Раніше цього місяця дослідник безпеки на псевдонім “Chaotic Eclipse” (також відомий як Nightmare-Eclipse) опублікував інформацію про вразливість нульового дня YellowKey. Вона дозволяла отримати доступ до дисків, захищених BitLocker у Windows 11, за допомогою простого USB-ключа. Дослідник зазначив: “Не можу знайти іншого пояснення, окрім того, що це було зроблено навмисно. Крім того, з невідомої причини, це впливає лише на Windows 11 (та Server 2022/2025), але не на Windows 10”.
Минулого тижня Microsoft публічно визнала існування цієї вразливості, яка дозволяє обійти функцію безпеки Windows. Компанія повідомила, що відстежує вразливість нульового дня YellowKey під ідентифікатором CVE-2026-45585, та запропонувала заходи для запобігання несанкціонованому доступу до захищених дисків. “Доказ концепції цієї вразливості був оприлюднений, що порушує найкращі практики скоординованого виявлення вразливостей”, – додала компанія.
Після заяви про те, що “бездверний” доступ до BitLocker у Windows 11 є функцією, а не помилкою, обліковий запис дослідника на GitHub був заблокований Microsoft без пояснення причин. Це змусило його перейти на платформу GitLab (за інформацією Tom’s Hardware).
Конфлікт навколо облікових записів та винагород
Цікаво, що компанія видалила обліковий запис Chaotic Eclipse у Microsoft, який він використовував для звітування про вразливості. Eclipse назвав дії Microsoft “мстивими”. У детальному дописі в блозі він зазначив: “Отже, я правильно зрозумів: коли я активно просив вас спілкуватися зі мною, ви відмовлялися, принижували мене та принижували перед людьми”.
“Ви очорнюєте мене публічно у своєму повідомленні про CVE-2026-45585, хоча ви буквально видалили обліковий запис Microsoft, який я використовував для надсилання вам звітів про вразливості, і я не отримав за це жодної копійки, але все одно робив це, як ідіот”.
“Тепер ви ще й блокуєте мій обліковий запис на GitHub і видаляєте його з поля зору громадськості? Ви доводите всім, що активно ескаларуєте цей конфлікт, але я втомився вас просити”.
“Можливо, я звучу як божевільний ідіот, який ниє, але я маю докази кожного слова, яке сказав, просто ще не можу їх опублікувати. Чому? Microsoft досі тримає мене в лещатах, це триває роками, і я більше не можу мовчати. Сподіваюся, я зможу опублікувати документи незабаром”.
“Запам’ятайте цю дату, 14 липня. Я подбаю про те, щоб ваші кістки були розтрощені того дня. У червні нічого не буде опубліковано (або, можливо, я щось опублікую, залежно від обставин)”.
Основна причина суперечки між дослідником безпеки та Microsoft, схоже, криється у невиплачених винагородах за програмою MSRC. Nightmare-Eclipse зазначив, що Microsoft ігнорувала його спроби зв’язатися, і він “не отримав за це жодної копійки”.
Програма MSRC (Microsoft Security Response Center) виплачує від 30 000 до 100 000 доларів США за виявлення вразливостей нульового дня на один кінцевий пункт, залежно від умов. Ця сума може сягати 250 000 доларів, якщо вдається обійти Hyper-V.
Microsoft враховує кілька факторів при винагороді дослідників безпеки за виявлення критичних вразливостей, зокрема: серйозність проблеми, легкість відтворення та використання, а також загальна якість звіту – від чіткої документації до робочого доказу концепції.
Отже, схоже, Eclipse натякає, що Microsoft проігнорувала його звіти про вразливості нульового дня або відмовилася виплатити винагороду, незважаючи на те, що він вже виявив шість таких вразливостей.
Під час публікації інформації про YellowKey, Eclipse зазначив, що “міг би заробити шалені гроші, продавши це, але жодна сума грошей не стане між мною та моєю рішучістю проти Microsoft”.
Однак, тепер виглядає так, що Eclipse планує більш зловмисну та тривожну вендету проти Microsoft 14 липня:
“Запам’ятайте цю дату, 14 липня. Я подбаю про те, щоб ваші кістки були розтрощені того дня. У червні нічого не буде опубліковано (або, можливо, я щось опублікую, залежно від обставин)”, – додав дослідник. Це, схоже, є відповіддю на його повідомлення в блозі, де він стверджував, що “йому особисто сказали [Microsoft], що вони зруйнують моє життя, і вони це зробили”, що існує свого роду “dead-man switch”, і що він “подбає про те, щоб [їхні] кістки були розтрощені”.
Microsoft поки що зберігає мовчання з цього приводу, залишаючи питання, чи відповідають заяви Eclipse дійсності, чи дослідник просто не зміг виконати точні вимоги програми MSRC для отримання винагороди за виявлення критичних вразливостей. Ми будемо уважно стежити за розвитком цієї ситуації та оновлюватимемо цю статтю з будь-якими новими деталями.
Що це означає для користувачів: Цей інцидент підкреслює складні взаємини між дослідниками безпеки та великими технологічними компаніями. Для звичайних користувачів це означає, що Microsoft продовжує працювати над безпекою своєї операційної системи Windows 11, хоча іноді процес виявлення та виправлення вразливостей може бути непрозорим. Важливо пам’ятати, що публікація інформації про вразливості, навіть з добрими намірами, може мати непередбачувані наслідки, тому завжди доцільно дотримуватися рекомендацій щодо безпеки та своєчасно оновлювати свою систему.
Оригінал статті: www.windowscentral.com