Boze bughunter onthult zeroday in Windows, net na Microsofts patchronde

De securityonderzoeker die recent zerodaygaten in Windows onthulde, openbaart een nieuwe zeroday, compleet met exploitcode. De anonieme bughunter heeft een openlijke vete met Microsoft en publiceert nu net na de patchronde die eerdere zerodaygaten van de ontdekker dicht.

De nieuwe zerodaykwetsbaarheid, RoguePlanet, zit in Microsofts securitysoftware Defender. Aanvallers kunnen daarmee diepgaande systeemrechten krijgen op Windows. Het is de zevende zeroday die deze securityonderzoeker openbaar maakt, schrijft The Register. De bughunter, Nightmare-Eclipse, publiceert nu ook proof-of-conceptcode waarmee misbruik van het beveiligingsgat in Defender mogelijk is.

De exploit werkt niet altijd, want hij is afhankelijk van een zogeheten race condition. Daarbij vertoont software onvoorspelbaar gedrag als meerdere processen of threads tegelijkertijd proberen gedeelde data te wijzigen en op te halen. Nightmare-Eclipse schrijft bij de vrijgegeven code dat die wat wisselvallig is. "Ik kreeg een succesratio van 100 procent op sommige machines, terwijl hij [de exploitcode – red.] moeite had op andere systemen."

'Met aanpassing wél 100 procent'

De hacker meent dat de proof-of-conceptcode met aanpassingen betrouwbaar kan werken, maar hij geeft aan dat hij geen zin heeft in dat aanpassingswerk. Kwaadwillenden kunnen daar juist wél interesse in hebben. RoguePlanet is van toepassing op pc's met Windows 11 en Windows 10 die volledig zijn bijgewerkt.

De openbaarmaking van deze nieuwe zerodaykwetsbaarheid kwam enkele uren na Microsofts release van patches voor de maand juni. Daarin dicht de Windows-maker een recordaantal beveiligingsgaten, waaronder zes zeer ernstige. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat de kans op grootschalig misbruik van deze kritieke kwetsbaarheden groot is.

Aanvallers maakten eerder al misbruik van de zerodaykwetsbaarheden RedSun, UnDefend en BlueHammer van Nightmare-Eclipse. Voor die drie gaten gaf de ontdekker ook werkende exploitcode vrij. Microsoft patchte deze zerodays vorige maand en de patchronde van juni brengt updates voor GreenPlasma, MiniPlasma en YellowKey. Met die laatste kunnen computerdieven de BitLocker-encryptie in Windows omzeilen.

Openlijke vete

Nightmare-Eclipse dreigde eerder al meer ontdekte zerodays vrij te geven. De ernstigste daarvan zou op 14 juli komen. Voor de zes die tot nu toe zijn onthuld, biedt Microsoft al patches. Het bedrijf keurt de openlijke onthulling af en haalde uit naar 'onderzoekers die kwetsbaarheden verkeerd melden'. Daarbij leek Microsoft een breed juridisch dreigement te uiten, maar het nuanceerde dat later.

De openlijke vete van deze securityonderzoeker met Microsoft zou voortkomen uit afwijzing door het beveiligingsteam van de Windows-maker. Nightmare-Eclipse meldde naar eigen zeggen kwetsbaarheden, maar zou daarvoor geen erkenning of beloning hebben gekregen. Daarbij zou Microsoft zelfs bedreigingen hebben geuit. De diepgaande kennis van Windows die blijkt uit de gevonden gaten voedt online rondgaande speculatie dat de bughunter een voormalig Microsoft-medewerker zou zijn.

Security/Hackers/Hack. Bron: Curly_Photo/Moment/Getty Images
Security/hackers/hack. Bron: Curly_Photo/Moment/Getty Images

Door Jasper Bakker

Nieuwsredacteur

Feedback • 11-06-2026 13:21
90 • submitter: Tribits

11-06-2026 • 13:21

90

Submitter: Tribits

Lees meer

3 apr 2026

Windows-updates onder druk door tempo, complexiteit en minder kwaliteitscontrole

123
Rechtermuisklikmenu van Windows 11 wordt 'eenvoudiger en beter aan te passen'
Rechtermuisklikmenu van Windows 11 wordt 'eenvoudiger en beter aan te passen' Nieuws van 7 juni 2026
Microsoft matigt juridisch dreigement tegen onderzoeker achter YellowKey-gat
Microsoft matigt juridisch dreigement tegen onderzoeker achter YellowKey-gat Nieuws van 1 juni 2026
Microsoft haalt uit naar onderzoekers die 'verkeerd' kwetsbaarheden melden
Microsoft haalt uit naar onderzoekers die 'verkeerd' kwetsbaarheden melden Nieuws van 28 mei 2026
Simpele hacktool op USB-stick kraakt BitLocker-encryptie op Windows-pc's
Simpele hacktool op USB-stick kraakt BitLocker-encryptie op Windows-pc's Nieuws van 14 mei 2026
Mozilla vindt met AI-tool Mythos 271 Firefox-bugs en waarschuwt voor tweedeling
Mozilla vindt met AI-tool Mythos 271 Firefox-bugs en waarschuwt voor tweedeling Nieuws van 22 april 2026
Meer dan tien procent van Patch Tuesday-bugs werd al actief misbruikt
Meer dan tien procent van Patch Tuesday-bugs werd al actief misbruikt Nieuws van 11 februari 2026
Meer producten en artikelen
Netwerk en systeembeheer Besturingssystemen Software development Beveiliging en antivirus Politiek en recht Microsoft Windows Beveiliging Cybercrime Cybersecurity Malware NCSC Responsible disclosure Security Update Windows 10 Windows 11 Windows update

Reacties (90)

-Moderatie-faq
90
89
66
3
0
17
Wijzig sortering

Sorteer op:

Weergave:
kahraman11 11 juni 2026 13:27
Naast deze privilege escalation vulnerability, heeft hij ook vanochtend een Bitlocker bypass gepubliceerd: https://github.com/MSNightmare/GreatXML
Hier zit wel een conditie aan dat er ooit een offline scan van Defender gerund moet zijn, maar indien dat gedaan is (of gedaan wordt door de aanvaller zelf) dan kan Bitlocker omzeilt worden.
Reageer
The Zep Man
@kahraman1111 juni 2026 13:41
Nuance:
Dit soort bypasses werken vaak alleen als er geen BitLocker PIN benodigd is om het systeem op te starten. Sowieso wordt dit afgeraden door Microsoft.
Reageer
ApexAlpha @The Zep Man11 juni 2026 14:06
Nuance: dat is de standaardmanier en dat is hoe 99% zal draaien gok ik...
Reageer
GertMenkel
@ApexAlpha11 juni 2026 14:14
Bitlocker heeft jarenlang standaard uitgestaan in Windows, zelfs als je voor Pro betaalde. Als je geüpgrade bent, krijg je niet opeens versleuteling door je strot gedrukt. Ik denk daarom niet dat de meeste gebruikers er erg in hebben.

Bedrijven zullen hopelijk hun zaken beter op orde hebben en privacybewuste particulieren zullen hopelijk iets als Veracrypt gebruiken of op zijn minst een TPM PIN. Het blijft slordig natuurlijk, maar ik vraag me af of er hier serieuze problemen voor mensen zullen ontstaan.
Reageer
closefuture @GertMenkel11 juni 2026 15:11
of op zijn minst een TPM PIN
Eigenlijk alle bedrijven die ik ken en waar ik in de keuken kan kijken hebben gebruiken bitlocker met TPM unlock door middel van attestation. Ik heb nog nooit een bedrijf gezien wat een PIN gebruikt voor de TPM.
Reageer
Blokker_1999
@ApexAlpha11 juni 2026 14:15
Vele bedrijven vereisen gewoon dat de PIN gezet wordt. Al moet MS dat ook wel eens verbeteren, want het zetten van een initiele PIN vereist dan weer admin rechten, wat de gemiddelde gebruiker ook niet heeft.
Reageer
telenut @The Zep Man11 juni 2026 14:07
Ik ken echt niemand die een pin zal instellen op bitlocker, en dit krijg je ook maar in weinig bedrijven verkocht vrees ik...
Reageer
Dynion @telenut11 juni 2026 14:15
Verschillende grote overheidstakken hebben standaard een PIN op de bitlocker voor alle ambtenaren. Alleen dat zijn al tienduizenden mensen.
Reageer
The Zep Man
@telenut11 juni 2026 14:19
Ik weet zelf van verschillende bedrijven (commercieel en semi-overheid) die het vereisen. Dit is een beslissing waarbij minder "wat gebruikers graag willen" meespeelt en meer "wat moet".

[Reactie gewijzigd door The Zep Man op 11 juni 2026 14:46]

Reageer
Drardollan
@telenut11 juni 2026 14:35
Dan ken je de verkeerde mensen. Zelf heb ik al sinds minstens 15 jaar een PIN geïntroduceerd bij alle bedrijven waar ik kwam, voorheen met bijvoorbeeld Sophos Safeguard en sinds enige jaren met Bitlocker. Het is, mijn inziens, de enige manier om data echt te beschermen op een device. Vervelend dat de hardware verloren gaat bij bijvoorbeeld een diefstal, de data is veel waardevoller en dient zo goed mogelijk beschermd te zijn.
Reageer
Llopigat
@telenut11 juni 2026 14:45
Bij ons heeft elke laptop een PIN gekoppeld aan de TPM (en dat gaat om zo'n 100.000 machines).
Reageer
hiostu @telenut11 juni 2026 15:10
Ik ken eigenlijk geen enkel serieus bedrijf dat geen pincode op bitlocker afdwingt op de Windows laptops. Nu zit ik wel vooral bij Enterprise klanten en niet bij MKB.
Reageer
Drardollan
@The Zep Man11 juni 2026 14:36
Klopt, en een Bitlocker zonder PIN is voor mij een nutteloze Bitlocker. Dan zit er echt 0 waarde aan om het toe te passen.
Reageer
PdeBie 11 juni 2026 13:24
Ben wel benieuwd naar de vete waarin hij verkeerd met MS.
Reageer
lasharor @PdeBie11 juni 2026 13:27
Ik mis een beetje in het verhaal waarom hij boos is?
Reageer
Ryunoru @lasharor11 juni 2026 13:34
Nightmare Eclipse (aka Chaotic Eclipse) is a disgruntled bug hunter with a deep understanding of Windows and an even deeper grudge against Microsoft. They claim to be an ex-employee, and accuse Redmond of ignoring vulnerability reports and refusing to communicate with them.

"When I actively asked you to communicate with me, you refused, humiliated me and made sure to insult me in front of people," they wrote in an earlier blog post that also promised a “bone shattering” drop on July 14. 

"You defame me in public with your CVE-2026-45585 advisory even though you literally deleted the Microsoft account I used to report bugs to you with and I got zero pennies from doing so and I still happily did like an idiot," the post continued.
https://www.theregister.com/security/2026/06/10/nightmare-eclipse-publishes-new-windows-defender-zero-day/5253725

Lang verhaal kort: Hij deed bug reports richting Microsoft, maar werd genegeerd, en op een gegeven moment werd zijn account zelfs van het platform verwijderd. Voor zijn bug reports kreeg hij geen rooie cent van Microsoft.

[Reactie gewijzigd door Ryunoru op 11 juni 2026 13:34]

Reageer
SunnieNL
@Ryunoru11 juni 2026 13:44
Het zijn wel uitspraken die lastig zijn te verifieren omdat hij er geen bronnen bij zet. Het is niet te controleren op deze manier of wat hij zegt ook klopt. Geef dan gewoon je gebruikersnaam van het account wat is gewist, dan kunnen we het terugzoeken.

Nu is het uit de lucht schreeuwen dat ze je 'mishandelt' hebben, zonder bewijs te leveren. Gezien hij zegt dat hij op dit moment nog niets naar buiten mag brengen (volgens eigen woorden), verwacht ik dan toch dat hij ergens een NDA heeft getekend die op 14 juli afloopt.

We gaan het zien over een maand. Maargoed, hem op zijn woord geloven is lastig als je op 23 mei schrijft dat je in juni niets released en dat dan toch doet.
edit:
Hij geeft blijkbaar in een post van 9 juni aan dat hij 14 juli niets meer gaat vrijgeven, omdat alles te veel energie heeft gekost. Nightmare Eclipse: Regarding July 14th

[Reactie gewijzigd door SunnieNL op 11 juni 2026 13:53]

Reageer
kuurtjes @SunnieNL11 juni 2026 14:07
Ik denk dat het publiceren van deze exploits terwijl ze als private zero day extreem veel waard zijn genoeg bewijs is dat hij de waarheid verteld. Misschien is het wat minder erg als hij doet lijken maar als je liever kiest om Microsoft zo voor schut te zetten dan er tonnen geld voor te krijgen dan doe je dit met een bepaalde reden.
Reageer
Sando @SunnieNL11 juni 2026 14:14
Het zijn wel uitspraken die lastig zijn te verifieren omdat hij er geen bronnen bij zet. Het is niet te controleren op deze manier of wat hij zegt ook klopt.
Je mag vaak geen uitspraken doen over lopende rechtszaken. Hij (m/v) schreef ook steeds dat hij niet kan wachten om meer te vertellen, alsof iets hem tegenhoudt. We weten het niet. Maar hij stopt er duidelijk wel energie in. De beveiligingslekken zijn in ieder geval geverifiëerd.
Reageer
memphis @Ryunoru11 juni 2026 13:48
Best wel een kwalijke zaak. Niet alleen "simpele" gebruikers gebruiken Windows maar ook overheden en is het negeren van zoiets best wel een ding. Het bewijst maar weer eens de macht en arrogantie van de big tech bedrijven.
Reageer
Dubbeldrank @Ryunoru11 juni 2026 13:49
Dit komt op mij over als een ex-werknemer die niet op goede voet vertrokken is en nu probeert dingen te forceren. Hij kan natuurlijk wel zeggen dat ze hem negeren, maar elk verhaal heeft twee kanten. Ze doen dit bij andere bughunters niet. We hebben te weinig info om er iets over te zeggen, maar dat hij dit net na de patchronde doet geeft ook wel kwaadwillendheid van hem aan. Zeer onverantwoordelijk!
Reageer
Sando @Dubbeldrank11 juni 2026 14:20
Brick by brick!!
offtopic:
Actueel elk verhaal heeft twee kanten grapje.
Reageer
amigob2 @Dubbeldrank11 juni 2026 15:05
Lees nog een keer , hij heeft to nu toe alleen nog maar gepatchte lekken ( mischien daarom gewacht ) openbaar gemaakt, ik denk dat dit veranderd als MS niet opschiet op 14 Juli

[Reactie gewijzigd door amigob2 op 11 juni 2026 15:05]

Reageer
Milanobrotchen @Ryunoru11 juni 2026 14:05
In dit geval zou ik gewoon opgeven en Microsoft niet meer helpen toch?
jammer dan als ze gehacked worden
Reageer
killergrave @Milanobrotchen11 juni 2026 14:25
Had de exploits verkocht aan bedrijven als Cellebrite of soortgelijke bedrijven. Zerodium bestond volgens mij niet meer. Maar genoeg partijen die je dik betalen voor zulke kwetsbaarheden.
Reageer
Milanobrotchen @killergrave11 juni 2026 15:14
Had de exploits verkocht aan bedrijven als Cellebrite of soortgelijke bedrijven.
Had ik ook willen zeggen maar is dit niet illegaal om te doen? (lijkt mij)
Reageer
AuteurJaspB Nieuwsredacteur @lasharor11 juni 2026 13:48
Jij (en @PdeBie ) hebben een goed punt, dus heb ik nu nog een stukje toegevoegd over de vete.
Reageer
FricoRico @PdeBie11 juni 2026 13:34
Microsoft schijnt al tijden meerdere securityonederzoekers tegen zich in het harnas te werken door bug bounties te beloven; vervolgens de bug te patchen en na lange tijd stilte ineens te zeggen "Sorry de bug was niet belangrijk genoeg om voor de bug-bounty in aanmerking te komen". Daarnaast schijnt Microsoft laks te zijn met het fixen van deze bugs terwijl ze nog niet openbaar zijn. Soms zelfs jaren het op z'n beloop laten.

Het vermoeden is dat Nightmare-Eclipse hier ook (meerdere keren) de dupe van is geworden en nu dus alle bugs direct te openbaren zonder Microsoft de kans te geven het te fixen.

[Reactie gewijzigd door FricoRico op 11 juni 2026 14:14]

Reageer
NESFreak @FricoRico11 juni 2026 14:06
Zie ook deze video van #theprimeagen YouTube: "We will ruin your life" -Microsoft
En uit die video 3 bronnen van andere developers die ook genaaid zijn door het microsoft bug bounty programma. Dit is niet de eerste keer, of enige persoon.

https://x.com/podalirius_/status/2059892083029069929
https://x.com/GabrielLandau/status/2059990548337828090
https://www.linkedin.com/...han-you-think-amit-yoran/

[Reactie gewijzigd door NESFreak op 11 juni 2026 14:06]

Reageer
PolarBear @PdeBie11 juni 2026 13:27
Mja, Microsoft zal genoeg verkeer doen maar ik denk dat deze bughunter ook zelf niet helemaal ok is. Komt wel erg zuur en wraakzuchtig over.
Reageer
thomasv @PolarBear11 juni 2026 13:34
JIj werkt volgens een "afspraak" dat je verdient per aangeleverd artikel X, de afnemer die die regels bepaalt vindt echter dat hetgeen je aanlevert artikel Y is dus je krijgt niet betaald. Ik snap het "wraakzuchtige" karakter wel want wat je niet ziet is het gierige c.q. niet integere gedrag van de afnemer eerder.
Reageer
PolarBear @thomasv11 juni 2026 13:42
Dat is een kant van het verhaal. En nu doet hij het alsnog kosteloos, met heel veel schade voor partijen die er niets mee te maken hebben. Ik snap het wraakzuchtige niet, het is kinderachtig en niet zakelijk. Niet zelden iets wat je ziet als mensen zelf ook fouten hebben gemaakt en blind daarvoor zijn.
Reageer
thomasv @PolarBear11 juni 2026 13:44
Jij doet alsof de wereld anders als men dit niet doet een eerlijk (zakelijk) speelveld is. Kinderachtig is maar net vanuit welk perspectief je het framed, zo zijn beide partijen in dezen gelijk kinderachtig. Being the better man tegenover een organisatie met miljarden heeft ook nul zin. Zonder negatieve actie volgt er vaak geen reactie.

En dan te bedenken dat dit vanuit hun eigen bug bounty programma voorkomen had kunnen worden mits ze deze gehonoreerd hadden. Dus wie heeft nou eigenlijk zich kinderachtig gedragen?

[Reactie gewijzigd door thomasv op 11 juni 2026 13:45]

Reageer
PolarBear @thomasv11 juni 2026 13:49
Jij doet alsof de wereld anders als men dit niet doet een eerlijk (zakelijk) speelveld is. Kinderachtig is maar net vanuit welk perspectief je het framed, zo zijn beide partijen in dezen gelijk kinderachtig. Being the better man tegenover een organisatie met miljarden heeft ook nul zin.
Nee dit heeft veel zin. Het komt mij heel erg uit dat iemand zijn gelijk koste wat het kost wil halen. En de vraag is maar of hij gelijk heeft, we kennen domweg het hele verhaal niet.
Reageer
thomasv @PolarBear11 juni 2026 13:54
Je kent wel het resultaat, dat is veelzeggend en gaat verder dan "de vraag is maar of hij gelijk heeft". Want anders was het geen zero-day waarover gerapporteerd werd. Juist omdat er geen financieel incentive is om zoiets te doen, want het is "career suicide" om dit soort zaken op zulke manier naar buiten te brengen.

[Reactie gewijzigd door thomasv op 11 juni 2026 13:55]

Reageer
watercoolertje
@PolarBear11 juni 2026 14:08
Ik snap het wraakzuchtige niet, het is kinderachtig en niet zakelijk.
Moet alles dan volwassen en zakelijk?

En dan wel opmerkingen als dit plaatsen (heel volwassen en heel zakelijk, niet natuurlijk!):
maar ik denk dat deze bughunter ook zelf niet helemaal ok is.
Niet zelden iets wat je ziet als mensen zelf ook fouten hebben gemaakt en blind daarvoor zijn.
Grappig dat je daarop speculeert/suggereert, maar als een ander speculeert/suggereert dat je dan zegt 'ja maar we weten het niet' om het in het midden te houden :P

PS en ja ik ben ook kinderachtig (bezig), heb ik geen enkel probleem mee!

[Reactie gewijzigd door watercoolertje op 11 juni 2026 14:14]

Reageer
batjes
@PolarBear11 juni 2026 14:16
Microsoft is hier degene die schade aan het veroorzaken is. Dit is niet de eerste 'disgruntled' bounty hunter en zal ook niet de laatste zijn.

Van Microsoft verwacht je profesionaliteit, alleen uiten ze dat niet.

Dit is een verpiswedstrijd tussen 2 gebotste ego's.
Reageer
SunnieNL
@batjes11 juni 2026 14:28
Ik vind dat nogal kort door de bocht. Microsoft krijgt 10-tallen al niet meer meldingen per dag die ze moeten uitzoeken. Daarin kunnen ook fouten worden gemaakt die je dan met elkaar kan bespreken. Ook heeft microsoft bepaalde processen die je moet volgen hiervoor. Daarin kan Microsoft ook besluiten (om willen van tijd, development uren) dat zaken tijdelijk niet direct naar buiten worden gebracht.

Het lijkt erop dat hij verwachtte dat Microsoft dit heel hoog zou inschalen en gelijk zou oppakken en hem groot zou belonen. Toen dat niet gebeurde, of Microsoft het mogelijk lager inschatte, dat hij toen maar is gaan stampen om zijn zin te krijgen.

Probleem is, elk verhaal kent 2 kanten. Die van hem is deels duidelijk, want helemaal open is hij er niet over. Dat zou hij 14 juli doen, maar dat heeft hij ondertussen weer ingetrokken omdat hij "moe" is (wat die toch redelijk aan zichzelf te danken heeft door het nu op deze manier aan te varen). De kant van Microsoft is duidelijk "wij hebben hier bepaalde processen voor om te volgen". Dat is een vrij zakelijke uitspraak, waarmee ze hem absoluut niet publiekelijk hebben geshamed in mijn ogen. Dat heeft hij echter wel zo opgevat als je zijn blog leest.

Ook de melding dat microsoft stilletjes zaken heeft opgelost is niet waar. Als je de CVE nummers bij Microsoft volgt, staat daar vrij duidelijk in dat deze problemen zijn opgelost in update van mei of van juni. Niets stilletjes opgelost, gewoon gedocumenteerd bij uitbrengen van de patch.

Wat ik tot dusver ziet, spreekt niet heel positief uit over de melder, in mijn ogen.
Reageer
batjes
@SunnieNL11 juni 2026 14:34
Toch had Microsoft hier anders op kunnen treden i.p.v. op hun eigen pik getrapt te worden en olie op het vuur te gooien door het conflict te escaleren.

Sorry, maar van zo'n random bobo verwacht ik geen profesioneel gedrag en is kinderachtig gedrag 'binnen het te verwachten patroon'. Van Microsoft mag je IMO betere verwachtingen hebben.
Reageer
Loller1
@batjes11 juni 2026 15:04
Waarom zou Microsoft anders moeten reageren op wat voor hun de zoveelste egocentrisch bounty hunter zou zijn die denkt dat hij het lek van het decenia heeft gevonden? Dat is geen werken, en daarvoor bestaan de processen die ze intern hebben juist.
Reageer
Blokker_1999
@thomasv11 juni 2026 14:17
Er is geen afspraak, het is niet alsof je vooraf een contract aangaat met Microsoft. Jij vindt een bug en bent van mening dat het ernstig is en dat er een bepaalde beloning tegenover staat. Microsoft heeft een andere mening. Dat moet je weten dat dat kan gebeuren.

Neen, hier moet meer zijn gebeurd, maar zolang we niet te horen krijgen wat, hebben we een eenzijdig verhaal waar niet veel over te zeggen valt.
Reageer
thomasv @Blokker_199911 juni 2026 14:21
Er is geen afspraak, het is niet alsof je vooraf een contract aangaat met Microsoft. ...
Daar waren de aanhalingstekens ook voor.

[Reactie gewijzigd door thomasv op 11 juni 2026 14:22]

Reageer
amigob2 @PolarBear11 juni 2026 13:35
Microsoft heeft hem gebanned, hij kan het nog geen eens meer melden. Dan maar zo :-)
Reageer
thomasv @amigob211 juni 2026 13:35
En dat ook
Reageer
Mathijs Kok @PdeBie11 juni 2026 13:28
Ben wel benieuwd naar de vete waarin hij verkeerd met MS.
Lees gewoon even de bron" https://www.theregister.com/security/2026/06/10/nightmare-eclipse-publishes-new-windows-defender-zero-day/5253725
Reageer
evmmb @Mathijs Kok11 juni 2026 13:32
Als de titel van het bericht begint met 'Boze', verwacht ik in het artikel ook te lezen waarom iemand boos is.
Blijkbaar niet relevant genoeg voor in het artikel, maar wel gebruiken voor clickbait..

[Reactie gewijzigd door evmmb op 11 juni 2026 13:32]

Reageer
AuteurJaspB Nieuwsredacteur @evmmb11 juni 2026 13:50
Het was toch wel relevant voor in het artikel, maar ontbrak in eerste instantie (omdat ik al tikje was uitgeschoten qua lengte en misschien nam ik onbewust aan dat de voorgeschiedenis al beetje bekend is?). Nu alsnog toegevoegd.

Dank voor je kritische blik!
Reageer
kuurtjes @PdeBie11 juni 2026 13:28
Hij werkte eerst samen met Microsoft en gaf exploits door. Maar die exploits werden als gewone bugs bezien (waardoor hij niet betaald werd) en dus heeft hij ze maar gereleased. Microsoft heeft hem daarop een onterechte ban gegeven en nu krijgen we dus deze leuke vete.
Reageer
R4gnax
@kuurtjes11 juni 2026 13:52
Maar die exploits werden als gewone bugs bezien (waardoor hij niet betaald werd)
Als dat zo is, dan heeft MS dus ook geen poot om op te staan. Want ze hebben dan zelf aangegeven deze issues niet als security issue te zien, en dus vallen ze derhalve ook niet onder responsible disclosure etc. waarmee zij de tegenaanval in hadden gezet.

Dat kwartje zal wss. ook snel geneg gevallen zijn binnen Microsoft's legal afdeling, wat een rol zal hebben gespeeld in het latere matigen van hun toon.
Reageer
Loller1
@R4gnax11 juni 2026 15:12
Er zijn meer redenen waarom Microsoft een lagere of geen uitbetaling zou doen. Als een bug al bekend was bij hen bijvoorbeeld of teveel lijkt op een eerder gerapporteerd probleem. Voor hetzelfde geld heeft deze persoon gewoon bugs geraporteerd waar Microsoft al van op de hoogte was (misschien zelfs van een andere bounty hunter) en dan grijpt deze er gewoon naast.
Reageer
JBVisual @PdeBie11 juni 2026 13:29
Ik ook, het zou interessant geweest zijn om dat in dit artikel terug te lezen. Als benoemd wordt dat deze persoon een vete heeft met Microsoft, dan is de context wel handige informatie om te beseffen waarom deze persoon dit doet.
Reageer
AuteurJaspB Nieuwsredacteur @JBVisual11 juni 2026 13:51
Terechte comment (van jou en anderen), dus heb ik nu alsnog een stukje hierover toegevoegd.
Reageer
rko4u @PdeBie11 juni 2026 13:57
En ook waarom hij daarom de gebruikers voor de trein gooit, want die zijn er meer de dupe van dan Microsoft.
Reageer
Dakdak @rko4u11 juni 2026 14:34
De exploit code verkopen op de zwarte markt is pas gebruikers voor de trein gooien. Dat hij/zij dat niet heeft gedaan is een teken dat er met deze persoon nog wel te praten valt. Ik vind eerder dat Microsoft haar gebruikers voor de trein gooit eigenlijk.
Reageer
The-Source @PdeBie11 juni 2026 13:31
Volgens de bughunter, hij heeft diverse submits gedaan richting het Bug Bounty program. Volgens hem is daar een incompetente manager die zei dat het geen bug was dus ook geen recht op bounty.

Daarbij voelde de bughunter zich niet gewaardeerd en zo is deze vete ontstaan.
Heb ik het verleden al die post van RedSun en Bluehammer gesubmit maar kwam nooit op de frontpage tercht. Daarbij heeft overigens Microsoft (welke eigennaar is van GitHub) ook het account van bughunter "verwijderd / geblocked".

Ik weet nu niet precies waar het gehost wordt maar ik denk ook dat er bewust voor gekozen is dat die link naar repo niet in het artikel staat.
edit:
quote uit zijn eerst blog post onder nightmare-eclipse:
I never wanted to reopen a blog and a new github account to drop code...

But someone violated our agreement and left me homeless with nothing. They knew this will happen and they still stabbed me in the back anyways, this is their decision not mine

[Reactie gewijzigd door The-Source op 11 juni 2026 13:35]

Reageer
driescuit @PdeBie11 juni 2026 14:11
Zou zo iemand niet een aanwinst zou kunnen zijn voor Microsoft? Indien z'n claims zouden kloppen is er misschien bij microsoft iemand nodig die zo verregaande kennis heeft van nog niet erkende vulnerabilities.
Reageer
segil 11 juni 2026 13:29
Ik heb geen goede woorden over voor deze "hacker". Als je denkt dat dit je gaat helpen, ben je imho gewoon een kleuter die z'n zin niet krijgt. Geen aandacht voor de gebruikers of veiligheid, gewoon om te trollen. Bah.
Reageer
Ryunoru @segil11 juni 2026 13:36
https://www.theregister.com/security/2026/06/10/nightmare-eclipse-publishes-new-windows-defender-zero-day/5253725

Lees het verhaal achter zijn vete maar even, dan begrijp je dat het geen trollen of kleutergedrag is. Hij deed bug reports, Microsoft negeerde deze doelbewust en verwijderde zijn account, zodat hij geen bounty meer kon krijgen.
Reageer
Hans C @Ryunoru11 juni 2026 13:42
En geeft je dat dan het recht om naast degene met wie je een vete hebt ook anderen bloot te stellen aan risico's?
Reageer
R4gnax
@Hans C11 juni 2026 13:55
En deze bugs onbenoemd in Windows laten zitten stelt anderen denk je niet bloot aan risico's?
Nu ze wereldkundig zijn, is het even een paar dagen opletten, maar wordt MS gedwongen om e.e.a. te patchen en is daarna tenminste het risico weg.
Dat is wel de keerzijde waar je rekening mee dient te houden.

[Reactie gewijzigd door R4gnax op 11 juni 2026 13:56]

Reageer
segil @R4gnax11 juni 2026 14:13
Hij had ook gewoon een demonstratie kunnen laten zien zoals de meeste ethische hackers dit doen. Met de vraag aan MS om contact op te nemen. Of de bug via een ander bij MS aan te melden. Dan was je ethisch bezig geweest. Nu is het gewoon kleuter gedrag.
Reageer
_Pussycat_ @Hans C11 juni 2026 13:53
Ik kan het ergens wel begrijpen. En misschien dat MS hierdoor in de toekomst niet alleen 100 miljard aan AI uitgeeft, maar ook een paar centjes aan hun eigenlijke producten.
Reageer
SunnieNL
@Ryunoru11 juni 2026 13:51
Maar dat zijn wel zijn niet te verifieren woorden.
Reageer
segil @Ryunoru11 juni 2026 14:07
dus dan maar dit gedrag vertonen? Hij had ook gewoon een nieuwe bug kunnen aankondigen met een demonstratie, zonder code om er misbruik van te maken.

Uit jouw artikel:
But the big thing is not happening. I did not intend to spread a mass panic with that post and I apologize for doing so.
Blijkbaar dat 'ie zelf ook tot inkeer gekomen is.

[Reactie gewijzigd door segil op 11 juni 2026 14:12]

Reageer
Blokker_1999
@Ryunoru11 juni 2026 14:20
Er is geen verhaal bekend van wat er achter de vete zit.
Reageer
Hakker @segil11 juni 2026 13:38
Je kan er heel veel van vinden maar Microsoft verdient ook verre van de schoonheidsprijs in deze hele kwestie.Het loopt de man actief zijn leven moeilijker te maken en dan ben je als bedrijf ook gewoon laag gezakt.
Reageer
segil @Hakker11 juni 2026 14:08
is dat alleen zijn kant van het verhaal, of is dat geverifieerd met anderen die erbij betrokken zijn?
Reageer
Itrme @segil11 juni 2026 13:49
Ik vind het wel meevallen, nu de exploits publiekelijk bekend zijn MOET Microsoft er iets mee. In plaats van een "we weten er van en we fixen het ooit wel eens". Liever dat zo iemand het online zet en Microsoft aanspoort de lekken te dichten, dan een andere hacker die er stilletjes gebruik van maakt.

Blijkbaar vond Microsoft (als ik het verhaal van de oorzaak van de ruzie moet geloven) het niet zo heel spannend, die kwetsbaarheden. En toch zijn de patches nu beschikbaar en zijn veel bedrijven/organisaties druk aan het patchen.

Helemaal die bitlocker omzeiling is gewoon kwalijk, als er een laptop gestolen wordt, komt die meestal nooit meer online. Dan had je nog geluk als hij in ieder geval gebitlockered was, want dan is evt data op de laptop niet zomaar toegankelijk. Met dit soort beveiligingslekken is dat nog maar de vraag.
Reageer
Bongoan 11 juni 2026 13:26
Mixed feelings hierover. Vooral de verhalen eromheen, dat Nightmare-eclipse toegang tot Github was ontzegd, maar ook dat hij/zij direct na een patch-ronde nieuwe lekken met exploitcode online zet.

Uiteindelijk zijn de "gewone" bedrijven en mensen slachtoffer van dit hele verhaal.
Reageer
wiseger
@Bongoan11 juni 2026 13:50
Of niet. Want als anderen ook deze exploit hadden gevonden, dan waren de gewone bedrijven en mensen ook kwetsbaar. En dan zou die kwetsbaarheid duren totdat iemand het exploit zou melden. Nu neemt Microsoft er kennis van en kan meteen in actie komen om een patch te maken om die z.s.m. te releasen.
Reageer
Bongoan @wiseger11 juni 2026 13:54
Normaal wordt de exploitcode niet openbaar toegevoegd dacht ik. Dus dan was dit nog steeds gemeld, maar dan had alleen Microsoft de exploitcode om het aan te pakken (correct me if I'm wrong).
Reageer
GertMenkel
@Bongoan11 juni 2026 14:32
Ja en nee. Ja, criminelen kunnen hiermee aan de haal, maar aan de andere kant kunnen antivirusbedrijven hier direct definitions voor maken. Als dat via Microsoft moet gaan, is dat toch weer een slag langzamer.

Het openbaren van exploitcode gebeurt lang niet altijd, bij coordinated disclosure is het over het algemeen is het aan de onderzoeker om te bepalen of die dat wil of niet. Als je een hele slimme exploit gemaakt hebt en de patches uit zijn, kan het geen kwaad om je vaardigheden te laten zien, natuurlijk. Bij dit soort zerodays komt het niet zo vaak voor dat de details exact uitlekken. Echter, als je de code niet laat lekken en alleen details geeft, gaan kwaadwillenden ermee aan de haal en moeten antivirusbedrijven tegen hackers racen om hun definitions te ontwikkelen.

Ik denk dat men onder de streep in de praktijk veiliger is door alles openbaar te gooien in plaats van alleen maar een blogpost of onderzoek publiceren. Het mooiste zou zijn om met MS samen te werken, maar als ik de onderzoeker mag geloven, heeft MS niet heel veel interesse in samenwerking (en de beste persoon zelf is duidelijk ook niet echt vriendjes met MS).
Reageer
Blokker_1999
@wiseger11 juni 2026 14:20
Heel het punt van responsible disclosure is net dat het op een verantwoordelijke manier gebeurdt waarbij softwaremakers de tijd krijgen om het probleem op te lossen voordat deze openbaar wordt gemaakt. Dat kan hier dus niet meer. De POC wordt gewoon online gegooid en dat zorgt er net voor dat hackers het kunnen misbruiken terwijl het maken van een patch en dat goed testen gewoonweg tijd kost.

Niet alleen dat, maar wij systeembeheerders houden niet zo van out of band patching want dat gooit onze testing en release schemas en maintenance windows ook weer helemaal in de war.
Reageer
wiseger
@Blokker_199911 juni 2026 14:30
In dat kader is het wellicht ook niet zo handig van Microsoft om alle accounts van deze beveiligingsonderzoeker in te trekken. Daarmee verviel de mogelijkheid van responsible disclosure.

Maar goed, het exploit is nu bekend en kan gedicht worden. Wordt de wereld weer een klein stukje veiliger.
Reageer
GertMenkel
@Bongoan11 juni 2026 14:22
"Gewone" bedrijven krijgen gratis en versneld updates voor kwetsbaarheden die hackers net zo goed kunnen weten. Het is en blijft gratis patchwerk, al gaat dat wat soepeler als MS en de beveiligingsonderzoeker met MS samenwerkt.

Iemand als dit kan ook zijn exploits aan overheden en andere vage partijen verkopen. Dat levert een stuk meer op en zorgt ervoor dat je als eindgebruiker niet beschermd zal zijn tot Microsoft hier zelf een oplossing voor maakt.

Daarnaast kun je je aluminiumhoedje opzetten en je afvragen of Microsoft niet wil dat deze backdoors in Windows zitten, want het maakt het werk van de NSA/CIA/AIVD toch wel een stukje eenvoudiger. Door open kaart te spelen, wordt Microsoft nu gedwongen dit te repareren (of toe te geven dat ze dat niet willen/mogen), en is iedereens computer weer een stapje veiliger dan voorheen, hoe irritant de NSA dat ook zal vinden.
Reageer
NoTechSupport @Bongoan11 juni 2026 14:02
De developer is iemand die duidelijk een wat kinderachtige kijk op de wereld heeft en denkt dat de wereld op zijn manier moet draaien.

Dat MS niet heilig is, bureaucratisch en arrogant is zal ook wel.

Mijn gevoelens zijn niet gemengd. Er is niet overal een good guy. Soms zijn er twee bad guys en soms zijn er twee good guys en is er toch nog drama omwille van misverstanden.
Reageer
Indifstublatia 11 juni 2026 13:58
En dit is nou precies de reden waarom ik iedereen uitlach, echt letterlijk in hun gezicht, over hoe naïef ze zijn omdat ze zonder meer blind vertrouwen op Windows Defender.

Ik weet dat je je nooit 100% kunt beveiligen tegen exploits en loopholes, maar ik adviseer mijn omgeving en ook mijn oud-klanten (ik heb mijn bedrijf jaren geleden al verkocht en doe nu heel wat anders) om te allen tijde extra beveiligingssoftware te draaien naast Windows Defender.
Reageer
MneoreJ @Indifstublatia11 juni 2026 14:10
En nemen ze dat advies ook over van iemand de ze letterlijk in hun gezicht uitlacht? :P

Van sommige third-party beveiligingssoftware word je ook bepaald niet vrolijk, en daarnaast doet geen enkel stuk software iets tegen zerodays, daar zijn het zerodays voor. Defender is vast niet perfect, maar nog altijd beter dan niks -- en Windows heeft het heel wat tijd met niks moeten doen.
Reageer
Indifstublatia @MneoreJ11 juni 2026 14:35
en Windows heeft het heel wat tijd met niks moeten doen.
Wat !? Nederlands is moeilijk, ik weet het....

Edit:
Ja, daar doen ze wat mee ja. Ik heb jarenlang een cybersecuritybedrijf gehad, dus als ik hen in hun gezicht uitlach (spreekwoordelijk hé, begrijpend lezen is ook moeilijk schijnbaar), dan nemen ze het serieus van mij aan.

[Reactie gewijzigd door Indifstublatia op 11 juni 2026 14:37]

Reageer
MneoreJ @Indifstublatia11 juni 2026 15:05
Wat !? Nederlands is moeilijk, ik weet het....
Ik begrijp niet wat er moeilijk is aan deze constructie, maar ik wil het best herformuleren: Windows heeft heel lang geen Defender gehad, of wat voor beveiligingssoftware dan ook.
Ik heb jarenlang een cybersecuritybedrijf gehad, dus als ik hen in hun gezicht uitlach (spreekwoordelijk hé, begrijpend lezen is ook moeilijk schijnbaar), dan nemen ze het serieus van mij aan.
Kom kom. Als je zelf "echt letterlijk in hun gezicht" opschrijft moet je daarna niet zuur gaan reageren op iets waar nota bene een smiley achter staat, dan had je maar beter aan moeten geven dat het spreekwoordelijke rapen waren, om met Hans Teeuwen te spreken.
Reageer
Bartfloris @Indifstublatia11 juni 2026 15:09
[...]

Wat !? Nederlands is moeilijk, ik weet het....

Edit:
Ja, daar doen ze wat mee ja. Ik heb jarenlang een cybersecuritybedrijf gehad, dus als ik hen in hun gezicht uitlach (spreekwoordelijk hé, begrijpend lezen is ook moeilijk schijnbaar), dan nemen ze het serieus van mij aan.
*hè

Het is ook moeilijk...
Reageer
telenut @Indifstublatia11 juni 2026 14:11
Dit heeft helemaal niks met Windows Defender te maken....
De windows Defender zal de voorgecompileerde exe trouwens ook direct blokkeren.
Reageer
Rixter223 11 juni 2026 13:40
Ik ben benieuwd hoeveel zero days hij nog achter de hand heeft.
Reageer
pedra 11 juni 2026 13:41
Kan er even niet uithalen of dit een whitehat hacker is of kwaadwillend is. Dat hij een onderzoeker is zou wijze naar het eerste maar zijn handelingen naar het tweede
Reageer
fuzzyIon 11 juni 2026 13:41
Het is een flaw in de WinRE niet dat AES zelf gekraakt is.
Reageer
computerjunky 11 juni 2026 13:43
Ik mis wat er allemaal nodig is voord eze bugs om er gebruik van te maken. Is dat alleen internet of moet je fysiek bij de pc zijn of moet je bepaalde instellingen gebruiken.


Het klinkt vaak allemaal heel serieus maar puntje bij paaltje is het risico vaak nul omdat hetgeen dat nodig is nooit gaat gebeuren.
Reageer
TheekAzzaBreek 11 juni 2026 14:23
Het lijkt er op dat MS al een fix heeft uitgebracht.
Ik heb vanochtend de reguliere update binnen gekregen, maar zojuist een nieuwe update voor Defender gevonden.

(Er staat nooit bij welke CVE's opgelost worden, dus het kan om iets anders gaan)
Reageer
whyz @TheekAzzaBreek11 juni 2026 14:39
Klopt, defender pikt hem al op. https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-rogueplanet-zero-day-grants-system-privileges/
Reageer

Om te kunnen reageren moet je ingelogd zijn