|
Professor Seleznov
|
Администрация платформы GitHub заблокировала и удалила учётную запись независимого исследователя под псевдонимом Nightmare-Eclipse. Вскоре её примеру последовали и в GitLab. Санкции ввели после того, как разработчик опубликовал PoC-эксплойты для продуктов, связанных с Microsoft.
Всего автор представил шесть рабочих PoC, в том числе уязвимостей BlueHammer (уязвимость для повышения локальных привилегий в Windows Defender, которая позволяла злоумышленникам запускать прилагаемый файл FunnyApp.exe или компилировать собственную версию и получать доступ к командной оболочке Windows SYSTEM), RedSun (аналогичная уязвимость, появившаяся сразу после того, как Microsoft устранила первую, также предоставляет привилегии SYSTEM), UnDefend (инструмент для предотвращения сбоев в работе Windows Defender, предназначенный для остановки обновлений баз данных и создания отказоустойчивых систем), YellowKey (эксплойт, который полностью обходит шифрование BitLocker с помощью USB-накопителя), GreenPlasma (уязвимость повышения привилегий, выходящая за рамки Defender и нацеленная на процесс CTFMON, отвечающий за ввод текста и работающий от имени SYSTEM), а также MiniPlasma (ещё один инструмент для повышения привилегий, запускающий SYSTEM-оболочку).
Как отмечают некоторые эксперты, их нельзя в полной мере назвать уязвимостями нулевого дня, так как некоторые основаны на старых или тайно исправленных дефектах системы.
Аналитики компании Barracuda заявляли, что глубина технических знаний автора указывает на его возможное отношение к числу бывших сотрудников Microsoft, поскольку стороннему разработчику может быть крайне сложно обнаружить столь специфические ошибки в архитектуре ядра Windows. Они также отмечают, что исследователь проводил аудит безопасности самостоятельно и принципиально не использовал ИИ-модели.
Nightmare-Eclipse при публикации эксплойтов указал на действия представителей центра Microsoft Security Response Center. Он заявил, что руководство структуры заблокировало его профиль для отправки багов, проигнорировало все официальные запросы и публично обвинило его в нарушении правил ответственного разглашения. Он назвал это поведение умышленной клеветой и попыткой уничтожить его репутацию в сообществе. Nightmare-Eclipseсотр даже писал, что сотрудники центра Microsoft Security Response Center угрожали разрушить его жизнь.
Сначала хакер планировал устроить сюрприз во время июньского вторника обновлений, но позже скорректировал анонсировал публикацию пакета секретных документов на середину лета. Он установил финальную дату на 14 июля 2026 года, отметив, что его доказательства полностью разрушат репутацию Microsoft.
Когда GitHub заблокировала его 23 мая, специалист, также известный в сети под именем Dead Eclipse, был вынужден перенести свои проекты на GitLab. Однако и эта платформа заблокировала его 26 мая.
Обе платформы также удалили все опубликованные репозитории.
Сам технологический гигант пригрозил исследователю судебными исками, но используя общие формулировки, охватывающие как самих злоумышленников, так и исследователей, которые «способствуют их работе» с помощью экспериментальных PoC.
Эта история вызвала предположения у других экспертов, таких как Уильям Дорманн из Tharros, который сказал: «С MSRC раньше было очень приятно работать. Но, чтобы сэкономить деньги, Microsoft уволила квалифицированных специалистов, оставив только тех, кто просто следовал блок-схемам. Я бы не удивился, если бы Microsoft закрыла дело после того, как журналист отказался предоставить видео с эксплойтом, поскольку это, по-видимому, теперь требование MSRC».-Источник
|
