近期全球資訊安全領域爆發了一場前所未有的激烈衝突。知名資安研究員 Chaotic Eclipse(亦在社群中被稱為 Nightmare-Eclipse)因不滿其所發現的重大漏洞遭到作業系統大廠微軟的消極對待與全面封殺,直接選擇公開與官方撕破臉。
這場恩怨在短短數週內迅速升溫,導致多個攸關 Windows 核心安全的零日漏洞遭到無預警公開揭露。目前已知部分缺陷已落入威脅份子手中並遭到積極利用,甚至引發了美國網路安全暨基礎設施安全局(CISA)的高度關注。這起事件不僅突顯出大型科技企業與獨立資安社群之間的信任崩潰,也讓更多人意識到,其實現有的安全回報機制是有結構性問題的。
微軟內部官僚體制與帳號封殺導致衝突產生
這場資安風暴的起因,源於 Chaotic Eclipse 嘗試透過微軟安全回應中心(MSRC)的漏洞懸賞計畫,合規回報其所發現的 Windows 系統嚴重缺陷。根據資安社群與相關論壇揭露的資訊,該名研究員在過去數個月內,陸續向微軟提交了涉及 Windows Defender 防毒軟體、BitLocker 加密技術以及系統輸入處理程序(CTFMON)等多項核心漏洞。
然而,微軟內部的審查機制卻對這些通報進行了冷處理。微軟技術團隊被指控任意關閉回報案件且未給予合理的技術解釋,並在漏洞判定上設置了極高且不合理的門檻。
根據資安社群披露的內幕,微軟的審查團隊在過程中刻意刁難,堅持要求研究員必須提供極為詳盡的漏洞攻擊展示影片與長篇論文級別的論證資料,否則便拒絕進行實質驗證。這種將自身產品的驗證與最佳化工作完全轉嫁給研究員的作法,引發了 Chaotic Eclipse 的強烈不滿。
在雙方溝通徹底破裂後,微軟更採取了極端的應對手段,直接將該名研究員用來提交漏洞的微軟帳號進行全面註銷。此舉徹底激怒了 Chaotic Eclipse,促使其決定繞過所有官方協調機制,將這批未經修補的缺陷直接向全球公開。
六大零日漏洞呈現的三大缺陷已遭惡意組織積極利用
隨著雙方關係徹底破裂,Chaotic Eclipse 在過去數週內陸續將六個針對 Windows 系統的零日漏洞公諸於世。這六個漏洞在資安社群中被分別命名為 RedSun、UnDefend、BlueHammer、YellowKey、GreenPlasma 以及 MiniPlasma。這些漏洞涵蓋的範圍極廣且威脅性極高,其中涉及到 Windows Defender 的缺陷更令業界震驚。由於防毒軟體的掃描引擎必須具備檢查大量檔案的權限,這導致其自身的缺陷一旦被武器化,將成為駭客植入惡意程式的絕佳跳板。
不幸的是,在這些被公開的漏洞中,BlueHammer(已被編號為 CVE-2026-33825)、RedSun(已被編號為 CVE-2026-41091)以及 UnDefend(已被編號為 CVE-2026-45498)這三個零日漏洞,在概念驗證程式碼(PoC)公開後的短短三十六小時內,便被監測到有威脅份子在網路空間進行大規模掃描與主動攻擊。
這三個缺陷由於威脅極其迫切,已被美國官方迅速納入已知遭利用漏洞清單中,要求相關單位在極短期限內完成防禦。資安防禦團隊指出,從概念驗證程式碼公開到實際出現攻擊行為的時間差幾乎被壓縮到零,這對全球企業的系統管理造成了巨大的壓力。
微軟的全面反擊發文捍衛立場與數位清除行動
面對這場幾近失控的輿論與安全危機,微軟安全回應中心於五月二十七日發表了一篇官方公告,試圖澄清其立場並穩定市場信心。在該篇題為「共同責任:透過協調漏洞揭露保護客戶」的聲明中,微軟強烈譴責了這種未經協調的公開揭露行為。微軟指出,RedSun、UnDefend 以及 BlueHammer 等漏洞的詳細資訊在公開前並未與官方共享,這種逕自公開代碼的作法將廣大客戶置於不必要的安全風險之中。微軟強調,每年他們都透過業界標準的「協調漏洞揭露」(CVD)機制與數百名研究員合作,確保在細節公開前能有充足的時間推出安全性更新。
除了發表官方聲明反駁外,微軟也動用了其龐大的數位控制權進行全面清除行動。由於微軟旗下擁有開源代碼代管平台 GitHub,微軟在事件發生後不久便迅速將 Chaotic Eclipse 的 GitHub 帳號撤銷。隨後,該名研究員轉戰至 GitLab 平台嘗試重新發布資料,但其 GitLab 帳號也隨即遭到封鎖。
更引人注目的是,微軟在公告中明確暗示其數位犯罪防制部門(DCU)正在蒐集相關事證,並將與全球執法機關緊密配合,準備對破壞數位生態系安全的特定行為人提起刑事訴訟。這種將獨立研究員視為犯罪威脅的強硬態度,在資安社群也有人對此感到反感。
下一波風暴預告七月十四日的威脅
這起事件在 Reddit 的網路安全看板(r/cybersecurity)上引發了熱烈討論。許多前微軟員工與資安專家紛紛站出來發聲,指出官方在對待獨立漏洞獵人的態度上長期存在問題。部分專家表示,微軟經常將研究員提交的重大缺陷判定為不予修補,卻在不久後悄悄進行漏洞修補,且在發布安全性更新時故意不給予通報者適當的貢獻說明與 CVE 漏洞編號歸屬,藉此規避發放漏洞補償獎金。
這種缺乏透明度的作法,在資安社群中是有一些人不滿的,而 Chaotic Eclipse 的激烈反抗只是這場長期結構性衝突的縮影。
然而,CyberQ 觀察,許多站在第一線負責企業資訊安全的工程師也表達了深切的憂慮。雖然他們理解研究員遭受不公正對待的憤怒,但直接公開未修補漏洞的作法,實質上是將系統管理員推入火海,迫使全球企業必須在缺乏官方 Patch 防禦手段與未知威脅型態的情況下迎戰駭客的攻擊。
更令人感到緊繃的是,Chaotic Eclipse 面對微軟的全面封殺與司法威脅,並未選擇退縮。他在其個人網站上發表了最新的反擊聲明,強調自己嚴格遵守了初步的溝通禮節卻換來羞辱,並預告將在七月十四日採取進一步的大型行動。
CyberQ 猜測,這也可能是一場針對 Windows 核心架構、更具毀滅性的極嚴重漏洞大公開。全球的資訊安全人員此時必須提高警覺,緊密監控系統日誌,並在七月十四日前做好全面的應變準備。
延伸參考:
微軟安全回應中心官方公告:A shared responsibility: Protecting customers through Coordinated Vulnerability Disclosure
Reddit 網路安全社群討論串:Microsoft vs Chaotic Eclipse: three zero-days now actively exploited
