吳明宜連續揭露多項微軟漏洞的資安研究人員 Nightmare Eclipse,與微軟之間的爭議持續升溫。該名研究人員日前更預告,將於 7 月 14 日公開一項「驚人發現」,再度引發資安社群關注。
Nightmare Eclipse 又名 Chaotic Eclipse,自 4 月中旬起陸續公開 BlueHammer 、 RedSun 、 UnDefend 、 YellowKey 、 GreenPlasma 及 MiniPlasma 等多項與微軟產品相關的漏洞。其中部分漏洞甚至附上概念驗證程式 (PoC),使企業資安團隊與相關廠商面臨額外應變壓力。
本文目錄
微軟批評未經協調揭露漏洞
微軟上週發文批評 Nightmare Eclipse 的揭露方式。微軟表示,公司透過協同漏洞揭露 (Coordinated Vulnerability Disclosure, CVD) 機制,鼓勵研究人員在公開漏洞前,先向產品供應商通報相關資訊,讓廠商有機會評估影響範圍並完成修補。
作為交換,微軟表示會向遵循負責任揭露原則的研究人員提供獎勵金,並公開表揚其專業貢獻。
微軟指出,RedSun 及 YellowKey 等漏洞的揭露方式並不符合負責任揭露原則。由於相關資訊公開後可能帶來額外風險,微軟安全團隊必須投入大量資源分析影響範圍並開發安全更新,以保護客戶。
微軟認為,在漏洞尚未完成修補前公開 PoC 程式碼,可能讓惡意攻擊者更容易利用相關弱點,進而對使用者造成實際危害。微軟強調,公司反對此類行為,其數位犯罪小組將持續打擊惡意活動及相關協助者,必要時也可能與全球執法機關合作。
研究人員指控微軟處理方式失當
Nightmare Eclipse 則多次公開表示,其行動源於對微軟處理漏洞通報方式的不滿。
他先前曾指控微軟未及時回應其提交的漏洞報告,也未依預期提供漏洞獎勵金。上週他再度發文表示,當他試圖與微軟進一步溝通時遭到拒絕,甚至受到公開羞辱。
他指出,微軟在發布 CVE-2026-45585(YellowKey) 相關安全公告時對其進行負面指控。此外,他聲稱自己的微軟帳號已遭刪除,而微軟上週更進一步移除了其 GitHub 帳號。
Nightmare Eclipse 認為微軟有意升高衝突,因此決定停止與微軟進一步協商。他表示手中仍掌握其他微軟漏洞資訊,其中部分可能涉及存在已久的安全問題。
雖然他表示 6 月將暫時休息,但已預告將於 7 月 14 日公開相關文件,並宣稱內容將帶來重大衝擊。
事件引發資安社群不同看法
針對這起爭議,外媒《The Register》引述多位資安專家的看法指出,雖然在漏洞尚未修補前公開 PoC 程式碼,確實可能增加使用者風險,但微軟官方說法同樣受到部分人士質疑。
相關專家指出,微軟指控研究人員違反 CVD 原則,但未公開具體證據。此外,也有其他研究人員表示,微軟並非在所有情況下都會提供獎勵金或公開表揚。
另有觀點認為,微軟在公開聲明中提及執法機關的作法,可能被部分研究人員解讀為帶有警告意味,進而引發資安社群反彈,使事件進一步升高。
目前雙方各執一詞,相關爭議仍持續延燒,而 Nightmare Eclipse 預告將於 7 月公開的新資料,也可能成為後續發展的重要觀察指標。
來源: Microsoft 、 Thre Register