Microsoft contraint à un recul politique face à Nightmare Eclipse, un chercheur de jour zéro malveillant

Microsoft a officiellement fait marche arrière sur sa position juridique agressive à l'encontre du chercheur indépendant en sécurité opérant sous le pseudonyme de "Nightmare Eclipse"Nightmare Eclipse." À la suite d'une vive réaction de la communauté mondiale de la cybersécurité, le géant de la technologie a discrètement supprimé sa récente rhétorique d'entreprise qui assimilait les divulgations de bogues non coordonnées à un comportement malveillant. Ce changement soudain représente un effort majeur de Redmond pour limiter les dégâts et réparer les relations qui se sont rapidement détériorées avec les analystes de menaces externes et les professionnels de la sécurité qui forment l'épine dorsale des écosystèmes modernes de défense des logiciels.

La campagne "zero-day" de Nightmare Eclipse en détail

Le conflit a éclaté après que Nightmare Eclipse a contourné les canaux d'information traditionnels de l'entreprise pour publier un code fonctionnel de validation de concept pour plusieurs failles Windows de grande gravité. La campagne a réussi à a utilisé avec succès des vulnérabilités de type "zero-day" dans des systèmes défensifs fondamentaux dans les systèmes de défense fondamentaux, en déployant des chaînes d'escalade des privilèges locaux telles que BlueHammer (CVE-2026-33825) et l'outil RedSun conçu pour aveugler Microsoft Defender. Les premières mesures de rétorsion de Microsoft, qui comprenaient des menaces juridiques agressives de la part de son unité de lutte contre les crimes numériques et des interdictions générales de comptes sur les plateformes d'hébergement de code telles que GitHub et GitLab-a suscité une condamnation générale de la part des responsables de la sécurité des entreprises, qui ont averti que l'intimidation des entreprises étoufferait la recherche défensive et laisserait les réseaux actifs exposés aux acteurs malveillants.

Le retour à la divulgation coordonnée des vulnérabilités

Dans sa dernière mise à jour de sa politique, Microsoft a explicitement précisé qu'elle n'avait pas l'intention d'intenter des actions en justice contre des personnes engagées dans l'identification légitime de vulnérabilités. Le géant du logiciel a notamment complètement abandonné le terme controversé de "divulgation responsable" sur ses canaux de messagerie officiels. L'entreprise est revenue à son cadre classique de "divulgation coordonnée des vulnérabilités", admettant que certaines de ses récentes mesures de répression automatisées n'étaient pas conformes aux normes professionnelles de la communauté et promettant une stratégie d'engagement de bonne foi pour la communication des informations à l'avenir.

Vecteurs non résolus et menaces de correctifs pour le mois de juin

Malgré le recul de la politique structurelle de Microsoft, le vecteur de menace architectural sous-jacent n'est toujours pas résolu. Nightmare Eclipse a ignoré le rameau d'olivier de l'entreprise, confirmant que de nombreux développeurs d'exploits indépendants leur transmettent directement les bogues de sécurité non corrigés afin d'éviter complètement les canaux de signalement de l'entreprise. Le développeur sous pseudonyme a déjà annoncé un exploit imminent pour le mois de juin D'un exploit imminent pour le mois de juin ciblant les anciennes vulnérabilités du cycle de vie de Les vulnérabilités du cycle de vie de Secure Bootaffirmant que le prochain code contournera complètement le chiffrement matériel BitLocker sur les machines virtuelles opérationnelles avant la date limite prévue pour les représailles au milieu de l'été.