淹没，仅本月就有138个CVE补丁周期就是明证。"

他补充说："当前的僵局证明，传统的协同漏洞披露模式正在自身重压下崩溃，使企业安全团队陷入不耐烦的研究人员和过度劳累的软件供应商之间的交火中。"

Suzu Labs安全AI解决方案和网络安全高级总监Jacob Krell将协同漏洞披露描述为一项共同义务，甚至在一定程度上认可了Nightmare Eclipse不满的部分理由。他指出，鉴于微软每年创造数千亿美元收入，期望研究人员免费为其产品安全提供补贴是不合理的。

他还更直接地批评微软，称："包括Defender和BitLocker在内的核心Windows组件中的六个漏洞进入生产环境，代表了供应商的工程失败。这些漏洞本不应该发布。要求协调的供应商还必须投资于响应式分类和防止此类问题的开发严谨性。"

Krell补充道："传统的90天禁运期是为一个更慢的世界设计的。AI已经大幅压缩了漏洞发现的时间线，以至于90天足以部署一个全新的前沿模型并将其指向同一代码库。仅在2026年前五个月，微软就修补了500多个CVE。"

他警告说："这个数量表明，整个生态系统的产品安全态势比市场假设的要弱。"

下一步行动

当有人选择将核心企业IT产品漏洞的可用攻击代码直接公开时，实际上是在向整个互联网提供了进入企业网络的即时且未经身份验证的通行证。Nightmare Eclipse披露的零日漏洞已知正在被积极利用，因此安全负责人需要予以关注。

Xcape的Carberry表示："安全主管不能坐等供应商补丁慢慢通过质量保证和部署流程。他们必须建立积极的内部缓解能力，将不协调的披露视为即时的活跃事件，迫使他们在漏洞出现在GitHub上的那一刻就部署临时配置解决方法和超特定的EDR检测规则，远早于官方自动修复在未来补丁星期二到来之前。"

Q&A

Q1：Nightmare Eclipse披露的六个微软零日漏洞分别是什么？

A：这六个漏洞分别被命名为BlueHammer、GreenPlasma、MiniPlasma、RedSun、UnDefend和YellowKey。其中BlueHammer和RedSun是Windows Defender中的权限提升漏洞，UnDefend是Defender中的拒绝服务漏洞，YellowKey是BitLocker中的安全功能绕过漏洞，GreenPlasma是BitLocker中的权限提升漏洞，MiniPlasma则绕过了之前修补的漏洞。

Q2：什么是协同漏洞披露流程？为什么它很重要？

A：协同漏洞披露是一套行业标准的最佳实践，使安全研究人员能够在公开披露前与供应商分享漏洞发现，让供应商有时间开发补丁。这一流程旨在确保在攻击代码落入恶意行为者手中之前发布安全更新，同时公平补偿研究人员。但目前这一流程正面临挑战，因为供应商处理时间过长，而AI技术已大幅压缩了漏洞发现周期。

Q3：企业应如何应对这类不协调的漏洞披露？

A：安全专家建议，企业不能被动等待供应商补丁，而应建立积极的内部缓解能力。将不协调的披露视为即时活跃事件，在漏洞公开的第一时间就部署临时配置解决方法和特定的端点检测与响应规则，而不是等到官方补丁发布。这种主动防御策略对于保护企业网络至关重要。