微软MSRC的两面:研究员获CVE感谢,Nightmare Eclipse却被删号封号

导语:同一家厂商,同一个安全响应中心,两种截然不同的命运。一边是安全研究员april_ivyyy在推特上感谢MSRC(微软安全响应中心)为其漏洞分配了CVE-2026-58532;另一边,曾在Windows漏洞圈掀起腥风血雨的 Nightmare Eclipse(混沌蚀)却被删MSRC账号、GitHub和GitLab双平台封禁,甚至收到微软的律师函。这大概是安全圈最讽刺的对比——都是提交漏洞,待遇为何能差出一个宇宙?


一边感谢,一边被扫地出门

7月17日,安全研究员 april_ivyyy 发推晒出了自己的”战果”:

CVE-2026-58532 Thank you MSRC for being awesome 🙂

简短一句话,6.5万次浏览。字里行间是藏不住的满意——漏洞被认真对待,CVE编号到手,赏金到位,还有什么比这更让研究员欣慰的事?

然而,就在同一条时间线上,另一位研究员的遭遇却完全是另一个剧本。

Nightmare Eclipse(噩梦蚀,又名Chaotic Eclipse),过去几个月里让微软安全团队夜不能寐的那个人,如今已经被彻底从微软的生态系统中抹去:

  • MSRC账号被注销——用来提交漏洞报告的官方渠道,说没就没了
  • GitHub账号被封——他所有存放Windows漏洞利用代码的仓库全部消失
  • GitLab账号被封——转移阵地也没用,平台直接跟进了封禁
  • 微软威胁起诉——不是说说而已,有律师函为证

讽刺的是,这位被”扫地出门”的研究员,在被激怒之前,提交漏洞的方式和april_ivyyy一模一样——通过MSRC渠道,负责任地报告。


六周七个0day:一场漫长的报复

Nightmare Eclipse 与微软的恩怨,要从2026年3月底说起。

当时,这名研究员新建了一个博客,发布了第一篇帖子,标题就透着一股压抑的愤怒:《我从来不想这么做……》

帖子中写道:

“有人违背了我们之间的约定,让我变得一无所有,甚至无家可归。他们明知道事情会发展成这样,却依然选择从背后捅我一刀。这是他们的决定,不是我的。”

外界当时并不知道他指的是谁。几天后,答案揭晓——他公开披露了 BlueHammer(蓝锤) 漏洞,一处Windows Defender权限提升漏洞,攻击者获取普通用户权限后,可借此提升至系统最高权限。

随后六周,Nightmare Eclipse 开启了”周更”模式,一个接一个地往外甩漏洞:

漏洞名称类型状态
BlueHammerWindows Defender权限提升已获CVE-2026-33825,已修复
RedSun(红阳)Windows Defender权限提升已修复,已被在野利用
UnDefend微软Defender防护规避已修复,已被在野利用
YellowKeyBitLocker磁盘加密绕过已修复
GreenPlasmaWindows本地权限提升未修复
MiniPlasmaWindows本地权限提升未修复
RoguePlanetWindows Defender权限提升已修复
GreatXMLBitLocker绕过未修复

这些漏洞不是纸上谈兵——BlueHammer、RedSun、UnDefend 均已被观测到在真实攻击中被勒索软件组织组合使用。


“他们会毁掉我的人生”

真正让矛盾激化的,并不是漏洞本身,而是Nightmare Eclipse 所采取的极端披露方式

按照行业惯例,安全研究员通常会给厂商数周甚至数月的修复窗口,再公开技术细节。这套规则叫做”协调漏洞披露”(CVD),是整个安全行业的基石——厂商有时间修复,用户不受影响,研究员拿到赏金和荣誉。

但Nightmare Eclipse选择了直接公开。

他在帖子中解释了自己为什么”黑化”:

“我曾被他们亲口告知,他们会毁掉我的人生。而他们后来也确实这么做了……我从来不想做这些事,也不想变成所谓的’坏人’。但他们正在不断刺激我,逼着我开始公开远程代码执行(RCE)漏洞。”

他还透露,自己没有从微软的漏洞赏金计划中拿到一分钱。

关于这一点,外界有不同解读:微软方面从未公开回应具体指控,但Cybernews(网络新闻)直接将这起事件定性为”被激怒的研究员与微软之间不断升级的报复战“。


GitHub封号:既是裁判又是运动员

随着漏洞公开频率越来越高,微软终于动手了。

5月下旬,GitHub封禁了Nightmare Eclipse的账号。注意——GitHub本身归微软所有。这立刻引发了关于利益冲突的质疑:

支持微软的一方认为:公开未修复漏洞本身就是极不负责任的行为,等于给网络黑产直接提供攻击工具,间接助长了各类入侵。

另一方则认为:微软既是漏洞厂商,又是GitHub所有者。当一个研究员专门披露微软漏洞时,微软控制的平台突然将其封禁——这操作,怎么看怎么像”既当裁判又当运动员”。

被GitHub封禁后,Nightmare Eclipse 转移到GitLab。原本以为这个独立平台会给他一个容身之处。结果,GitLab也在5月26日封停了他的账号。

对于GitLab的封禁原因,官方没有公开说明。但从时间节点来看,很难不让人联想到这是微软施压的结果。


7月14日:LegacyHive如期而至

被两大平台同时封禁后,Nightmare Eclipse的情绪进一步升级。

他在帖子中预告了那个后来被安全圈记住的日期——7月14日。届时,他会”把微软的骨头彻底打碎”。

7月14日,微软补丁星期二,这家巨头如约发布了创纪录的 622个漏洞修复——数量高得离谱。就在这个最繁忙的修堵口,Nightmare Eclipse 发布了新的零日漏洞:LegacyHive(遗留配置单元)

LegacyHive是Windows用户配置文件服务(profsvc)中的一个本地权限提升漏洞,攻击者可借助该漏洞加载其他用户的配置单元(hives),包括管理员的配置单元。

这一次,他的做法与之前略有不同——PoC代码是”裁剪版”的,需要额外的用户凭证才能触发,且仅针对usrclass.dat配置单元。Nightmare Eclipse 本人解释,这是为了”防止在野大规模利用”。

但安全公司Huntress(猎犬)对此保持警惕:

“Nightmare Eclipse之前的本地权限提升和防御规避工具,在公开后数天内就被威胁行为者和勒索软件组织投入使用。考虑到这一历史,我们预计有能力攻击者会逆向工程LegacyHive的缺失组件,在很短时间内构建出完全武器化的版本。”

也就是说,”裁剪”不等于安全,只是让利用门槛提高了一点而已。


安全圈的冰火两重天

把两条时间线放在一起看,事情变得格外清晰:

april_ivyyy 的遭遇,是MSRC最理想的状态:认真报告 → 快速响应 → CVE分配 → 公开感谢。每一个环节都让人满意,这是安全行业应有的样子。

Nightmare Eclipse 的遭遇,却是MSRC最糟糕的噩梦:认真报告 → 石沉大海 → 零赏金 → 删账号 → 封GitHub → 封GitLab → 威胁起诉 → 被激怒 → 疯狂公开0day。

两条路,起点一样,终点截然不同。

有网友一针见血地评论:

“这个研究员在短短几周内对微软安全改进的贡献,比他们大多数工程团队加起来都多。应该聘用他,而不是试图封杀他。”

问题在于:当一个掌握零日挖掘能力的人决定放弃协调披露规则时,受影响的不只是微软,而是整个生态系统。用户被置于风险之中,厂商被迫紧急修复,而这一切本可以避免。


微软的难题

对微软而言,这件事折射出一个深层次的矛盾:

一方面,它需要依赖外部安全研究员来发现漏洞,MSRC的漏洞赏金计划是全球最大的同类项目之一,每年支付数百万美元奖金。

另一方面,当研究员感到被轻视、被欺骗、被逼到墙角时,没有任何机制能阻止他们”掀桌子”。一旦走向对抗,厂商的损失往往远大于研究员的损失。

正如The Register(技术寄存器)在一篇报道中引用的分析师观点:

“微软眼下最大的麻烦,或许已经不是某一个具体漏洞,而是如何避免与更多安全研究员走到这种彻底对立的局面。”


版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。

© 版权声明
THE END
喜欢就支持一下吧
点赞14 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容