Microsoft cambia posizione: non perseguirà legalmente i ricercatori per la pubblicazione di exploit 0-day

Microsoft ha annunciato che non perseguirà i ricercatori per la pubblicazione di exploit 0-day, dopo critiche dalla comunità della sicurezza. La società ha ammorbidito la sua retorica, sottolineando che l'interazione con le forze dell'ordine avverrà solo in casi di attività illegali. Questo cambiamento è stato accolto positivamente da esperti del settore.

I rappresentanti di Microsoft stanno cercando di risolvere un conflitto con un ricercatore di sicurezza informatica noto come Nightmare Eclipse (noto anche come Chaos Eclipse), che ha pubblicato exploit relativi a vulnerabilità 0-day in Windows senza adottare un procsso di Coordinated Vulnerability Disclosure (CVE).

Dopo le critiche alla comunità della sicurezza informatica, l’azienda ha annunciato che non intende perseguitare i ricercatori che svolgono questo lavoro così importante nel campo della sicurezza.

Ricordiamo che i precedenti rappresentanti di Microsoft hanno condannato duramente le azioni di Nightmare Eclipse, che, senza preavviso alla società, ha pubblicato exploit e divulgato informazioni su sei vulnerabilità: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma e MiniPlasma.

A fine maggio l’azienda ha affermato che la pubblicazione di exploit per bug non ancora risolti “non può essere giustificata da nulla” e ha menzionato specificamente la Digital Crimes Unit, che indaga sui crimini informatici e interagisce con le forze dell’ordine di tutto il mondo. Anche se non è stata rivolta alcuna minaccia diretta al ricercatore, molti esperti hanno interpretato questo come un indizio di possibili misure legali.

La posizione di Microsoft ha causato una reazione per lo più negativa nella comunità professionale. Ad esempio, lo specialista in sicurezza informatica ed ex dipendente di Microsoft Kevin Beaumont ha definito la situazione “un disastro creato dalla stessa Microsoft”. A sua volta, il capo della ricerca di Nextron Systems, Florian Roth, ha scritto che, indipendentemente da chi abbia ragione nel conflitto, l’azienda ha commesso un grave errore trasformando ciò che stava accadendo in uno scontro pubblico.

Anche Katie Moussouris, creatrice del programma bug bounty di Microsoft e fondatrice di Luta Security, ha criticato la retorica dell’azienda. Secondo lei, Microsoft invia segnali contrastanti: parla dei premi e dei riconoscimenti che ricevono i ricercatori nel campo della sicurezza informatica, e allo stesso tempo risponde alle affermazioni di uno specialista che affermava di non aver ricevuto né l’uno né l’altro. Inoltre, il riferimento all’Unità per i Crimini Digitali sembrava una “minaccia velata”.

Di conseguenza, questa settimana i rappresentanti di Microsoft sono stati costretti a pubblicare una nuova dichiarazione, ammorbidendo notevolmente la loro retorica. La società ha sottolineato che non intende intraprendere alcuna azione legale contro le persone che si impegnano in ricerche sulla sicurezza delle informazioni o ne pubblicano i risultati.

Secondo i rappresentanti dell’azienda, l’interazione con le forze dell’ordine è possibile solo nei casi in cui si tratta di attività illegali che causano danni reali ai clienti. Microsoft ha inoltre ammesso che alcune interazioni con i ricercatori potrebbero non essere andate molto bene e ha promesso di tenere in considerazione il feedback ricevuto.

Allo stesso tempo, i dipendenti dell’azienda non commentano in alcun modo le accuse di Nightmare Eclipse, che ha dichiarato di essere stato privato dell’accesso al suo account MSRC, i suoi account su GitHub e GitLab sono stati bloccati, i suoi messaggi sono stati ignorati e non sono mai stati effettuati pagamenti per le vulnerabilità riscontrate.

Nel frattempo, lo stesso Nightmare Eclipse scrive sul suo blog che i tentativi di Microsoft di mettergli pressione hanno portato al risultato opposto. Secondo il ricercatore, dopo gli ultimi avvenimenti, altri specialisti hanno iniziato a contattarlo e a fornirgli informazioni sulle vulnerabilità riscontrate. In particolare, ha annunciato un bug chiamato Bitskrieg, scoperto dal ricercatore JonasLyk. Questo problema presumibilmente interrompe la protezione Secure Boot e consente di aggirare completamente BitLocker. La pubblicazione dei dettagli tecnici della vulnerabilità è prevista per giugno.

Nota che questa settimana un altro specialista della sicurezza informatica, Ammar Askar, ha divulgato pubblicamente informazioni su una vulnerabilità di 0 giorni in Visual Studio Code (appena un’ora dopo aver informato gli sviluppatori di GitHub del bug). Secondo lui, il motivo erano le passate interazioni negative con gli specialisti del Microsoft Security Response Center. Askar afferma che i dipendenti di MSRC hanno precedentemente corretto la vulnerabilità trovata senza menzionare l’autore.

Luigi Zullo

Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.

Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response