27 maja Microsoft Security Response Center opublikował wpis zatytułowany "A shared responsibility: Protecting customers through Coordinated Vulnerability Disclosure." Sześć akapitów, jeden ton — i lista sześciu podatności z nazwami.
RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma i MiniPlasma nie zostały odpowiedzialnie ujawnione. W odpowiedzi na niepotrzebne ryzyko stworzone przez te ujawnienia, nasze zespoły bezpieczeństwa pracują non-stop żeby zrozumieć wpływ, chronić klientów i opracować aktualizacje bezpieczeństwa. Aikido
Niekoordynowane ujawnienia które wkładają kod proof-of-concept dla niezałatanych podatności w ręce złych aktorów nigdy nie są uzasadnione i mają realne konsekwencje. Aikido
Chaotic Eclipse — badacz który stoi za wszystkimi sześcioma podatnościami — nie opublikował żadnej odpowiedzi na ten wpis. Jego ostatni post: "Następne Patch Tuesday będzie dla was dużą niespodzianką, Microsoft. Przygotujcie się na odpowiadanie na pytania."
Sześć podatności, dwa miesiące, jeden punkt sporny
Opisywaliśmy całą historię od początku — BlueHammer (CVE-2026-33825) w Defenderze, RedSun, UnDefend, YellowKey z BitLockerem, GreenPlasma. Teraz MiniPlasma — eskalacja uprawnień w sterowniku Windows Cloud Filter — jako szósta.
Microsoft wpis opisuje standardowy model CVD jako partnerstwo: badacz zgłasza, Microsoft naprawia, razem ujawniają. Badacz jest kompensowany i publicznie uznany. System działa.
Chaotic Eclipse twierdzi że próbował tego systemu użyć. MSRC odrzucił zgłoszenie przez spór proceduralny. Szczegóły sporu — kto mówi prawdę co do wymagań dotyczących demonstracji — pozostają nieznane publicznie, bo MSRC nie komentuje indywidualnych zgłoszeń.
To jest punkt sporny którego komunikat Microsoftu nie adresuje. Microsoft potwierdza że pracuje "non-stop" i że exploit code trafił w ręce złych aktorów. Nie potwierdza ani nie zaprzecza twierdzeniu badacza że proces CVD zawiódł zanim Chaotic Eclipse zdecydował się publikować. Semgrep
MiniPlasma i co oznacza szósta podatność
MiniPlasma to eskalacja uprawnień w sterowniku Windows Cloud Filter. Windows Cloud Filter Driver to komponent obsługujący synchronizację OneDrive i innych chmurowych systemów plików z lokalnym systemem plików Windows. Sterownik działa z wysokimi uprawnieniami kernela. Semgrep
Szczegóły techniczne nie zostały opublikowane razem z tym komunikatem — ale sama obecność MiniPlasma na liście obok GreenPlasma wskazuje że Chaotic Eclipse kontynuował szukanie podatności w tej samej klasie: eskalacja uprawnień przez sterowniki jądra z wysokimi przywilejami.
Microsoft nie podał terminów napraw dla żadnej z sześciu podatności. Infosecurity Magazine zaznacza że trwają prace — ale bez harmonogramu. Następny Patch Tuesday: 9 czerwca.
Co to mówi o stanie disclosure
Komunikat Microsoftu jest formalny i jednoznaczny w ocenie moralnej. Jest też selektywny w tym co opisuje.
Opisuje co Chaotic Eclipse zrobił — opublikował bez koordynacji. Nie opisuje co poprzedzało tę decyzję. Nie odpowiada na zarzut że MSRC odrzucił zgłoszenie. Nie wyjaśnia dlaczego BlueHammer — który Chaotic Eclipse twierdzi że zgłosił — został przypisany w Patch Tuesday innym badaczom.
Opisywaliśmy przy Chaotic Eclipse że debata o odpowiedzialnym ujawnianiu jest tak stara jak software development. Jeden badacz który twierdzi że system zawiódł, korporacja która twierdzi że system działa — i sześć podatności w rękach atakujących zanim Microsoft zdążył je naprawić.
Obie strony mają rację o różnych rzeczach. I właśnie to sprawia że ten spór jest trudniejszy do rozstrzygnięcia niż każda ze stron chce przyznać.
Źródła
Microsoft MSRC Blog — pełny komunikat "A shared responsibility": https://www.microsoft.com/en-us/msrc/blog/2026/05/a-shared-responsibility-protecting-customers-through-coordinated-vulnerability-disclosure
Infosecurity Magazine — omówienie z listą sześciu podatności: https://www.infosecurity-magazine.com/news/microsoft-uncoordinated-zeroday/
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł