Il 27 maggio 2026 Microsoft Security Response Center ha pubblicato un post che minacciava perseguimenti penali contro chi pubblica vulnerabilità non patchate. Cinque giorni dopo, l'azienda è stata costretta a una clamorosa retromarcia pubblica. L'incidente ha esposto una falla più profonda del software: il processo di divulgazione coordinata delle vulnerabilità dipende dalla fiducia tra vendor e ricercatori, non da strutture istituzionali solide.
- Sei zero-day Windows pubblicati da Nightmare-Eclipse tra aprile e maggio 2026, con quattro CVE assegnate: CVE-2026-33825, CVE-2026-41091, CVE-2026-45498, CVE-2026-45585
- Il 27 maggio MSRC ha minacciato azioni della Digital Crimes Unit contro "questi attori e chi abilita la loro attività criminale"
- Il 1° giugno Microsoft ha ritrattato su X: "nessuna intenzione di perseguire individui che conducono o pubblicano ricerca sulla sicurezza"
- Huntress ha confermato lo sfruttamento attivo in-the-wild di almeno tre vulnerabilità: BlueHammer, RedSun e UnDefend
La minaccia legale e il testo che ha acceso la reazione
Il post di MSRC del 27 maggio 2026 conteneva due elementi che hanno attraversato la soglia tra posizione di principio e minaccia operativa. Il primo: la definizione delle divulgazioni non coordinate come "mai giustificabili", con l'affermazione che "hanno conseguenze nel mondo reale". Il secondo, più incisivo: l'avviso che "la Digital Crimes Unit continuerà a intentare casi contro questi attori e chi abilita la loro attività criminale, coordinandosi con le forze dell'ordine di tutto il mondo".
La formulazione ha attraversato il confine tra critica a una pratica e intimidazione legale. Casey John Ellis, fondatore di BugCrowd, ha definito la mossa "miopicamente folle, specialmente dopo tutti gli investimenti fatti per presentare un volto sicuro, trasparente e amico della ricerca al mercato". Andrew Case, direttore della threat research di Volexity, ha scritto su X che "MSRC ha deciso di cancellare tutto il goodwill costruito nell'ultimo decennio".
Kevin Beaumont, ex dipendente Microsoft ora ricercatore indipendente, ha espresso su Mastodon la sua inquietudine per il tentativo di "armare i contatti estesi con le forze dell'ordine per arrestare persone che pubblicano zero-day nei prodotti". Florian Roth, head of research di Nextron Systems, ha sottolineato l'asimmetria di potere: "Quando sei il più grande vendor software del pianeta, non puoi comportarti come un individuo arrabbiato in una discussione su internet. Devi essere l'adulto nella stanza".
Cronaca della retromarcia e ciò che Microsoft non ha chiarito
Il ritrattamento, pubblicato su X il 1° giugno 2026, è stato netto: "Per essere chiari sul nostro approccio alle questioni legali, non abbiamo alcuna intenzione di perseguire individui che conducono o pubblicano la loro ricerca sulla sicurezza". La formula, tuttavia, ha lasciato intatta una zona grigia: nessuna risposta sulle interazioni precedenti con Nightmare-Eclipse, nessuna chiarezza su eventuali azioni già avviate, nessun riconoscimento delle accuse di cancellazione account.
Il ricercatore ha affermato di essere stato "detto personalmente da Microsoft che rovineranno la mia vita, e l'hanno fatto". Microsoft, tramite un portavoce interpellato da Windows Central, ha negato la rimozione di account MSRC ma ha ammesso di non poter "confermare quale account questa persona reclama sia stato disattivato". La fonte non ha affrontato le accuse di cancellazione dell'account GitHub né le contestazioni sul mancato pagamento di bounty.
Il dossier non stabilisce se Microsoft abbia effettivamente intentato azioni legali contro Nightmare-Eclipse. La dichiarazione del 1° giugno implica almeno l'assenza di intento prospettico, ma non chiarisce lo stato di eventuali procedimenti in corso.
Il nucleo tecnico: sei vulnerabilità, tre in sfruttamento attivo
Nightmare-Eclipse ha pubblicato sei vulnerabilità tra aprile e maggio 2026. Quattro hanno ricevuto identificatore CVE: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498) e YellowKey (CVE-2026-45585). GreenPlasma e MiniPlasma risultano senza CVE nelle fonti disponibili.
BlueHammer sfrutta condizioni di corsa TOCTOU (Time-of-Check to Time-of-Use) nel processo di aggiornamento di Microsoft Defender per ottenere privilegi SYSTEM tramite manipolazione delle copie shadow del volume. Secondo il record NVD per CVE-2026-33825, la vulnerabilità deriva da "insufficiente granularità del controllo di accesso in Microsoft Defender" che consente "a un attaccante autorizzato di elevare i privilegi localmente". Il punteggio CVSS 3.1 è 7.8, classificazione High, con vettore AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.
RedSun utilizza oplock e directory junction swap per sovrascrivere file di sistema. UnDefend blocca i file delle firme di Defender per disabilitare la protezione. Secondo Rescana, che cita Huntress, "sono state osservate intrusioni nel mondo reale che sfruttano BlueHammer, RedSun e UnDefend". La conferma riguarda tre delle sei vulnerabilità, non l'intero set.
La versione 4.18.26040.1011 della piattaforma Defender ha corretto BlueHammer nell'aprile 2026. RedSun e UnDefend risultano non patchate all'inizio di giugno 2026, secondo quanto documentato da Rescana. Fonti successive non confermano aggiornamenti per queste due vulnerabilità. CISA ha inserito CVE-2026-33825 nel catalogo Known Exploited Vulnerabilities il 22 aprile 2026, con scadenza per la remediation fissata al 6 maggio 2026.
Cosa fare adesso
- Verificare la versione della piattaforma Microsoft Defender: deve essere 4.18.26040.1011 o successiva per la protezione contro BlueHammer
- Monitorare gli indicatori di compromissione associati a RedSun e UnDefend, pubblicati da Rescana con mappatura MITRE ATT&CK, data la conferma di sfruttamento attivo
- Rivedere le procedure di patching per i sistemi Windows che potrebbero non aver ricevuto l'aggiornamento Defender del 2026
- Tracciare le comunicazioni ufficiali di Microsoft su CVE-2026-41091 e CVE-2026-45498, attualmente non patchate, per l'eventuale rilascio di correzioni
"Our Digital Crimes Unit will continue bringing cases against these actors and those that enable their criminal activity— coordinating as needed with law enforcement around the world" — Microsoft Security Response Center, 27 maggio 2026
La contraddizione tra marketing e operatività
L'incidente mette in luce una discrepanza strutturale. Microsoft ha investito risorse significative nella costruzione di un'immagine "ricercatore-friendly", con programmi bounty estesi, collaborazioni pubbliche e presenza costante nei circuiti della sicurezza. La stessa struttura MSRC è stata presentata come esempio di maturità industriale nella gestione delle vulnerabilità.
La realtà operativa, documentata dalle lamentele multiple, mostra segni di burocratizzazione. Nightmare-Eclipse ha denunciato procedure che richiedono video dimostrativi, negazioni di CVE, cancellazioni di account. Altri ricercatori hanno corroborato pattern simili. La tensione non è tra una Microsoft aperta e un ricercatore deviante, ma tra un'architettura istituzionale che non regge il carico della sua stessa pubblicità.
Katie Moussouris, tra le architette del programma MSRC originale, ha analizzato l'incidente come sintomo di una gestione della divulgazione che ha perso elasticità. La rapida escalation da disputa procedurale a minaccia penale, seguita da altrettanto rapida retromarcia sotto pressione pubblica, suggerisce un processo decisionale non gerarchizzato e vulnerabile a contraccolpi reputazionali.
Perché il caso va oltre Microsoft
La velocità con cui il PoC delle vulnerabilità è stato pubblicato e weaponizzato prima della disponibilità delle patch è stata accelerata dal conflitto ricercatore-vendor, non dalla scoperta tradizionale da parte di threat actor. Questo meccanismo trasforma la politica di divulgazione in un controllo di sicurezza a sé stante: quando il processo fallisce, le vulnerabilità escono dal perimetro protetto della coordinazione e entrano direttamente nell'arsenale degli aggressori.
Per le aziende, il risultato è un'urgenza di patching su vulnerabilità che potrebbero non aver attraversato i canali standard di notifica. Per i ricercatori, il caso testa i confini della divulgazione responsabile e le protezioni legali per la ricerca in buona fede. Per l'industria, espone la fragilità dei framework di divulgazione coordinata quando la fiducia tra le parti si rompe.
Nightmare-Eclipse ha promesso ulteriori divulgazioni da parte di altri ricercatori. Il dossier non verifica questa affermazione. Ciò che è documentato è che la ritrattazione del 1° giugno non ha risolto la disputa sottostante, né ha ripristinato automaticamente la fiducia necessaria al funzionamento del sistema.
Fonti
- https://www.darkreading.com/application-security/microsoft-zero-day-legal-threats-backlash
- https://www.ilsoftware.it/microsoft-contro-ricercatori-scontro-zero-day-windows/
- https://www.securityweek.com/microsoft-tries-to-calm-legal-threat-fears-after-zero-day-disclosure-backlash/
- https://www.bankinfosecurity.com/microsoft-threatens-legal-action-over-zero-day-leaks-a-31807
- https://www.rescana.com/post/active-exploitation-alert-microsoft-windows-and-defender-zero-day-vulnerabilities-trigger-global-backlash-amid-legal-thr
- https://www.windowscentral.com/microsoft/microsoft-backs-off-legal-threats-against-windows-security-researchers
- https://www.theregister.com/security/2026/06/02/microsoft-reaches-for-olive-branch-after-public-dustup-with-0-day-researcher/5249945
- https://nvd.nist.gov/vuln/detail/CVE-2026-33825
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.