Microsoft critica il ricercatore che pubblica 0-day exploit. Ma a perdere sono gli utenti

Microsoft ha criticato il ricercatore Nightmare Eclipse per aver pubblicato exploit 0-day senza seguire la procedura standard di divulgazione coordinata delle vulnerabilità (CVD). Questo conflitto ha portato alla diffusione di sei vulnerabilità critiche, alcune delle quali sono già state sfruttate in attacchi reali. Microsoft sottolinea che tale pratica mette a rischio gli utenti e l'intero ecosistema della sicurezza informatica.

Mentre il ricercatore Nightmare Eclipse (aka Chaos Eclipse) continua la sua guerra con Microsoft e pubblica sempre più exploit, la società afferma che le sue azioni potrebbero danneggiare l’intero ecosistema della sicurezza delle informazioni. Microsoft ha riferito che lo specialista non ha informato l’azienda delle vulnerabilità prima di pubblicare gli exploit, il che significa che gli sviluppatori non hanno avuto l’opportunità di valutare i rischi in anticipo e preparare la protezione.

Ricordiamo che il motivo di questo conflitto, che va avanti da due mesi, è incentrato alla pubblicazione di sei vulnerabilità 0-day su Microsot Windows. Le informazioni sui bug di Nightmare Eclipse sono di pubblico dominio insieme agli exploit funzionanti, aggirando la procedura standard di divulgazione coordinata delle vulnerabilità (CVD). I bug di sicurezza e relativi exploit sono relativi ai bug BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma e MiniPlasma.

Il ricercatore ha dichiarato di pubblicare exploit 0-day per protestare contro il modo in cui gli specialisti del Microsoft Security Response Center (MSRC), i quali a suo dire trattano male gli specialisti della sicurezza informatica. Secondo lui, i rappresentanti di Microsoft non solo hanno ignorato i suoi messaggi e non hanno pagato una ricompensa per i problemi riscontrati, ma lo hanno anche minacciato e promesso di “rovinargli la vita”.

I rappresentanti di Microsoft scrivono che questa pratica mette principalmente a rischio gli utenti.

L’azienda ha ricordato che ogni anno interagisce con centinaia di ricercatori sulla sicurezza informatica nell’ambito del CVD. Le vulnerabilità e i dettagli tecnici dei bug rilevati vengono pubblicati solo dopo il rilascio delle correzioni.

Microsoft ha osservato che dopo la pubblicazione degli exploit gli specialisti sono stati costretti ad analizzare le conseguenze “24 ore su 24”, a sviluppare misure protettive e a preparare patch. Allo stesso tempo, almeno tre problemi – BlueHammer, RedSun e UnDefend – hanno già iniziato a essere sfruttati dagli aggressori in attacchi reali.

La situazione relativa al problema YellowKey (CVE-2026-45585), che consente di aggirare la crittografia BitLocker, rimane particolarmente allarmante. Microsoft considera molto probabile lo sfruttamento della vulnerabilità, ma non sono ancora disponibili soluzioni per YellowKey, GreenPlasma e MiniPlasma.

Nella loro dichiarazione, i rappresentanti di Microsoft hanno condannato fermamente qualsiasi divulgazione incoerente di informazioni sui bug 0-day e hanno menzionato specificamente la Digital Crimes Unit, che indaga sui crimini informatici e collabora con le forze dell’ordine di tutto il mondo. Sebbene non sia stata fatta alcuna minaccia diretta contro il ricercatore, molti esperti hanno interpretato questa parte della dichiarazione come un indizio di possibili conseguenze legali per Nightmare Eclipse.

Si noti che la scorsa settimana Nightmare Eclipse ha dichiarato che i rappresentanti dell’azienda lo avevano privato dell’accesso al suo account MSRC e, dopo la pubblicazione degli exploit, i suoi account su GitHub e GitLab sono stati bloccati. Nel suo messaggio, il ricercatore ha nuovamente accusato l’azienda di pubblica umiliazione e di rifiuto di comunicare.

Inoltre, Nightmare Eclipse ha dichiarato di possedere alcuni documenti relativi alla società e ha promesso di pubblicare qualcosa di così serio da “frantumare le ossa di Microsoft” il 14 luglio 2026.

Le opinioni nella comunità sulla sicurezza delle informazioni sono divise. Alcuni esperti condannano la pubblicazione di exploit funzionanti per vulnerabilità senza patch. Altri credono che la stessa Microsoft abbia peggiorato la situazione. Così, il capo della Zero Day Initiative, Dustin Childs, ha ricordato che il processo CVD implica responsabilità da entrambe le parti, e il capo di Luta Security, Katie Moussouris, ha criticato la retorica di Microsoft, definendola contraddittoria ed eccessivamente aggressiva.

Allo stesso tempo, la maggior parte degli esperti concorda su una cosa: indipendentemente dalle ragioni del conflitto, i perdenti sono gli utenti. Considerando che tre dei sei 0day sono già utilizzati in attacchi attivi, le conseguenze di questo confronto sono andate oltre la solita disputa tra un ricercatore e un produttore.

Luigi Zullo

Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.

Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response