Microsoft и Apple угрожают белым хакерам тюрьмой за публикацию сведений об опасных уязвимостях

Корпорация Microsoft пригрозила правоохранительными мерами исследователю под ником Nightmare Eclipse, который выложил в открытый доступ шесть незакрытых zero-day уязвимостей Windows в обход стандартной процедуры MSRC. Сообщество специалистов по информационной безопасности встало на сторону исследователя и обвинило корпорацию в подмене налаживания процессов юридическим давлением. Эпицентром скандала оказался эксплойт BlueHammer, поднимающий права атакующего до администратора домена.

Nightmare Eclipse за последние недели выкатил серию публикаций с разбором шести дыр в Windows. Среди них оказался рабочий PoC под кодовым названием BlueHammer, дающий локальное повышение привилегий до уровня администратора. Для корпоративных сред с доменными контроллерами и тысячами рабочих станций такая находка равноценна универсальной отмычке. Атакующий, получив минимальный плацдарм в системе, через BlueHammer выходит на уровень, где доступны учётные данные, политики и движение по сети.

Принятая в индустрии модель координированного раскрытия выглядит так. Исследователь отправляет находку в Microsoft Security Response Center, вендор берёт паузу на анализ и патч, бюллетень выходит синхронно с фиксом. Логика проста, и она работает уже два десятилетия:

• сначала закрытие уязвимости, потом публичный разбор;
• у защитников появляется окно для развёртывания обновления;
• рабочий код атаки не успевает разойтись по форумам и приватным каналам;
• автор получает CVE, упоминание и нередко выплату по багбаунти.

Nightmare Eclipse от этого маршрута отказался демонстративно. Исследователь заявил, что Microsoft вела себя с ним некорректно, унижала, тянула сроки и вообще создавала впечатление, будто общение приносит сотрудникам корпорации удовольствие за счёт чужого раздражения. Конкретики в его публикациях немного, но эмоциональный фон считывается без труда — человек дошёл до точки, где публичное раскрытие казалось ему единственным способом быть услышанным.

Отмечается, что эскалация шла поэтапно. После первой партии публикаций Microsoft пыталась договориться кулуарно, но к ноябрю Nightmare Eclipse выложил новую порцию деталей и обвинил корпорацию в том, что та лишь разжигает конфликт.

Ответ от Microsoft появился в корпоративном блоге в среду. Текст напомнил про ценность координированного раскрытия, указал на то, что демонстрационный код для незакрытых багов превращается в подарок злоумышленникам, а в финале появилась формулировка про подразделение по борьбе с цифровыми преступлениями. Оно, по словам компании, продолжит вести дела против лиц, способствующих преступной активности, и взаимодействовать с правоохранительными органами разных стран. Эта часть и стала спичкой для пожара.

Технический директор Pistachio Зак Корман отреагировал хлёстко. Microsoft, по его словам, готова сделать всё для остановки потока zero-day, кроме одного — наладить работу самого MSRC. Эта фраза разлетелась по соцсетям ИБ-цеха за несколько часов. К Корману присоединились десятки специалистов с собственными историями взаимодействия с программой Microsoft. Картина у всех примерно одинаковая:

• отчёт уходит в MSRC и зависает на месяцы без внятной обратной связи;
• выплата по программе багбаунти отклоняется без понятных критериев;
• патч выходит молча, без признания автора находки;
• иногда уязвимость переклассифицируется в сторону снижения серьёзности.

Стоит обратить внимание на то, что недовольство копилось задолго до Nightmare Eclipse. Случай с шестью раскрытыми zero-day лишь сорвал крышку с котла, который кипел давно.

• Разработчик антивирусного инструментария для Windows Габриэль Ландау написал, что после общения с MSRC у него остался крайне горький осадок. Компания, по словам Ландау, удерживала его в режиме ожидания месяцами ради молчания, а затем нарушила обещания, которые сама и давала. Габриэль Ландау резюмировал, что больше не хочет иметь с этой программой ничего общего.
• Инженер технической поддержки Nvidia Эрик Варнке развил ту же мысль. Независимых исследователей нельзя силой загнать в сотрудничество, у корпорации есть только один рычаг — делать общение либо привлекательным, либо отталкивающим. Microsoft, по оценке Эрика Варнке, выбрала второй вариант, а сверху прикрыла ситуацию текстом про разделённую ответственность. Похоже на оборону репутации, а не на программу поощрения сообщений об ошибках.

Схожим образом поступает и Apple. В обсуждении скандала всплыл эпизод 2019 года. Исследователь нашёл уязвимость в iMessage и в ходе её анализа выяснил, что сотрудники Apple проводят ежедневные созвоны через FaceTime. В качестве доказательства работоспособности бага он отправил в корпорацию скриншот их собственной видеоконференции. Вместо благодарности Apple прислала ему письмо с угрозами юридического характера.

Аргументы корпорации тоже не лишены оснований. PoC для незакрытой дыры в 2026 году — совсем не то же самое, что демонстрационный код десять лет назад. ИИ-помощники ускоряют доработку эксплойтов до производственного уровня, операторы вымогательского ПО подхватывают рабочие техники за дни, а не за месяцы. Демонстрация BlueHammer теоретически может оказаться в арсенале группировки уровня LockBit или Akira раньше, чем средний админ дочитает обновлённый бюллетень. С этой стороны логика Microsoft понятна и обоснована.

С другой стороны, исследователи требуют от вендора симметрии. Если корпорация хочет приватных отчётов, ей нужно дать предсказуемую процедуру, уважительный тон и прозрачные сроки. Когда автор находки месяцами сидит без ответа, получает отказ в выплате с расплывчатой формулировкой или видит выход патча без своего имени в credits, доверие испаряется. Дальше начинается логика публичного давления, потому что иного рычага у одиночки против корпорации с капитализацией в триллионы долларов попросту нет.

Конфликт вокруг Nightmare Eclipse вскрыл и более общую проблему. Координированное раскрытие держится не на юридических угрозах, а на взаимном доверии трёх сторон:

• исследователь верит, что его отчёт не похоронят в тикете;
• вендор верит, что эксплойт не появится в твиттере до выхода патча;
• пользователи верят, что обе стороны не превратят их безопасность в поле личных разборок.

Windows остаётся одной из самых массовых платформ планеты, и каждая новая дыра в ней моментально вызывает интерес у вымогателей, шпионских команд и государственных операторов. В такой реальности спор Microsoft с одним исследователем перестаёт быть PR-эпизодом и превращается в фактор риска для миллионов корпоративных установок.

Пока корпорация настаивает на ответственности исследователей, ИБ-сообщество настаивает на ответственности самой корпорации. Шесть zero-day тут лишь повод. Настоящий предмет спора — это то, кто и как должен чинить сломанные отношения между вендорами и теми, кто находит у них дыры.

Эксперты редакции CISOCLUB уверены, что Microsoft в этом раунде выбрала проигрышную риторику. Угроза правоохранительными мерами в адрес исследователя, пусть и нарушившего регламент, бьёт по доверию ко всей программе MSRC, а не защищает её. Корпорации такого масштаба обязаны держать процессы координированного раскрытия в идеальной форме, иначе исследователи будут уходить в публичное поле снова и снова. Случай Nightmare Eclipse показал, что в индустрии накопилась масса невыплаченных эмоциональных счетов, и одной публикации в корпоративном блоге для их закрытия мало.

Редакция CISOCLUB полагает, что Microsoft придётся пойти на реформу MSRC, увеличение прозрачности сроков и публичное признание вклада авторов находок. Без этого шага следующий Nightmare Eclipse появится быстрее, чем выйдет патч на BlueHammer.