أثار التهديد الصريح من قبل شركة مايكروسوفت بمتابعة اتهامات جنائية ضد الباحث الأمني المعروف باسم ‘Nightmare Eclipse’ موجة واسعة من الانتقادات داخل مجتمع الأمن العالمي. هذا الباحث، الذي يقف وراء الكشف عن ست ثغرات أمنية حرجة في نظام التشغيل ويندوز (Windows) خلال أيام معدودة، حول نزاعاً حول الثغرات إلى أزمة ثقة واسعة النطاق.
قام ‘Nightmare Eclipse’ بنشر أكواد برمجية مسلحة لإثبات مفهوم ستة عيوب أمنية في ويندوز بين أوائل أبريل ومنتصف مايو 2026 دون التنسيق المسبق مع مايكروسوفت. ثلاث من هذه العيوب — BlueHammer وRedSun وUnDefend — تم استغلالها بالفعل في هجمات حية، بينما لا تزال ثلاث أخرى — YellowKey وGreenPlasma وMiniPlasma — بدون إصلاح حتى الآن.
مايكروسوفت ترد بقوة
في 28 مايو، نشرت مايكروسوفت تدوينة رسمية تصف عمليات الإفصاح هذه بأنها ‘غير مبررة على الإطلاق’ (never justifiable)، محذرةً من أن وحدة الجرائم الرقمية التابعة لها ستلاحق قضايا ضد أي شخص يُمكّن النشاط الإجرامي من خلال أكواد الاستغلال. اتهمت الشركة الباحث بتجاوز معايير الإفصاح المنسق عن الثغرات الأمنية.
من جانبه، يجادل ‘Nightmare Eclipse’ بأن مايكروسوفت حذفت حسابه في مركز الاستجابة الأمنية (MSRC) الذي استخدمه لتقديم تقارير الأخطاء الأصلية، ورفضت التواصل معه. وقد كتب الباحث معبراً عن استيائه: ‘لقد حذفتم حرفياً حساب مايكروسوفت الذي استخدمته للإبلاغ عن الأخطاء لكم، ولم أحصل على أي مقابل مادي من ذلك’.
رد فعل مجتمع الأمن
صناعة الأمن لم تقف إلى جانب مايكروسوفت في هذا النزاع. انتقدت كاتي موسوريس، الرائدة في برامج مكافآت الأخطاء في مايكروسوفت سابقاً ومصممة إطار الإفصاح المنسق الذي تستند إليه الشركة الآن، التدوينة علناً. ووصفت موسوريس مصطلح ‘الإفصاح المسؤول’ بأنه ‘كان المشكلة الأولى’، مضيفةً أن التهديد بالمقاضاة عبر وحدة الجرائم الرقمية فاقم الوضع وسيدفع الباحثين بعيداً عن الثقة في مايكروسوفت.
كما وصف كيفن بومونت، مهندس الأمن السابق في مايكروسوفت، هذا الوضع بأنه ‘كارثة من صنعهم الخاص’ (a dumpster fire of their own making)، مشيراً إلى أن مايكروسوفت قامت في السابق بتوظيف SandboxEscaper بعد أن نشر أكواد استغلال لثغرات يوم الصفر دون سابق إنذار، وهو السلوك الذي تصفه الشركة الآن بالإجرامي.
الثغرات التي لم تُعالج والتهديدات القادمة
تم حظر حساب ‘Nightmare Eclipse’ من GitHub في 23 مايو تقريباً ومن GitLab في 26-27 مايو، وهو ينشر الآن من مدونة شخصية. ولا يزال إصدار الاستغلال الموعود في 14 يوليو، والذي يستهدف تحديثات يوم الثلاثاء، يمثل تهديداً حقيقياً، مع تحذيرات من احتمال تصعيد الأمر إلى ثغرات تنفيذ التعليمات البرمجية عن بعد (RCE).
يجب على المسؤولين عن الأنظمة التعامل مع الثغرات التالية كمخاطر نشطة:
- YellowKey
- GreenPlasma
- MiniPlasma
بالنسبة لـ YellowKey، تتطلب إجراءات التخفيف من مايكروسوفت تعديل خلية تسجيل WinRE غير المتصلة يدوياً وإزالة ملف autofstx.exe من قيمة BootExecute. كما أن إعداد TPM+PIN قبل التمهيد يقطع مسار الاستخراج المادي بالكامل.
يتعامل محرك Defender، الإصدار 1.1.26040.8 أو الأحدث، مع ثغرات RedSun وUnDefend، ويجب عدم تأخير هذا التحديث حتى نافذة الصيانة المجدولة لضمان الحماية.
تتواصل هذه الأزمة لتسلط الضوء على التعقيدات والتحديات في إدارة الثغرات الأمنية والعلاقة الحساسة بين عمالقة التكنولوجيا ومجتمع الباحثين الأمنيين، حيث يبقى أمن المستخدمين على المحك.