微软在多个0day漏洞在未事先协调的情况下公开披露发出强烈警告

微软表示，近期披露在补丁尚未发布前就暴露了关键安全漏洞，使攻击者在利用未受保护的系统时拥有潜在优势。

一位名为Chaotic Eclipse（又名Nightmare-Eclipse）的研究人员披露了过去一个月内影响多个Windows组件（包括Defender和BitLocker）的0day漏洞细节。

这些漏洞包括BlueHammer（CVE-2026-33825）、RedSun（CVE-2026-41091）、UnDefend（CVE-2026-45498）、YellowKey（CVE-2026-45585）、GreenPlasma和MiniPlasma。在公开后，BlueHammer、RedSun 和 UnDefend 都曾在野外被积极利用。

微软强烈批评在没有供应商协调的情况下发布0day细节的做法，称其“永远无法被合理化”，因为这可能对更广泛的数字生态系统造成伤害。

据称，这些披露引发的后果导致GitHub上周封禁了该研究人员的账号。尽管这六个漏洞的漏洞利用代码随后被上传到GitLab，但新创建的账户也已封禁。

安全行业标准流程要求研究人员私下与厂商分享研究结果，以便有时间进行调查、缓解和补丁开发，然后才会公开技术细节。

Microsoft强调，这种协调在减少现实世界中的利用中起着关键作用。通过早期收到报告，安全团队可以在概念验证（PoC）代码被攻击者访问之前，部署修复和保护措施。

相比之下，缺乏协调的披露会使系统面临即时威胁，尤其是在详细技术信息或漏洞代码被发布时。公司指出，其内部团队一直在持续评估这些漏洞的影响并开发安全更新。缺乏事先通知极大地增加了响应工作，增加了客户的风险暴露窗口。

微软强调，威胁行为者会积极监控公开披露中的新攻击向量，常常在补丁尚未发布前就将漏洞武器化。

微软安全响应中心（MSRC）重申与全球安全研究者的长期合作。每年，Microsoft都会与数百名研究人员合作，认可并给予负责任披露的经济奖励。该合作旨在平衡透明度与安全性，确保漏洞在大规模利用前得到解决。

此外，Microsoft的数字犯罪部门持续追踪并对利用此类漏洞的网络犯罪组织采取行动。微软确认，必要时将与国际执法机构协调，打击与新暴露缺陷相关的恶意活动。

“让我理清一下，当我主动请求你和我沟通时，你拒绝了，羞辱了我，还在众人面前侮辱我。”这位研究员在周末发布的一篇帖子中说。

“你在公共场合用CVE-2026-45585的公告诽谤我，尽管你明明删除了我用来向你报告漏洞的Microsoft账户，我一分钱都没拿到，我还像个傻瓜一样高兴地做了。现在你竟然有礼貌地标记我的GitHub账号，然后把它从公开处清除，就这么简单？你正在向所有人证明你正在积极升级这场冲突，但我不想再求你了。”

该研究人员还表示，计划在2026年7月14日发布某种“确保当天你的骨头被击碎”的东西。