Il 27 maggio 2026 il Microsoft Security Response Center ha pubblicato un post minacciando azioni penali contro il ricercatore noto come Nightmare-Eclipse o Chaotic Eclipse, autore di sei zero-day su Microsoft Defender e Windows. La reazione della community è stata immediata e senza precedenti: entro il 1° giugno Microsoft è stata costata a chiarire pubblicamente di non avere intenzione di perseguire ricercatori che pubblicano vulnerabilità. Nel frattempo, almeno tre di quei zero-day — BlueHammer, RedSun e UnDefend — sono stati confermati in exploit attivo nel wild.
Il caso solleva una domanda strutturale: cosa succede alla sicurezza delle imprese quando il vendor più grande del pianeta rompe il patto sociale della responsible disclosure, minacciando chi scopre falle nei suoi prodotti?
- Microsoft ha minacciato azioni penali tramite il Digital Crimes Unit contro il ricercatore Nightmare-Eclipse, poi chiarito il 1° giugno di non voler perseguire chi fa ricerca di sicurezza.
- Il ricercatore ha pubblicato sei zero-day: BlueHammer (CVE-2026-33825, patchato ad aprile), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey, GreenPlasma e MiniPlasma.
- Huntress ha confermato exploit attivo nel wild con infrastrutture C2 in Russia, Singapore e Svizzera, osservando la compromissione iniziale tramite FortiGate SSL VPN.
- Microsoft ha disabilitato gli account GitHub e il portale di vulnerability reporting del ricercatore; al 3 giugno 2026 RedSun e UnDefend risultavano corretti nelle versioni Defender platform 4.18.26040.7, secondo SecurityWeek.
Da minaccia a ritiro: la timeline di cinque giorni che ha scosso la ricerca sulla sicurezza
Il post originale dell'MSRC, citato da Dark Reading e SecurityWeek, conteneva una formulazione inequivocabile: «Our Digital Crimes Unit will continue bringing cases against these actors and those that enable their criminal activity—coordinating as needed with law enforcement around the world». La minaccia era contestuale alla pubblicazione di sei zero-day da parte di Nightmare-Eclipse, un ricercatore che — secondo quanto riferito da SecurityWeek — aveva accusato Microsoft di averlo «umiliato e diffamato» in precedenti interazioni.
La risposta della community non è stata ritardata. Katie Moussouris, Casey John Ellis di BugCrowd, Andrew Case di Volexity, Kevin Beaumont e Florian Roth di Nextron Systems sono intervenuti pubblicamente. Ellis ha definito la mossa «insanely myopic, especially after all of the investment they've made into presenting a secure, transparent, and research-friendly face to the market». Case ha scritto che Microsoft ha «decided to kill off all the goodwill it has built up over the last decade».
Il 1° giugno Microsoft ha pubblicato su X un chiarimento che, pur mantenendo la linea sulla necessità di disclosure coordinata, ammorbidiva drasticamente il tono: «To be clear about our approach to legal matters, we have no intention to pursue action against individuals conducting or publishing their security research». Un secondo post aggiungeva tuttavia una condizione: «When an individual breaks the law and engages in malicious activity causing real harm to our customers, we will work with law enforcement as appropriate». Il ritiro è stato parziale, non una ritrattazione completa.
TOCTOU e oplock manipulation: come i zero-day aggirano Defender
Il nucleo tecnico delle vulnerabilità pubblicate da Nightmare-Eclipse riguarda meccanismi di race condition in Microsoft Defender. BlueHammer (CVE-2026-33825), quello con il profilo di rischio più alto, sfrutta una condizione TOCTOU (Time-of-Check to Time-of-Use) nel meccanismo di aggiornamento e remediation dell'antimalware. La manipolazione degli opportunistic locks (oplocks) su file system Windows permette di elevare privilegi da utente locale a SYSTEM, eludendo contemporaneamente le difese.
Secondo il record NVD ufficiale, CVE-2026-33825 ha un punteggio CVSS 7.8 con vettore AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H — attacco locale, complessità bassa, privilegi utente richiesti, nessuna interazione, impatto massimo su confidenzialità, integrità e disponibilità. CISA ha inserito la vulnerabilità nel catalogo KEV con scadenza di patch per gli enti federali statunitensi fissata al 6 maggio 2026.
RedSun (CVE-2026-41091) ha lo stesso punteggio CVSS 7.8 secondo l'advisory Microsoft riportato da SecurityWeek, mentre UnDefend (CVE-2026-45498) è classificata a 4.0 — una debolezza DoS di impatto limitato ma comunque in exploit attivo. Secondo Rescana, le patch per BlueHammer sono arrivate con Defender platform 4.18.26040.1011; SecurityWeek indica che RedSun e UnDefend sono state corrette nella versione 4.18.26040.7, con CISA KEV deadline spostata al 3 giugno 2026.
Armi in circolazione: l'exploit attivo dal 10 aprile
Huntress ha documentato attacchi concreti che sfruttano i PoC pubblicati. Il primo exploit di BlueHammer è stato osservato il 10 aprile 2026, ben prima della controversia legale — indicando che la pubblicazione dei dettagli tecnici ha accelerato una weaponization già in corso. Gli attori minacciosi hanno compromesso infrastrutture FortiGate SSL VPN per accesso iniziale, poi operato con attività hands-on-keyboard.
I binari malevoli sono stati rilevati in directory utente, con un tool di tunneling scritto in Go denominato BeigeBurrow per la comunicazione C2. L'infrastruttura di comando e controllo ha nodi geografici in Russia, Singapore e Svizzera, secondo l'analisi IOC pubblicata da Rescana. Non emerge dai dossier una quantificazione di exfiltrazione o danni specifici, né una attribuzione precisa a un gruppo threat actor con nome o motivazione nota.
«When you're the largest software vendor on the planet, you don't get to behave like an angry individual in an internet argument. You have to be the adult in the room» — Florian Roth, Nextron Systems
Cosa fare adesso
Per le organizzazioni che eseguono Microsoft Defender, le azioni prioritarie derivano direttamente dai dati tecnici confermati:
- Verificare la versione della piattaforma Defender: aggiornare almeno a 4.18.26040.1011 per BlueHammer, e a 4.18.26040.7 per la copertura di RedSun e UnDefend, secondo le indicazioni di SecurityWeek e Rescana.
- Rivedere i log relativi a operazioni su file system con pattern di oplock manipulation, e monitorare esecuzioni in directory utente non standard che potrebbero ospitare i binari associati a BeigeBurrow.
- Controllare la presenza di connessioni verso gli indicatori di compromesso pubblicati nell'advisory Rescana, con attenzione al traffico verso infrastrutture nelle giurisdizioni indicate.
- Valutare la postura di disclosure interna: la rottura del rapporto tra Microsoft e questo ricercatore ha reso pubblici zero-day altrimenti potenzialmente gestibili in privato. Le policy di engagement con ricercatori esterni vanno riordinate con urgenza.
Il patto che non regge più: cosa cambia per le imprese
La vicenda Nightmare-Eclipse non è un incidente isolato. È il sintomo di una frattura nel modello di responsible disclosure che ha regolato l'industria per oltre un ventennio. Quando un vendor minaccia azioni penali per la pubblicazione di vulnerabilità — anche quelle già in exploit attivo — disincentiva la segnalazione privata e spinge i ricercatori verso la disclosure immediata o il mercato grigio.
Per le imprese, il costo è duplice: da un lato, zero-day con PoC pubblico e patch non sempre tempestive; dall'altro, una riduzione della qualità e quantità delle segnalazioni future, perché ricercatori con cui non esiste più un rapporto di fiducia non segnaleranno in anticipo. Il caso ha dimostrato che la community può costringere un vendor a marcia indietro, ma non ha cancellato la minaccia originale né ripristinato gli account disabilitati del ricercatore.
Resta da verificare se Microsoft procederà al ripristino degli accessi di Nightmare-Eclipse, se verranno pubblicati ulteriori zero-day promessi — incluso il bypass completo di BitLocker con TPM PIN — e se il Digital Crimes Unit utilizzerà la stessa linea dura in scenari futuri. Il dossier non chiarisce la natura esatta della disputa pregressa tra ricercatore e vendor, né se altri ricercatori abbiano effettivamente fornito vulnerabilità a Nightmare-Eclipse come da lui dichiarato.
FAQ
- Nightmare-Eclipse è stato effettivamente processato?
- No. Microsoft ha minacciato azioni penali tramite MSRC, poi chiarito di non voler perseguire i ricercatori. Non risultano documenti legali o arresti nel dossier.
- Perché il ricercatore ha pubblicato zero-day non coordinati?
- Secondo SecurityWeek, il ricercatore ha accusato Microsoft di comportamenti «umilianti e diffamatori» in precedenti interazioni. Il dossier non specifica i dettagli della controversia.
- Tutti e sei gli zero-day sono patchati?
- BlueHammer era già patchato ad aprile 2026. Secondo SecurityWeek, RedSun e UnDefend sono stati corretti il 3 giugno 2026. GreenPlasma e MiniPlasma non hanno conferme complete di patch nel dossier.
Fonti
- https://www.darkreading.com/application-security/microsoft-zero-day-legal-threats-backlash
- https://www.rescana.com/post/active-exploitation-alert-microsoft-windows-and-defender-zero-day-vulnerabilities-trigger-global-backlash-amid-legal-thr
- https://utopiats.com/blog/microsofts-zero-day-legal-threats-spark-backlash
- https://www.securityweek.com/microsoft-tries-to-calm-legal-threat-fears-after-zero-day-disclosure-backlash/amp/
- https://cybersecuritynews.com/microsoft-public-release-zero-day/
- https://nvd.nist.gov/vuln/detail/CVE-2026-33825
- https://www.securityweek.com/microsoft-patches-exploited-undefend-and-redsun-defender-zero-days/
- https://www.securityweek.com/recent-microsoft-defender-vulnerability-exploited-as-zero-day/
- https://www.securityweek.com/researcher-drops-yellowkey-greenplasma-windows-zero-days/
- https://www.securityweek.com/researcher-drops-miniplasma-windows-exploit-for-unpatched-2020-cve/
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.