Hacker News 中文摘要

RSS订阅

GitHub封禁发布Windows零日漏洞的安全研究员 -- GitHub bans security researcher who posted zero-day Windows exploits

文章摘要

微软封禁安全研究员Nightmare-Eclipse的GitHub账户并删除其微软账号,Eclipse指责微软拒绝沟通且未支付漏洞赏金,并威胁将在7月14日公布更多零日漏洞。双方矛盾始于4月Eclipse突然发布BlueHammer漏洞,Eclipse指控微软忽视漏洞报告并造成其经济损失。

文章总结

Windows安全圈近日风波再起:研究员"噩梦日蚀"(又名混沌日蚀)与微软的冲突持续升级。微软在未说明具体原因的情况下封禁了该研究员的GitHub账户,迫使其将代码仓库迁移至GitLab,并疑似删除了其用于漏洞报告的微软账户。

该研究员在博客中指控微软此举属于报复行为,称微软拒绝沟通且未支付漏洞赏金——根据MSRC计划,端点零日漏洞最高可获10万美元赏金,Hyper-V漏洞更可达25万美元。目前手握六个零日漏洞的研究员警告称,7月14日或将公开更多漏洞作为"清算"。

这场争端始于4月初研究员突然公开BlueHammer零日漏洞。其博文充满激烈言辞,核心指控包括:微软忽视漏洞报告、拖欠赏金并造成其经济损失,甚至威胁"要毁掉其生活"。安全专家William Dormann评论指出,微软安全响应中心(MSRC)近年为节省成本裁撤专业人员,可能导致处理流程僵化。

微软对此事保持沉默,但封禁GitHub账户的举动引发广泛批评。值得注意的是,该研究员已公开的漏洞包括: - BlueHammer/RedSun:通过Defender获取SYSTEM权限 - UnDefend:使Defender服务下线 - GreenPlasma/MiniPlasma:分别利用CTFMon服务和云过滤驱动漏洞 - YellowKey:可轻松破解BitLocker加密

其中BlueHammer等三个漏洞已被确认遭实际利用。在AI加速安全研究的当下,微软等厂商亟需调整漏洞披露政策。这场冲突折射出企业安全响应机制与独立研究者之间的深层矛盾。

评论总结

以下是评论内容的总结,平衡呈现不同观点并保留关键引用:

  1. 批评微软处理方式

    • 认为微软封禁研究者会适得其反,可能迫使其将漏洞出售给其他方
      引用:
      "Guy finds zero days and gets no compensation. Instead gets banned. Guy sells zero days elsewhere." (bitbasher)
      "Shoot the messenger. That’ll fix it." (__d)
  2. 质疑封禁合理性

    • 指出漏洞一旦公开就无法撤回,封禁无实质意义
    • 对比微软对其他违规项目(如盗版工具)的宽松处理
      引用:
      "Almost like trying to censor leaked HDCP key." (SXX)
      "massgrave's Microsoft Activation Scripts isn't just still on Github but verified?" (mschuster91)
  3. 要求微软澄清

    • 呼吁微软说明封禁原因,猜测可能违反平台规则
      引用:
      "Is there any public word from Microsoft about what is going on here?" (embedding-shape)
      "we don't know their side of the story." (MiscIdeaMaker99)
  4. 为微软辩护

    • 指出大公司的漏洞奖励程序有支付激励,不太可能恶意拒付
      引用:
      "everybody involved on the vendor side is actively incentivized to pay out." (tptacek)
      "Microsoft is almost certainly not trying to save money by screwing over bounty claimants." (tptacek)
  5. 其他关联讨论

    • 提及GitHub近期问题(如服务中断)加剧用户不满
    • 研究者背景猜测(可能与微软有私人恩怨或利用AI发现漏洞)
      引用:
      "GitHub is accelerating their own downfall." (jasonvorhe)
      "They seem to have a personal vendetta against Microsoft." (zuzululu)

注:所有评论均无评分数据(None),故未体现认可度差异。核心矛盾集中在微软封禁行为的合理性及潜在动机上。