导语:同一家厂商,同一个安全响应中心,两种截然不同的命运。一边是安全研究员april_ivyyy在推特上感谢MSRC(微软安全响应中心)为其漏洞分配了CVE-2026-58532;另一边,曾在Windows漏洞圈掀起腥风血雨的 Nightmare Eclipse(混沌蚀)却被删MSRC账号、GitHub和GitLab双平台封禁,甚至收到微软的律师函。这大概是安全圈最讽刺的对比——都是提交漏洞,待遇为何能差出一个宇宙?
一边感谢,一边被扫地出门
7月17日,安全研究员 april_ivyyy 发推晒出了自己的”战果”:
CVE-2026-58532 Thank you MSRC for being awesome 🙂
简短一句话,6.5万次浏览。字里行间是藏不住的满意——漏洞被认真对待,CVE编号到手,赏金到位,还有什么比这更让研究员欣慰的事?
然而,就在同一条时间线上,另一位研究员的遭遇却完全是另一个剧本。
Nightmare Eclipse(噩梦蚀,又名Chaotic Eclipse),过去几个月里让微软安全团队夜不能寐的那个人,如今已经被彻底从微软的生态系统中抹去:
- MSRC账号被注销——用来提交漏洞报告的官方渠道,说没就没了
- GitHub账号被封——他所有存放Windows漏洞利用代码的仓库全部消失
- GitLab账号被封——转移阵地也没用,平台直接跟进了封禁
- 微软威胁起诉——不是说说而已,有律师函为证
讽刺的是,这位被”扫地出门”的研究员,在被激怒之前,提交漏洞的方式和april_ivyyy一模一样——通过MSRC渠道,负责任地报告。
六周七个0day:一场漫长的报复
Nightmare Eclipse 与微软的恩怨,要从2026年3月底说起。
当时,这名研究员新建了一个博客,发布了第一篇帖子,标题就透着一股压抑的愤怒:《我从来不想这么做……》。
帖子中写道:
“有人违背了我们之间的约定,让我变得一无所有,甚至无家可归。他们明知道事情会发展成这样,却依然选择从背后捅我一刀。这是他们的决定,不是我的。”
外界当时并不知道他指的是谁。几天后,答案揭晓——他公开披露了 BlueHammer(蓝锤) 漏洞,一处Windows Defender权限提升漏洞,攻击者获取普通用户权限后,可借此提升至系统最高权限。
随后六周,Nightmare Eclipse 开启了”周更”模式,一个接一个地往外甩漏洞:
| 漏洞名称 | 类型 | 状态 |
|---|---|---|
| BlueHammer | Windows Defender权限提升 | 已获CVE-2026-33825,已修复 |
| RedSun(红阳) | Windows Defender权限提升 | 已修复,已被在野利用 |
| UnDefend | 微软Defender防护规避 | 已修复,已被在野利用 |
| YellowKey | BitLocker磁盘加密绕过 | 已修复 |
| GreenPlasma | Windows本地权限提升 | 未修复 |
| MiniPlasma | Windows本地权限提升 | 未修复 |
| RoguePlanet | Windows Defender权限提升 | 已修复 |
| GreatXML | BitLocker绕过 | 未修复 |
这些漏洞不是纸上谈兵——BlueHammer、RedSun、UnDefend 均已被观测到在真实攻击中被勒索软件组织组合使用。
“他们会毁掉我的人生”
真正让矛盾激化的,并不是漏洞本身,而是Nightmare Eclipse 所采取的极端披露方式。
按照行业惯例,安全研究员通常会给厂商数周甚至数月的修复窗口,再公开技术细节。这套规则叫做”协调漏洞披露”(CVD),是整个安全行业的基石——厂商有时间修复,用户不受影响,研究员拿到赏金和荣誉。
但Nightmare Eclipse选择了直接公开。
他在帖子中解释了自己为什么”黑化”:
“我曾被他们亲口告知,他们会毁掉我的人生。而他们后来也确实这么做了……我从来不想做这些事,也不想变成所谓的’坏人’。但他们正在不断刺激我,逼着我开始公开远程代码执行(RCE)漏洞。”
他还透露,自己没有从微软的漏洞赏金计划中拿到一分钱。
关于这一点,外界有不同解读:微软方面从未公开回应具体指控,但Cybernews(网络新闻)直接将这起事件定性为”被激怒的研究员与微软之间不断升级的报复战“。
GitHub封号:既是裁判又是运动员
随着漏洞公开频率越来越高,微软终于动手了。
5月下旬,GitHub封禁了Nightmare Eclipse的账号。注意——GitHub本身归微软所有。这立刻引发了关于利益冲突的质疑:
支持微软的一方认为:公开未修复漏洞本身就是极不负责任的行为,等于给网络黑产直接提供攻击工具,间接助长了各类入侵。
另一方则认为:微软既是漏洞厂商,又是GitHub所有者。当一个研究员专门披露微软漏洞时,微软控制的平台突然将其封禁——这操作,怎么看怎么像”既当裁判又当运动员”。
被GitHub封禁后,Nightmare Eclipse 转移到GitLab。原本以为这个独立平台会给他一个容身之处。结果,GitLab也在5月26日封停了他的账号。
对于GitLab的封禁原因,官方没有公开说明。但从时间节点来看,很难不让人联想到这是微软施压的结果。
7月14日:LegacyHive如期而至
被两大平台同时封禁后,Nightmare Eclipse的情绪进一步升级。
他在帖子中预告了那个后来被安全圈记住的日期——7月14日。届时,他会”把微软的骨头彻底打碎”。
7月14日,微软补丁星期二,这家巨头如约发布了创纪录的 622个漏洞修复——数量高得离谱。就在这个最繁忙的修堵口,Nightmare Eclipse 发布了新的零日漏洞:LegacyHive(遗留配置单元)。
LegacyHive是Windows用户配置文件服务(profsvc)中的一个本地权限提升漏洞,攻击者可借助该漏洞加载其他用户的配置单元(hives),包括管理员的配置单元。
这一次,他的做法与之前略有不同——PoC代码是”裁剪版”的,需要额外的用户凭证才能触发,且仅针对usrclass.dat配置单元。Nightmare Eclipse 本人解释,这是为了”防止在野大规模利用”。
但安全公司Huntress(猎犬)对此保持警惕:
“Nightmare Eclipse之前的本地权限提升和防御规避工具,在公开后数天内就被威胁行为者和勒索软件组织投入使用。考虑到这一历史,我们预计有能力攻击者会逆向工程LegacyHive的缺失组件,在很短时间内构建出完全武器化的版本。”
也就是说,”裁剪”不等于安全,只是让利用门槛提高了一点而已。
安全圈的冰火两重天
把两条时间线放在一起看,事情变得格外清晰:
april_ivyyy 的遭遇,是MSRC最理想的状态:认真报告 → 快速响应 → CVE分配 → 公开感谢。每一个环节都让人满意,这是安全行业应有的样子。
Nightmare Eclipse 的遭遇,却是MSRC最糟糕的噩梦:认真报告 → 石沉大海 → 零赏金 → 删账号 → 封GitHub → 封GitLab → 威胁起诉 → 被激怒 → 疯狂公开0day。
两条路,起点一样,终点截然不同。
有网友一针见血地评论:
“这个研究员在短短几周内对微软安全改进的贡献,比他们大多数工程团队加起来都多。应该聘用他,而不是试图封杀他。”
问题在于:当一个掌握零日挖掘能力的人决定放弃协调披露规则时,受影响的不只是微软,而是整个生态系统。用户被置于风险之中,厂商被迫紧急修复,而这一切本可以避免。
微软的难题
对微软而言,这件事折射出一个深层次的矛盾:
一方面,它需要依赖外部安全研究员来发现漏洞,MSRC的漏洞赏金计划是全球最大的同类项目之一,每年支付数百万美元奖金。
另一方面,当研究员感到被轻视、被欺骗、被逼到墙角时,没有任何机制能阻止他们”掀桌子”。一旦走向对抗,厂商的损失往往远大于研究员的损失。
正如The Register(技术寄存器)在一篇报道中引用的分析师观点:
“微软眼下最大的麻烦,或许已经不是某一个具体漏洞,而是如何避免与更多安全研究员走到这种彻底对立的局面。”
版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。














暂无评论内容