Microsoft matigt juridisch dreigement tegen onderzoeker achter YellowKey-gat

Microsoft zegt geen juridische stappen te nemen tegen beveiligingsonderzoekers die hun werk doen en daarover publiceren. Wel werkt de Windows-maker samen met politie en Justitie als iemand de wet overtreedt en zich kwaadaardig gedraagt om klanten schade te berokkenen.

Microsoft verklaart dit in een post op sociaal netwerk X en reageert daarmee op ontstane ophef over zijn dreigement van juridische stappen tegen beveiligingsonderzoekers. Het bedrijf uitte dit vorige week in een blogpost waarin het uithaalt naar onderzoekers die kwetsbaarheden 'verkeerd' melden. Het gaat om BitLocker-lek YellowKey en een reeks andere zerodaygaten die de afgelopen weken publiekelijk werden onthuld. In sommige gevallen gebeurde dit compleet met exploitcode om er misbruik van te maken. Zerodays zijn kwetsbaarheden waarvoor nog geen patches beschikbaar zijn.

In de IT-beveiligingswereld ontstond ophef over Microsofts mededeling dat zijn Digital Crimes-divisie zaken blijft aanspannen tegen onderzoekers die beveiligingsinformatie en exploitcode zomaar openbaren. Microsoft sprak daarbij over de kwetsbaarheden RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma en MiniPlasma. De ontdekker daarvan lijkt een persoonlijke vete met Microsoft te hebben.

'Ongeacht het verleden'

Microsoft matigt zijn dreigement nu. Het erkent dat de relatie met beveiligingsonderzoekers belangrijk is en op momenten ook kwetsbaar. De beveiligingsgemeenschap speelt een vitale rol voor Microsofts streven om klanten te beschermen, schrijft het Microsoft Security Response Center in de post op X. Het stelt dat er daarbij 'gezien de aard van het werk' soms ook misverstanden zijn. Het beveiligingscentrum van Microsoft belooft dat het te goeder trouw en respectvol omgaat met alle onderzoekers, 'ongeacht interacties in het verleden'.

Microsoft-campus, speech, Satya Nadella. Bron: Microsoft
Microsoft-campus, speech, Satya Nadella. Bron: Microsoft

Door Jasper Bakker

Nieuwsredacteur

01-06-2026 • 15:48

24

Submitter: Chocoball

Reacties (24)

Sorteer op:

Weergave:

Moest er nou echt iemand van justitie aan Microsoft vertellen van "he man, je gooit zo je eigen glazen in".
Was Microsoft net zo druk bezig met kudo's terug verdienen na het hele copilot,w11 en xbox gedoe.... Komen ze hier mee.

Gaat Microsoft de volgende keer ook juridisch achter Google aan wanneer die Microsoft weer te kakken zet of durven ze dan weer niet?
voor mijn gevoel is windows/microsoft hun eigen graf aan graven. zie steeds minder noodzaak of meerwaarde vanuit Redmond komen. Win11 is een achteruitgang, AI wordt gepushed, cloud prijzen rijzen de pan uit, gamen is ondergeschikt in windows tozv steam. google heeft een betere workspace/werkomgeving dan windows/azure. meer tools gaan via cloud/saas

wat biedt windows nu nog echt?
Zolang sharepoint / office 365 alleen op windows kan (de apps) zal het hen altijd van het graf redden. Daarnaast is backward compatibility van heel veel drivers en apps nog een belangrijke reden. Op m’n werk zullen alleen 2 of 3 van de 70 een wissel naar een andere OS/office pakket leuk gaan vinden. Ben dus bang dat je voorspelling de komende (tiental) jaren nog niet uit gaat komen.
Zolang sharepoint / office 365 alleen op windows kan (de apps) zal het hen altijd van het graf redden.
Dat klopt, maar tegelijkertijd wil MS wel steeds meer via de browser werken. Door mobiele telefoons is Windows niet meer zo belangrijk als het ooit was, dat 'anker' begint langzaam gewicht te verliezen.
Daarnaast is backward compatibility van heel veel drivers en apps nog een belangrijke reden. Op m’n werk zullen alleen 2 of 3 van de 70 een wissel naar een andere OS/office pakket leuk gaan vinden. Ben dus bang dat je voorspelling de komende (tiental) jaren nog niet uit gaat komen.
Jarenlang werd gezegd dat Windows-games op Linux draaien nooit een succes zou worden. Nu zitten we op het interessante punt dat de meeste games prima werken en soms zelfs beter dan op Windows. Misschien nog wel belangrijker is dat er zelfs games die het niet meer doen op Windows 11 maar wel met Proton/Wine.

Wine heeft het voordeel dat 'compatibility' een kerndoel is van het project, op een bepaalde manier is "compatibel met Windows" zijn belangrijker voor Wine dan voor Windows zelf. Dat bedoel ik niet als kritiek, gelukkig blijft MS niet stil staan maar blijven ze Windows vernieuwen. Dat geeft echter wel een andere insteek. Wine hoeft geen/minder rekening te houden met vernieuwing maar alleen compatible te zijn met wat er al is. Met een duidelijk einddoel voor ogen is het makkelijker ontwikkelen.

Ik zie het ooit nog wel gebeuren dat MS zelf Wine gaat gebruiken voor compatibility met antieke Windows-versies (voordat ze overstappen op de Linux-kernel als basis voor Windows ;) ).
@Craelis zeker heb je valide punt; maatwerk, speciale software of antieke systemen en protocollen leunen vaak op Windows. Dan is maar de vraag of die “compatibiliteit modus” die oude instructies correct verwerkt.

Wat dat betreft sluit aan bij @CAPSLOCK2000 zijn opmerking; middels wine/proton/playonlinux, is oude software vaak prima te gebruiken. Soms nog wel beter dan onder win10/11.

Maar jij hebt t over “oud/legacy/eol” software. Ik doel t meer over hedendaagse technologie en besturingssystemen. Daar zie je duidelijk een verschuiving naar PWA/cloud/saas-oplossingen (die vaak ook platform onafhankelijk zijn)

Tuurlijk zijn er systemen die zwaar leunen op het o365/sharpening systeem, die zet je ook niet 123 over. Maar wanneer je vandaag, eenzelfde oplossing moet maken, is die Microsoft omgeving dan nog steeds de meest logische keuze?

Tegenwoordig werken de meeste Windows games prima onder Linux/steamos. Soms zelfs met betere prestaties. Neem Bazzite systeem, dan zijn jouw bronnen (mem,cpu,processen,services en onnodige achtergrond processen) beter beheersbaar en inzetbaar. Menig game die mij meer fps geeft onder steamos dan met window.
Zelf dualboot ik ook. Mijn games en normale browsing en lichte tekstverwerking/administratie gaan op fedora. Sommige games werken zeker stabieler op linux via proton. “Echt” werk heb ik helaas 365 voor nodig, met vaak vrij ingewikkelde documenten (toetsen vooral, docent als beroep) en heb ook al mn backups in onedrive. Ga daarvoor naar windows, of als ik even nostalgisch ben of wat nieuws wil proberen.

Maar zoals ik zei, op m’n werk weer de helft niet hoe ze normaal outlook moeten opstarten of wat onedrive precies is. Laat staan dat ze nu ineens, of de komende paar jaar, gaan wennen aan Linux of libre-office met z’n quirks. Windows zal misschien privé steeds minder normaal worden. Maar in de business scene lijkt het me sterk dat dat de komende jaren gaat veranderen.
Wie gebruikt er nog een native mail cliënt? Denk dat al ruim 10jr zonder problemen webbased werk.

begrijp en herken prima wat je schrijft. Gaat zeker niet voor iedereen of elk bedrijf op. en vaak “kan” je niet anders (financieel/licenties/gebruik gemak).

Los daarvan, blijf ik bij mijn standpunt; ik zie steeds minder mogelijkheden of noodzaak om Microsoft systemen of diensten te gebruiken. Die monopolie of afhankelijkheid van, lijkt teruglopend te zijn.
Ik :)
Gebruik al jaren met veel plezier eMclient. Maar gebruik ook wel Roundcube, en gmail ofcourse.

Maar sinds kort dus op een macbook ipv windows. Windows 11 was voor mij (en ondertussen ook mn vrouw) dusdanig een achteruitgang in performance dat we tegenwoordig allebei aan de macbook zijn (en ik ondertussen zakelijk ook). Had wel vaker met macos gewerkt zakelijk, dus de overstap was minimaal, en 95% van alle dingen die ik wil gebruiken werkt gewoon, ook (zakelijk) de office365 apps. Prive gebruik ik dat sowieso niet, en dan voldoet de ingebouwde Pages en Numbers prima.
Ik zou op dit moment geen enkele reden meer kunnen opnoemen om terug te gaan naar Windows.
Ik denk niet dat ze ooit de Linux kernel als basis gaan gebruiken. Zeker omdat de licentie problematisch zal zijn en zijn zat andere redenen te verzinnen.

Ze zullen de kernel vast wel eens gaan vervangen maar zal eerder iets zijn als Singularity.
Software. Heel veel software. Enorm veel software. Enorm veel drivers.

Zit er iets bij dat niet buiten het eco systeem bestaat zit je vast.
(Of vast aan een Windows image in je nieuwe OS, wat ik doe voor VS.)

Zelfs MIrc heb ik na 30 jaar aan de wilgen gehangen. Draaide ik via Wine. Maar hoewel het geen rocket science is zal het voor het gros toch te hoog gegrepen zijn.
Wij draaien 100% op Windows omdat onze Siemens WinCC advanced & professional puur Windows based zijn. Daarom is er geen reden om nu Linux kennis in huis te hebben wat een eventuele overstap naar Linux en WinCC Unified praktisch onmogelijk maakt (dus eerder Unified op Windows)
Moest er nou echt iemand van justitie aan Microsoft vertellen van "he man, je gooit zo je eigen glazen in".
Buiten dat ze in sommige situaties geen poot hebben om op te staan. In bijvoorbeeld Nederland wordt vrijheid van meningsuiting als belangrijker gezien dan de vrijheid om winst te maken. Dit geldt met name als niet expliciet kwade intentie aangetoond kan worden. Microsoft kan dan hoog of laag springen, maar naast hun reputatie zullen ze een aangespannen zaak gewoon verliezen.
Je kan de stelling nemen dat het publiek maken van exploitcode tot onnodige schade en verstoring van de openbare orde kan leiden, dat had je van te voren kunnen weten en toch maak je het publiek.

Het is niet zo zwart wit als even vrijheid van meningsuiting roepen en klaar ben je. De gevolgschade kan afhankelijk van je publicatie absoluut aangerekend gaan worden.

Niet dat ik het in deze eens ben met Microsoft hoor, begrijp me niet verkeerd. Maar je kan er ook voor kiezen om bijvoorbeeld wat generiekere info publiek te gooien zoals toen voor wannacry gebeurde, die gast publiceerde toen gewoon een plaatje van de map en een week later was iedereen die zijn shit op orde had gepatcht.
Nette manier is natuurlijk eerst melden bij het bedrijf waar het exploit zich voor doet , dan wachte op het timeframe van de fix en dan op de dag van de fix je blog post er uit doen en verwijzen naar de fix.

Dan is er niks aan de hand
Zo is het ook begonnen, alleen heeft Microsoft zijn bevinding(en) als niet relevant gemarkeerd en afgesloten. Tenminste volgens het, op dit moment eenzijdige verhaal vanuit de onderzoeker/hacker. Zo ver ik weet heeft hij enkel exploits gedeeld waar fysiek en/of admin rechten voor nodig zijn. 'admin-to-kernel' expoits doet Microsoft niks mee. Daar mag je wat van vinden maar zou de onderzoeker ook moeten weten.

Daarna is in een schriftelijk toegelichte wraakactie een aantal significante exploits publiekelijk gedeeld. Waarbij deze persoon dondersgoed weet wat daarvan de impact is. Dus mijn inziens volledig gegrond dat er in deze casus juridische actie ondernomen zou worden. Dat wil niet meteen zeggen dat hij veroordeeld wordt, daar is de wet voor.

Mag hopen dat de mensen uit de IT-beveiligingswereld die hier 'ontstemt' over zijn, wel door hebben dat het lekken van dit soort significante zero-day lekken op deze manier consequenties heeft. White-hat hacken geeft je geen volmacht om alles maar publiek te delen zoals jouw het uitkomt.
Mja, je kunt het ook zo zien: Als Microsoft die 'admin-to-kernel' exploits niet zo boeiend vindt, waarom zijn ze nu zo verbolgen over het feit dat hij ze publiceert zonder hun eerst op de hoogte te stellen? Dan zijn ze dus toch niet zo irrelevant als dat Microsoft doet geloven.
Ik keur zijn actie niet goed, maar Microsofts houding tov 'admin-to-kernel' privilege escalation klopt ook van geen kanten.
Geheel oneens, niks juridisch. Als Microsoft zegt dat het niks uitmaakt, dan het publiceren ook niet. Dan moeten ze het maar serieus nemen.

Dat doen ze niet? Dan is het geen wraakactie meer.
Als ik kijk naar de recente zero days waarin geen explicite code staat maar wel wat er mis ging (met of zonder hints), dan denk ik niet dat ik en anderen moeite hebben met het reproduceren van die aanvallen. Er is een drempel, maar die is niet bijzonder hoog. Laat staan voor goed georganiseerde exploit groepen.

Het laatste wat je suggereert is wellicht handiger, maar dan kom je weer in het copyright- en private eigendomsrecht terecht vrees ik.

[Reactie gewijzigd door kaas-schaaf op 1 juni 2026 16:43]

Bor Coördinator Frontpage Admins / FP Powermod @The Zep Man1 juni 2026 16:49
Het tegen beter weten in publiceren van kwetsbaarheden en exploit code en zo behoorlijk veel mensen in gevaar brengen heeft alleen weinig tot niets met de vrijheid van meningsuiting te maken. Daarbij is dat recht niet absoluut.

[Reactie gewijzigd door Bor op 1 juni 2026 16:53]

Dit is gewoon journalistiek, de ontdekker van die kwetsbaarheid heeft helemaal geen relatie of verplichting met Microsoft om dit eerst aan hun kenbaar te maken. En aangezien de binary in de recovery-versie anders was en alleen dáár kwetsbaar is, ga je mij niet wijsmaken dat Microsoft er niets van wist.

Dit is nou zo’n achterdeurtje waar iedereen bang voor is, maar toevallig is ontdekt. En ook precies de reden dat Microsoft zo reageert, want als het via responsible disclosure was gegaan, wat hadden ze dan tegen de NSA moeten zeggen?
Ach ja, Microsoft... Soms bewegen ze weer de goede kant op en dan opeens kunnen ze de neiging om de dictator uit te hangen toch niet onderdrukken. De onderzoekers zouden de kwetsbaarheden ook aan China of Rusland kunnen verkopen. Ik weet niet of Microsoft daar op zit te wachten... maar goed, aan hen de keuze natuurlijk.
Heeft Microsoft eigenlijk wel een juridische grond waarop zij dit kan doen?
En dat terwijl YellowKey voor Microsoft $0 waard was. Kennelijk zijn Microsoft's juristen dus ook gratis (?)
Volgens de beveiligingsonderzoeker komt er volgende week (met Patch Tuesday) nog een verrassing als er niet betaald wordt.

Op dit item kan niet meer gereageerd worden.