Microsoft è costretta a ritirare la sua politica sul ricercatore di rogue zero-day Nightmare Eclipse

Microsoft ha ufficialmente fatto marcia indietro sulla sua aggressiva posizione legale contro il ricercatore di sicurezza indipendente che opera sotto lo pseudonimo di "Nightmare Eclipse." A seguito di un forte contraccolpo da parte della comunità globale della cybersicurezza, il gigante tecnologico ha silenziosamente cancellato la sua recente retorica aziendale che equiparava la divulgazione di bug non coordinati a un comportamento maligno. L'improvviso cambiamento rappresenta un importante sforzo di controllo dei danni da parte di Redmond per ricucire i rapporti in rapido deterioramento con gli analisti delle minacce esterne e i professionisti della sicurezza che formano la spina dorsale dei moderni ecosistemi di difesa del software.

All'interno della campagna zero-day Nightmare Eclipse

La controversia si è originariamente accesa dopo che Nightmare Eclipse ha aggirato i tradizionali canali di segnalazione aziendale per pubblicare un codice funzionale proof-of-concept per diverse falle di Windows ad alta gravità. La campagna ha avuto successo armato le vulnerabilità zero-day nei sistemi difensivi fondamentali, distribuendo catene di escalation dei privilegi locali come BlueHammer (CVE-2026-33825) e lo strumento RedSun progettato per accecare Microsoft Defender. La ritorsione iniziale di Microsoft, che ha incluso minacce legali aggressive da parte della sua Unità Crimini Digitali e divieti di account a tappeto su piattaforme di hosting di codice come GitHub e GitLab-ha suscitato un'ampia condanna da parte dei leader della sicurezza aziendale, che hanno avvertito che la prepotenza aziendale con mano pesante avrebbe soffocato la ricerca difensiva e lasciato le reti attive esposte agli attori malintenzionati.

La transizione verso la divulgazione coordinata delle vulnerabilità

Nel suo ultimo aggiornamento della politica, Microsoft ha chiarito esplicitamente che non ha intenzione di intraprendere azioni legali contro le persone impegnate nell'identificazione legittima delle vulnerabilità. In particolare, il gigante del software ha completamente abbandonato il controverso termine "divulgazione responsabile" dai suoi canali di messaggistica ufficiali. L'azienda è invece tornata al suo classico quadro di "Coordinated Vulnerability Disclosure", ammettendo che alcuni dei suoi recenti interventi automatizzati sulla piattaforma non sono stati all'altezza degli standard professionali della comunità e promettendo una strategia di coinvolgimento in buona fede per le segnalazioni future.

Vettori irrisolti e minacce incombenti della patch di giugno

Nonostante il ritiro della politica strutturale di Microsoft, il vettore di minaccia architettonica sottostante rimane irrisolto. Nightmare Eclipse ha ignorato il ramo d'ulivo dell'azienda, confermando che diversi sviluppatori indipendenti di exploit stanno ora incanalando i bug di sicurezza senza patch direttamente a loro, per evitare del tutto le pipeline di segnalazione dell'azienda. Lo sviluppatore pseudonimo ha già annunciato un imminente Exploit di giugno che punta alle vulnerabilità del ciclo di vita Vulnerabilità del ciclo di vita del Secure Bootsostenendo che l'imminente rilascio di codice aggirerà completamente la crittografia hardware BitLocker sulle macchine virtuali operative, prima della scadenza prevista per la metà dell'estate.