Notebookcheck Logo

Microsoft affronta il contraccolpo della comunità della sicurezza su Nightmare Eclipse

Il rendering del restyling della sede tecnologica di Microsoft a Redmond.
ⓘ blogs.microsoft.com/
Il rendering del restyling della sede tecnologica di Microsoft a Redmond.
La minaccia di Microsoft di perseguire penalmente Nightmare Eclipse ha attirato aspre critiche da parte dei veterani della sicurezza, con tre zero-days di Windows ancora senza patch.
Business Security Hack / Data Breach Windows Microsoft

La minaccia pubblica di Microsoft di perseguire le accuse penali contro il ricercatore dietro sei rivelazioni di Windows zero-day ha trasformato una disputa sulla vulnerabilità in una reazione su larga scala da parte della comunità della sicurezza.

Il ricercatore, noto come Nightmare Eclipse, ha pubblicato un codice proof-of-concept armato per sei vulnerabilità di Windows tra l'inizio di aprile e la metà di maggio 2026 senza coordinarsi con Microsoft. Tre falle, BlueHammer, RedSun e UnDefend, sono state sfruttate in attacchi dal vivo. YellowKey, GreenPlasma e MiniPlasma rimangono senza patch.

Microsoft risponde al fuoco

Microsoft ha pubblicato un post ufficiale sul blog il 28 maggio, descrivendo le rivelazioni come "mai giustificabili" e avvertendo che la sua Unità Crimini Digitali avrebbe perseguito i casi contro chiunque avesse consentito un'attività criminale attraverso il codice exploit. L'azienda ha accusato il ricercatore di aggirare gli standard coordinati di divulgazione delle vulnerabilità.

Nightmare Eclipse contesta questa affermazione. Il ricercatore sostiene che Microsoft ha cancellato l'account del Security Response Center utilizzato per presentare le segnalazioni di bug originali e ha rifiutato ulteriori contatti. "Avete letteralmente cancellato l'account Microsoft con cui vi ho segnalato i bug, e non ho ottenuto nulla in cambio", ha scritto il ricercatore.

La reazione della comunità

L'industria della sicurezza non è dalla parte di Microsoft. Katie Moussouris, che è stata la pioniera dei programmi di bug bounty in Microsoft e ha coniato il quadro di divulgazione coordinata che l'azienda invoca ora, ha criticato pubblicamente il post sul blog di Bluesky. L'evocazione della "divulgazione responsabile" era il primo problema, ha scritto. L'aggiunta della minaccia di un procedimento giudiziario da parte della Digital Crimes Unit ha peggiorato la situazione e avrebbe allontanato i ricercatori dal fidarsi di Microsoft.

Kevin Beaumont, un ex ingegnere della sicurezza di Microsoft, ha definito la situazione "un fuoco di paglia che hanno creato loro stessi", notando che Microsoft aveva precedentemente assunto SandboxEscaper dopo che lei aveva pubblicato un codice di exploit zero-day senza preavviso, un comportamento che Redmond ora descrive come criminale.

Cosa c'è ancora da correggere e cosa succederà in futuro

Incubo Eclipse è stato bandito da GitHub intorno al 23 maggio e da GitLab il 26-27 maggio, e ora pubblica da un blog personale. Il rilascio di un exploit del 14 luglio, mirato al Patch Tuesday di luglio, rimane una minaccia, con avvertimenti di vulnerabilità di escalation all'esecuzione di codice remoto.

Gli amministratori dovrebbero trattare YellowKey, GreenPlasma e MiniPlasma come rischi attivi. Per YellowKey, la mitigazione di Microsoft richiede la modifica manuale dell'hive del registro di WinRE offline e la rimozione di autofstx.exe dal valore BootExecute.

Una configurazione di pre-avvio TPM+PIN esclude completamente il percorso di estrazione fisica. Motore Defender la versione 1.1.26040.8 o successiva gestisce RedSun e UnDefend, e l'aggiornamento non deve attendere una finestra di manutenzione programmata.

Google LogoAdd as a preferred source on Google
Mail Logo

Articoli collegati

> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2026 05 > Microsoft affronta il contraccolpo della comunità della sicurezza su Nightmare Eclipse
Darryl Linington, 2026-05-30 (Update: 2026-05-30)