Microsoft heeft gereageerd op de kritiek die ontstond na de dreiging met juridische stappen tegen onderzoekers die zero-day kwetsbaarheden openbaar maken zonder gecoördineerde melding. De controverse draait om een onderzoeker die bekendstaat als Chaotic Eclipse en Nightmare Eclipse, die recentelijk details en proof-of-concept exploits publiceerde voor meerdere ongepatchte kwetsbaarheden in Microsoft-producten.

Er lijkt onenigheid te zijn geweest tussen de onderzoeker en Microsoft tijdens het proces van kwetsbaarheidsmelding. Vervolgens besloot de onderzoeker de details van verschillende niet-gerapporteerde kwetsbaarheden openbaar te maken, waaronder RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), BlueHammer (CVE-2026-33825), YellowKey (CVE-2026-45585), GreenPlasma en MiniPlasma. De meeste kwetsbaarheden kunnen worden misbruikt voor privilege-escalatie. YellowKey maakt het mogelijk om BitLocker-beveiliging te omzeilen, terwijl UnDefend een denial-of-service kwetsbaarheid betreft in Microsoft Defender. Microsoft is inmiddels begonnen met het uitrollen van patches en mitigaties, maar enkele kwetsbaarheden, zoals BlueHammer, RedSun en UnDefend, zijn al actief misbruikt in het wild.

De onderzoeker uitte via zijn blog diepe onvrede over Microsoft, met beschuldigingen van vernedering, het negeren van communicatie, het niet compenseren voor gerapporteerde kwetsbaarheden en publieke laster. Microsoft daarentegen uitte kritiek op de aanpak van Nightmare Eclipse, omdat deze klanten onnodig blootstelde aan risico’s. Het bedrijf schakelde het account van de onderzoeker uit op het eigen kwetsbaarheidsmeldportaal en op GitHub, waar de proof-of-concept exploits waren gepubliceerd.

In een blogpost van 27 mei benadrukte Microsoft dat ongecoördineerde openbaarmakingen die proof-of-concept code van ongepatchte kwetsbaarheden beschikbaar maken voor kwaadwillenden nooit gerechtvaardigd zijn en reële gevolgen hebben. Het bedrijf gaf aan dat de eigen securityteams continu dreigingsactoren volgen die dergelijke kwetsbaarheden proberen te misbruiken en dat de Digital Crimes Unit juridische stappen blijft ondernemen tegen deze actoren en hun ondersteuners, in samenwerking met internationale opsporingsdiensten.

Deze uitspraak leidde tot discussie en kritiek binnen de cybersecuritygemeenschap. Onderzoeker Kevin Beaumont reageerde kritisch op de mogelijke inzet van Microsofts contacten bij wetshandhaving om onderzoekers die zero-days publiceren aan te pakken. Florian Roth, hoofd onderzoek bij Nextron Systems, stelde dat Microsoft de situatie verkeerd inschatte en dat het bedrijf zich niet als een boze individu in een internetdiscussie moet gedragen. Volgens hem was het verwijderen van repositories en het dreigen met strafrechtelijke onderzoeken een fout die verder reikt dan deze ene onderzoeker.

Als reactie op de kritiek verduidelijkte Microsoft op 1 juni via X dat het de beveiligingsonderzoeksgemeenschap waardeert en erkent dat de relatie tussen onderzoekers en leveranciers soms complex kan zijn. Het bedrijf gaf aan geen juridische stappen te willen ondernemen tegen individuen die hun onderzoek publiceren, tenzij er sprake is van wetsovertreding en kwaadwillige activiteiten die klanten daadwerkelijk schaden.