Boze bughunter onthult zeroday in Windows, net na Microsofts patchronde

De securityonderzoeker die recent zerodaygaten in Windows onthulde, openbaart een nieuwe zeroday, compleet met exploitcode. De anonieme bughunter heeft een openlijke vete met Microsoft en publiceert nu net na de patchronde die eerdere zerodaygaten van de ontdekker dicht.

De nieuwe zerodaykwetsbaarheid, RoguePlanet, zit in Microsofts securitysoftware Defender. Aanvallers kunnen daarmee diepgaande systeemrechten krijgen op Windows. Het is de zevende zeroday die deze securityonderzoeker openbaar maakt, schrijft The Register. De bughunter, Nightmare-Eclipse, publiceert nu ook proof-of-conceptcode waarmee misbruik van het beveiligingsgat in Defender mogelijk is.

De exploit werkt niet altijd, want hij is afhankelijk van een zogeheten race condition. Daarbij vertoont software onvoorspelbaar gedrag als meerdere processen of threads tegelijkertijd proberen gedeelde data te wijzigen en op te halen. Nightmare-Eclipse schrijft bij de vrijgegeven code dat die wat wisselvallig is. "Ik kreeg een succesratio van 100 procent op sommige machines, terwijl hij [de exploitcode – red.] moeite had op andere systemen."

'Met aanpassing wél 100 procent'

De hacker meent dat de proof-of-conceptcode met aanpassingen betrouwbaar kan werken, maar hij geeft aan dat hij geen zin heeft in dat aanpassingswerk. Kwaadwillenden kunnen daar juist wél interesse in hebben. RoguePlanet is van toepassing op pc's met Windows 11 en Windows 10 die volledig zijn bijgewerkt.

De openbaarmaking van deze nieuwe zerodaykwetsbaarheid kwam enkele uren na Microsofts release van patches voor de maand juni. Daarin dicht de Windows-maker een recordaantal beveiligingsgaten, waaronder zes zeer ernstige. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat de kans op grootschalig misbruik van deze kritieke kwetsbaarheden groot is.

Aanvallers maakten eerder al misbruik van de zerodaykwetsbaarheden RedSun, UnDefend en BlueHammer van Nightmare-Eclipse. Voor die drie gaten gaf de ontdekker ook werkende exploitcode vrij. Microsoft patchte deze zerodays vorige maand en de patchronde van juni brengt updates voor GreenPlasma, MiniPlasma en YellowKey. Met die laatste kunnen computerdieven de BitLocker-encryptie in Windows omzeilen.

Openlijke vete

Nightmare-Eclipse dreigde eerder al meer ontdekte zerodays vrij te geven. De ernstigste daarvan zou op 14 juli komen. Voor de zes die tot nu toe zijn onthuld, biedt Microsoft al patches. Het bedrijf keurt de openlijke onthulling af en haalde uit naar 'onderzoekers die kwetsbaarheden verkeerd melden'. Daarbij leek Microsoft een breed juridisch dreigement te uiten, maar het nuanceerde dat later.

De openlijke vete van deze securityonderzoeker met Microsoft zou voortkomen uit afwijzing door het beveiligingsteam van de Windows-maker. Nightmare-Eclipse meldde naar eigen zeggen kwetsbaarheden, maar zou daarvoor geen erkenning of beloning hebben gekregen. Daarbij zou Microsoft zelfs bedreigingen hebben geuit. De diepgaande kennis van Windows die blijkt uit de gevonden gaten voedt online rondgaande speculatie dat de bughunter een voormalig Microsoft-medewerker zou zijn.

Security/Hackers/Hack. Bron: Curly_Photo/Moment/Getty Images
Security/hackers/hack. Bron: Curly_Photo/Moment/Getty Images

Door Jasper Bakker

Nieuwsredacteur

11-06-2026 • 13:21

177

Submitter: Tribits

Reacties (173)

173
170
121
4
0
32

Sorteer op:

Weergave:

Naast deze privilege escalation vulnerability, heeft hij ook vanochtend een Bitlocker bypass gepubliceerd: https://github.com/MSNightmare/GreatXML
Hier zit wel een conditie aan dat er ooit een offline scan van Defender gerund moet zijn, maar indien dat gedaan is (of gedaan wordt door de aanvaller zelf) dan kan Bitlocker omzeilt worden.
Nuance:
Dit soort bypasses werken vaak alleen als er geen BitLocker PIN benodigd is om het systeem op te starten. Sowieso wordt dit afgeraden door Microsoft.
Ik ken echt niemand die een pin zal instellen op bitlocker, en dit krijg je ook maar in weinig bedrijven verkocht vrees ik...
Dan ken je de verkeerde mensen. Zelf heb ik al sinds minstens 15 jaar een PIN geïntroduceerd bij alle bedrijven waar ik kwam, voorheen met bijvoorbeeld Sophos Safeguard en sinds enige jaren met Bitlocker. Het is, mijn inziens, de enige manier om data echt te beschermen op een device. Vervelend dat de hardware verloren gaat bij bijvoorbeeld een diefstal, de data is veel waardevoller en dient zo goed mogelijk beschermd te zijn.
Zoiets krijg je echt wel niet verkocht in een ziekenhuis vrees ik. Of heb je ook zo een klanten?
Ik verwacht niet dat een werkplek in een ziekenhuis veel data bevat. Ik ga er een beetje vanuit dat de meeste (hopelijk alle?) data in centrale systemen staat?

Buiten dat. Rebooten ziekenhuizen hun werkplekken dan zo vaak, dat dit belemmerend werkt?

[Reactie gewijzigd door lenwar op 11 juni 2026 17:24]

Zelfs al rebooten ze zelden, hoe wil je die PIN geheim houden? Mensen schrijven hun wachtwoord al op Post-it's; de pin van de PC in behandelkamer 2 gaat al helemaal opgeschreven worden, want dat is maar 1 van de tientallen PC's waar men aan werkt.
Dat maakt voor dit niet uit. Dit soort ‘hacks’ werken alleen als je geen PIN hebt ingevoerd. Als je PIN 0000 gebruikt, die op een sticker op de desktop zet, dan werkt de exploit niet meer. Je bent alleen een deel van de toegevoegde waarde van bitlocker aan het passeren (tot het niveau dat het zonder PIN is.)

[Reactie gewijzigd door lenwar op 12 juni 2026 08:35]

Er van uit gaan dat een werkplek in een ziekenhuis niet veel data bevat is een vreemde aanname. Wanneer een werkplek gecompromitteerd raakt is dat voor een hacker een startplaats voor de rest van het netwerk..
Het gaat hier om schijfversleuteling. (Bitlocker.) dus over de lokale data. Wat jij beschrijft is weer een ander iets, en daar heb je natuurlijk gewoon gelijk in.
Wat doet de branche ertoe? Devices die data bevatten dienen gewoon encrypt te zijn. Je kan mij niet vertellen dat een device van een ziekenhuis data bevat en als dat wel zo is dat er geen aanvullende maatregelen genomen zijn om diefstal te voorkomen. Bitlocker (met PIN) is niet de enige methode om data te beveiligen.
95% staat centraal en lokaal draait BitLocker...indien er een dat cliënt staat, maar dat is minder dan 2% van alle stationen.
Mijn ervaring is dat juist in ziekenhuizen veel data lokaal staat. Ik heb 5 jaar geleden ongeveer de SharePoint on-prem omgevingen van ongeveer 4 ziekenhuizen beheerd (ivm de privacy/security ga ik niet zeggen welke ziekenhuizen het zijn). Bij alle 4 werden de lokale OneDrive folders gesynchroniseerd en alle data was lokaal benaderbaar. Denk dus aan alle patient data van de patiënten die bij die afdeling thuis horen enzo. De reden dat dit gedaan werd is omdat ik elke maand de maandelijkse SharePoint patches moest installeren, daarbij kon ik niet garanderen dat de SharePoint sites bereikbaar bleven tijdens het installeren van de patches. Ik deed het uiteraard wel in de avond maar een ziekenhuis draait ook in de avond door. Dus zorgde ze ervoor dat alle patient data van de afdeling was gesynchroniseerd en offline beschikbaar was.

Ik weet echter niet hoe de pc's en laptops waar deze gevoelige data op kwam te staan beschermd waren aangezien ik alleen het technisch beheer van SharePoint uitvoerde.
Jawel. (Spreek uit ervaring.)
Juist in een ziekenhuis krijg je dat weer makkelijk verkocht. Juist een ziekenhuis heeft veel gevoelige data en zal dus sneller luisteren naar methodes om data goed te beschermen.
in een ziekenhuis horen patientendossiers te staan op een centraal systeem niet op de laptops van medewerkers 🤷🏻‍♂️.

Dus ik begrijp @telenut , want dit zijn eigenlijk gewoon terminals waar er zorgmedewerkers 100-den keren per dag aan en af loggen. De beveiliging ligt dus op een andere laag aangezien veel van deze laptops gedeeld worden tussen collegas

[Reactie gewijzigd door klakkie.57th op 11 juni 2026 17:18]

In theorie misschien, maar je 'weet hoe dat gaat'.

Als je in het patiëntendossier zit, blijft er vaak iets achter in de browsercache. Of iemand kiest 'opslaan als PDF' omdat diegene het even snel op het bureaublad toegankelijk moet hebben om welke reden dan ook. Tuurlijk, dat kan je allemaal verbieden, dichttimmeren et cetera. Maar mensen vinden altijd manieren, er blijven altijd sporen achter en het kan ook frustrerend werken soms als echt álles dicht zit. Want niet opslaan als PDF in de ene website, betekent dat dan ook vaak voor de andere.

Daarom: zorg dat die EPD-portal alleen werkt vanaf die werk-laptop (en niet vanaf elke willekeurige pc in iemands huis) en versleutel op een goede manier de hele harde schijf. Dan vang je alle edge-case af, hoeft de computer functioneel iets minder dicht te zitten en is iedereen blij, toch?
In Cybersecurity vertrouwd men niet op slechts 1 laag van beveiliging.
Zo lang er kosten gemaakt moeten worden zal er altijd iemand kosten baten moeten maken.

En als de persoon van mening is dat kosten te hoog zijn het verder geen toegevoegde waarde is voor het bedrijf. Zal je pas gelijk krijgen als er daadwerkelijk iets gebeurd.
Het zou moeten, de praktijk lijkt jammer genoeg je tegen te spreken.
Het lijkt me juist zeer wenselijk dat als apparaten met persoonsgegeven erop kwijt raken, ze niet meer te gebruiken zijn voor anderen.
In ziekenhuizen wordt vooral gebruik gemaakt van shared devices die met een kensington lock vastzitten aan een bureau. Shared devices en een pre-boot pin is geen gelukkige combinatie.

Persoonlijke devices, die in een ziekenhuis vaak alleen op management niveau gebruikt worden, kunnen ook daar prima met een pre-boot pin voorzien worden.

Belangrijkste is dat er beveiliging is, al dan met een fysiek slot of software matig.
Nee, dat heeft hij enkel beweerd. Maar tot op heden zonder bewijs.
Bij ons heeft elke laptop een PIN gekoppeld aan de TPM (en dat gaat om zo'n 100.000 machines).
Opgepast: Windows Hello (for Business) met PIN voor aanmelden op Windows is iets anders dan een pre-boot PIN voor bitlocker ontgrendeling.

Misschien bedoelde je toch pre-boot PIN code, dan mijn excuses dat ik reageer op jouw bericht.

Maar in het MKB / KMO landschap ken ik niemand die een pre-boot PIN gebruikt.
Ja wij gebruiken preboot pin. Dat blauwe scherm. We hebben ook wel de Hello pin voor aanmelden als optie. Maar die is niet verplicht. En bovendien additioneel. De preboot pin is wel verplicht. En wordt afgedwongen.

Maar we zijn ook niet bepaald MKB :)

[Reactie gewijzigd door Llopigat op 12 juni 2026 01:58]

Verschillende grote overheidstakken hebben standaard een PIN op de bitlocker voor alle ambtenaren. Alleen dat zijn al tienduizenden mensen.
Ik weet zelf van verschillende bedrijven (commercieel en semi-overheid) die het vereisen. Dit is een beslissing waarbij minder "wat gebruikers graag willen" meespeelt en meer "wat moet".

[Reactie gewijzigd door The Zep Man op 11 juni 2026 14:46]

Ik ken eigenlijk geen enkel serieus bedrijf dat geen pincode op bitlocker afdwingt op de Windows laptops. Nu zit ik wel vooral bij Enterprise klanten en niet bij MKB.
De bedrijven waar ik gewerkt heb is de pin verplicht, al jaren.
Hoeveel ervaring heb jij dan bij bedrijven als je denkt dat een pin op bitlocker moeilijk te verkopen is?

Eén keer per dag een pincode ingeven is echt heel weinig overlast voor de medewerkers. Als er nou iets juist makkelijk te verkopen is, dan is het dat wel.
De meeste doen het niet omdat het veel onnodige supportvragen oplevert of te weinig toevoegd want men gebruikt dan dezelfde code als elders.
De meeste banken hebben een verplichte pin op Bitlocker.
Nuance: dat is de standaardmanier en dat is hoe 99% zal draaien gok ik...
Bitlocker heeft jarenlang standaard uitgestaan in Windows, zelfs als je voor Pro betaalde. Als je geüpgrade bent, krijg je niet opeens versleuteling door je strot gedrukt. Ik denk daarom niet dat de meeste gebruikers er erg in hebben.

Bedrijven zullen hopelijk hun zaken beter op orde hebben en privacybewuste particulieren zullen hopelijk iets als Veracrypt gebruiken of op zijn minst een TPM PIN. Het blijft slordig natuurlijk, maar ik vraag me af of er hier serieuze problemen voor mensen zullen ontstaan.
of op zijn minst een TPM PIN
Eigenlijk alle bedrijven die ik ken en waar ik in de keuken kan kijken hebben gebruiken bitlocker met TPM unlock door middel van attestation. Ik heb nog nooit een bedrijf gezien wat een PIN gebruikt voor de TPM.
Vele bedrijven vereisen gewoon dat de PIN gezet wordt. Al moet MS dat ook wel eens verbeteren, want het zetten van een initiele PIN vereist dan weer admin rechten, wat de gemiddelde gebruiker ook niet heeft.
Klopt, en een Bitlocker zonder PIN is voor mij een nutteloze Bitlocker. Dan zit er echt 0 waarde aan om het toe te passen.
Onderbouw dit dan ook even.

Als jij een schijf met bitlocker encryptie vindt kun je deze dan ontgrendelen. Indien dit kan is bitlocker geen goeie encryptie.

Dat de CIA /MOSSAD dit wel kan daar twijfel ik sowieso niet aan en dan helpt die pincode ook niet.
Dat is toch simpele logica?

Hoe vaak vind jij schijven op straat? En hoe vaak wordt een losse schijf gestolen? Met de PIN aan is deze schijf ook gewoon beschermd.

Wat er wel gestolen wordt zijn laptops, en als de laptop en schijf bij elkaar blijven en Bitlocker geen PIN heeft dan is de data niet veilig en kan elke idioot gewoon in de laptop komen met alle gevolgen van dien.

Ofwel, zonder PIN is het een fake veiligheid die enkel in zeer zeldzame gevallen een bescherming biedt.
Hoezo ? kan iemand in een laptop komen zonder paswoord ? Als je het paswoord kent is de pin ook maar een koud kunstje om te bemachtigen lijkt mij 🤷🏻‍♂️

Je hebt sowieso een policy die voorkomt dat je oneindig kan proberen.
Een Windows wachtwoord kraak je in seconden. Dat is op geen enkele manier een beveiliging te noemen. Uiteraard enkel als je de machine fysiek in handen hebt.

De PIN code van Bitlocker werkt op een hele andere manier, dat is "geen koud kunstje". Er zijn, voor zover ik weet, op dit moment geen methodes bekend om deze te achterhalen. Je kan natuurlijk een soort dictionairy attack proberen, maar dan moet je wel heel veel geluk hebben.

De PIN code van Bitlocker zorgt ervoor dat de encrypted schijf beschermd is. Met de juiste PIN code (of recovery key) kan je de schijf toegankelijk maken. Dat zit dus voor Windows.
Ik leer graag bij? hoe kraak jij een windows AD paswoord in seconden? Mijn zoektocht op het internet levert alvast niet meteen een resultaat op.

Most “seconds hack Windows” videos rely on:
  • No BitLocker
  • Or already unlocked sessions
  • Or weak local accounts

[Reactie gewijzigd door klakkie.57th op 12 juni 2026 12:42]

Sorry, ik denk niet dat dit de plek is om dat soort informatie te delen.
Ben wel benieuwd naar de vete waarin hij verkeerd met MS.
Microsoft schijnt al tijden meerdere securityonederzoekers tegen zich in het harnas te werken door bug bounties te beloven; vervolgens de bug te patchen en na lange tijd stilte ineens te zeggen "Sorry de bug was niet belangrijk genoeg om voor de bug-bounty in aanmerking te komen". Daarnaast schijnt Microsoft laks te zijn met het fixen van deze bugs terwijl ze nog niet openbaar zijn. Soms zelfs jaren het op z'n beloop laten.

Het vermoeden is dat Nightmare-Eclipse hier ook (meerdere keren) de dupe van is geworden en nu dus alle bugs direct te openbaren zonder Microsoft de kans te geven het te fixen.

[Reactie gewijzigd door FricoRico op 11 juni 2026 14:14]

Zie ook deze video van #theprimeagen YouTube: "We will ruin your life" -Microsoft
En uit die video 3 bronnen van andere developers die ook genaaid zijn door het microsoft bug bounty programma. Dit is niet de eerste keer, of enige persoon.

https://x.com/podalirius_/status/2059892083029069929
https://x.com/GabrielLandau/status/2059990548337828090
https://www.linkedin.com/...han-you-think-amit-yoran/

[Reactie gewijzigd door NESFreak op 11 juni 2026 14:06]

Die eerste is vooral gewoon iemand die niet blij was dat zijn bug niet als ernstig werd beschouwd. Dat het een maand later gefixed is in Canary zegt bitter weinig over de noodzaak ervan. Sterker nog; dat hij specifiek Canary moet noemen lijkt Microsoft's argument juist te bevestigen dat dit geen dringend probleem was, anders had het wel in de Betas of Release Previews gezeten.

Die laatste is gewoon nietszeggend. Het feit dat ze er een deelse fix voor uitrollen lijkt te insinueren dat het helemaal niet zo makkelijk op te lossen was. Dat het dan 4 maanden duurt om een goede fix te vinden... tja, jammer, maar dat kan gewoon. En laten we nu niet doen alsof Google's Project Zero ook maar de schijn probeert te wekken dat het objectief is.
Ik mis een beetje in het verhaal waarom hij boos is?
Nightmare Eclipse (aka Chaotic Eclipse) is a disgruntled bug hunter with a deep understanding of Windows and an even deeper grudge against Microsoft. They claim to be an ex-employee, and accuse Redmond of ignoring vulnerability reports and refusing to communicate with them.

"When I actively asked you to communicate with me, you refused, humiliated me and made sure to insult me in front of people," they wrote in an earlier blog post that also promised a “bone shattering” drop on July 14. 

"You defame me in public with your CVE-2026-45585 advisory even though you literally deleted the Microsoft account I used to report bugs to you with and I got zero pennies from doing so and I still happily did like an idiot," the post continued.
https://www.theregister.com/security/2026/06/10/nightmare-eclipse-publishes-new-windows-defender-zero-day/5253725

Lang verhaal kort: Hij deed bug reports richting Microsoft, maar werd genegeerd, en op een gegeven moment werd zijn account zelfs van het platform verwijderd. Voor zijn bug reports kreeg hij geen rooie cent van Microsoft.

[Reactie gewijzigd door Ryunoru op 11 juni 2026 13:34]

Het zijn wel uitspraken die lastig zijn te verifieren omdat hij er geen bronnen bij zet. Het is niet te controleren op deze manier of wat hij zegt ook klopt. Geef dan gewoon je gebruikersnaam van het account wat is gewist, dan kunnen we het terugzoeken.

Nu is het uit de lucht schreeuwen dat ze je 'mishandelt' hebben, zonder bewijs te leveren. Gezien hij zegt dat hij op dit moment nog niets naar buiten mag brengen (volgens eigen woorden), verwacht ik dan toch dat hij ergens een NDA heeft getekend die op 14 juli afloopt.

We gaan het zien over een maand. Maargoed, hem op zijn woord geloven is lastig als je op 23 mei schrijft dat je in juni niets released en dat dan toch doet.
edit:
Hij geeft blijkbaar in een post van 9 juni aan dat hij 14 juli niets meer gaat vrijgeven, omdat alles te veel energie heeft gekost. Nightmare Eclipse: Regarding July 14th

[Reactie gewijzigd door SunnieNL op 11 juni 2026 13:53]

Ik denk dat het publiceren van deze exploits terwijl ze als private zero day extreem veel waard zijn genoeg bewijs is dat hij de waarheid verteld. Misschien is het wat minder erg als hij doet lijken maar als je liever kiest om Microsoft zo voor schut te zetten dan er tonnen geld voor te krijgen dan doe je dit met een bepaalde reden.
Er zijn meedere redenen te bedenken maar de meest voor de hand liggende reden is de wens Microsoft schade te berokkenen. Daar is niets novels aan. Dit persoon brengt de systemen van veel mensen moedwillig in gevaar.
Maar dat is toch niet wat Kuurtjes zegt?
De afgelopen jaren regent het klachten over hoe Microsoft meldingen van ernstige kwetsbaarheden afhandelt. Ik lees de laatste tijd op LinkedIn de ene na de andere schofterige handelswijze waarbij het steeds op hetzelfde neerkomt: De melder krijgt de credits niet en krijgt ook de bounty niet. Er zijn inmiddels best een paar gerenommeerde MVPs die hierover aan de bel getrokken hebben maar MS wijzigt tot op heden de koers niet. Ik hoop dat deze aanpak wel leidt tot resultaat. Want mensen een worst voorhouden wanneer ze een bug melden en dan vervolgens de melding negeren, niet betalen maar wel stiekem de bug fixen is niet zoals het hoort.
Als er een bugbounty programma is en je wordt afgewezen omdat het niet urgent genoeg is, dan breng je dus de systemen van veel mensen niet in gevaar. Is dus mijn redenatie vanuit Microsoft. “Het is niet gevaarlijk genoeg”.

Als het wel zo ernstig zou zijn, dan is het lullig dat je werk verricht en er niet voor betaald wordt. Voelt als een gevalletje David vs. Bigtech.
Als er een bugbounty programma is en je wordt afgewezen omdat het niet urgent genoeg is, dan breng je dus de systemen van veel mensen niet in gevaar.
Het gaat niet alleen om de redenatie vanuit Microsoft (die je hier zelf invult op basis van eenzijdige informatie vanuit een erg vocale hacker). Je kan als hacker zelf ook nadenken toch? Het kunnen ontgrendelen van een encrypted schijf is een risico; dat lijkt mij obvious. Heel veel mensen zijn absoluut niet blij met de publicaties op deze manier.

Hij schaad zo niet alleen Microsoft maar ook haar klanten.

Dit gaat wat mij betreft "ethisch" en "responsible" voorbij.

[Reactie gewijzigd door Bor op 12 juni 2026 09:14]

Sorry hoor maar in dit geval als hij gelijkt heeft en de bugbouty voor zijn neus voorbij ziet gaan zou ik hetzelfde doen.

Dan heeft MS het echt zelf verkloot en ook voor haar klanten en zeker niet de bug melder want hij is toch echt geen hacker, totdat hij zelf actief die zeros exploit.
de wens Microsoft schade te berokkenen
Dit soort zaken heeft meestal nog een onderliggende reden. Waarom wilt hij schade brengen? En dat verteld hij ook gewoon. Schade willen aanrichten is meestal niet de reden op zichzelf.

Wat ik persoonlijk denk is dat hij niet liegt. Want mocht het niet waar zijn wat hij zegt, dan zou Microsoft al lang publiek hebben gezegd dat hij liegt, en omdat ze dat dus niet doen en hem liever de boosdoenen doen lijken, lijkt het me dat hij de waarheid spreekt. Wie de waarheid spreekt hoeft immers niet te vrezen.

Andere redenen voor schade te willen maken lijken mij te ver gezocht. Politieke redenen? Dan zou hij wel de politiek erbij betrokken hebben. Nationale redenen (zoals een Russische anti-Microsoft campagne)? De schade door specifieke targets aan te vallen tegenover het publiek te maken gaat niet op. Discriminatie op het werk? Dan zou je daar toch iets over zeggen. Geld? Dan zou je ze gewoon op de zwarte markt verkopen. Echt gewoon schade willen maken om schade te maken? Dan ga je niet een verhaaltje verzinnen dat maar een klein beetje schade aan het imago van Microsoft aanricht.

Zoveel redenen vallen af met logisch denken terwijl de reden die hij opgeeft geldig blijft.
Het zijn wel uitspraken die lastig zijn te verifieren omdat hij er geen bronnen bij zet. Het is niet te controleren op deze manier of wat hij zegt ook klopt.
Je mag vaak geen uitspraken doen over lopende rechtszaken. Hij (m/v) schreef ook steeds dat hij niet kan wachten om meer te vertellen, alsof iets hem tegenhoudt. We weten het niet. Maar hij stopt er duidelijk wel energie in. De beveiligingslekken zijn in ieder geval geverifiëerd.
Dit is niet het eerste bericht over deze persoon. Het is al uitgebreider aan de orde geweest op Tweakers.

Lang verhaal kort, zijn gevonden issues zijn inderdaad issues, maar, ze zijn nogal zwakjes, voor de belangrijkste waar zijn boosheid zich rondom afspeelde, gaat het om een issue waar je als administrator bitlocker uitschakelen op een manier die niet hoort. Weliswaar een bug, maar niet een die wordt erkend als een zero day probleem, waardoor hij geen erkenning krijgt.

Oftewel typisch iemand die de drama queen speelt omdat hij geen aandacht krijgt en zich als een klein kind gedraagd.
Dit komt op mij over als een ex-werknemer die niet op goede voet vertrokken is en nu probeert dingen te forceren. Hij kan natuurlijk wel zeggen dat ze hem negeren, maar elk verhaal heeft twee kanten. Ze doen dit bij andere bughunters niet. We hebben te weinig info om er iets over te zeggen, maar dat hij dit net na de patchronde doet geeft ook wel kwaadwillendheid van hem aan. Zeer onverantwoordelijk!
Lees nog een keer , hij heeft to nu toe alleen nog maar gepatchte lekken ( mischien daarom gewacht ) openbaar gemaakt, ik denk dat dit veranderd als MS niet opschiet op 14 Juli

[Reactie gewijzigd door amigob2 op 11 juni 2026 15:05]

Ik heb het nog een keer gelezen. Ik kom tot de conclusie dat Microsoft in deze patchronde eerdere zerodaygaten -die tot deze patchronde exploitable waren- heeft gedicht. Deze nieuwe is na de patchronde gepubliceerd en is dus nog niet gedicht. Of ik moet het verkeerd lezen.
Brick by brick!!
offtopic:
Actueel elk verhaal heeft twee kanten grapje.
In dit geval zou ik gewoon opgeven en Microsoft niet meer helpen toch?
jammer dan als ze gehacked worden
Had de exploits verkocht aan bedrijven als Cellebrite of soortgelijke bedrijven. Zerodium bestond volgens mij niet meer. Maar genoeg partijen die je dik betalen voor zulke kwetsbaarheden.
Had de exploits verkocht aan bedrijven als Cellebrite of soortgelijke bedrijven.
Had ik ook willen zeggen maar is dit niet illegaal om te doen? (lijkt mij)
Grijs gebied. Maar dat is gewoon the way to go met dit soort dingen. Het liefst nog anoniem. Krijg je er wellicht 5-20k voor. Maak je er een complete werkende Remote Admin Tool suite van veranderd de zaak behoorlijk, Je kan er gemakkelijk enkele miljoenen mee verdienen door de exploit verborgen te houden en er een dienst van te maken in de vorm van een RAT. Heel illegaal, maar zeer lucratief.

Bedrijven betalen volgens mij ook tussen de 5-20k om een telefoon remote te laten hacken door bedrijven als Cellebrite en dergelijke.

[Reactie gewijzigd door killergrave op 11 juni 2026 15:21]

Best wel een kwalijke zaak. Niet alleen "simpele" gebruikers gebruiken Windows maar ook overheden en is het negeren van zoiets best wel een ding. Het bewijst maar weer eens de macht en arrogantie van de big tech bedrijven.
Let wel, dit is allemaal lastig tot niet verifieerbaar omdat de persoon in kwestie informatie achterhoud. Aan elk verhaal zitten meerdere kanten.
Dit herken ik. Ook ik heb ernstige fouten/bugs gemeld bij Microsoft waarmee ze vervolgens afwijzend omgingen. Er waren zelfs meerdere Forbes bedrijven die al een actieve exploit hadden.

Enige wat ik kreeg was een verwijt en schermende woorden.
Microsoft is wat dat betreft niets veranderd. Dit gedrag vertoonden ze in de vorige eeuw. Het is het recht van de sterkste die ze maximaal uitbuiten.
Ging toch ook omdat hij zaken publiceerde waarvoor nog geen fix was.
Ik weet niet wat precies gebruikelijk is in deze wereld, maar als er vergoedingen tegenover staan, dan lijkt me dat het ergens bekend is wat hier de procedures voor zijn en hoe er aanspraak op kan worden gemaakt. Als hij dat allemaal heeft gevolgd, de bugs valide zijn (dat zijn ze vgm), maar toch niet wordt uitbetaald, dan vind ik zijn kritiek op Microsoft terecht.

Maar als hij zomaar wat heeft ingeschoten, in de hoop daarna een keer te mogen horen dat hij er wat voor krijgt, dan vind ik het een stuk lastiger te verdedigen dat hier een vergoeding tegenover had moeten staan.
AuteurJaspB Nieuwsredacteur @lasharor11 juni 2026 13:48
Jij (en @PdeBie ) hebben een goed punt, dus heb ik nu nog een stukje toegevoegd over de vete.
Mja, Microsoft zal genoeg verkeer doen maar ik denk dat deze bughunter ook zelf niet helemaal ok is. Komt wel erg zuur en wraakzuchtig over.
JIj werkt volgens een "afspraak" dat je verdient per aangeleverd artikel X, de afnemer die die regels bepaalt vindt echter dat hetgeen je aanlevert artikel Y is dus je krijgt niet betaald. Ik snap het "wraakzuchtige" karakter wel want wat je niet ziet is het gierige c.q. niet integere gedrag van de afnemer eerder.
Dat is een kant van het verhaal. En nu doet hij het alsnog kosteloos, met heel veel schade voor partijen die er niets mee te maken hebben. Ik snap het wraakzuchtige niet, het is kinderachtig en niet zakelijk. Niet zelden iets wat je ziet als mensen zelf ook fouten hebben gemaakt en blind daarvoor zijn.
Jij doet alsof de wereld anders als men dit niet doet een eerlijk (zakelijk) speelveld is. Kinderachtig is maar net vanuit welk perspectief je het framed, zo zijn beide partijen in dezen gelijk kinderachtig. Being the better man tegenover een organisatie met miljarden heeft ook nul zin. Zonder negatieve actie volgt er vaak geen reactie.

En dan te bedenken dat dit vanuit hun eigen bug bounty programma voorkomen had kunnen worden mits ze deze gehonoreerd hadden. Dus wie heeft nou eigenlijk zich kinderachtig gedragen?

[Reactie gewijzigd door thomasv op 11 juni 2026 13:45]

Jij doet alsof de wereld anders als men dit niet doet een eerlijk (zakelijk) speelveld is. Kinderachtig is maar net vanuit welk perspectief je het framed, zo zijn beide partijen in dezen gelijk kinderachtig. Being the better man tegenover een organisatie met miljarden heeft ook nul zin.
Nee dit heeft veel zin. Het komt mij heel erg uit dat iemand zijn gelijk koste wat het kost wil halen. En de vraag is maar of hij gelijk heeft, we kennen domweg het hele verhaal niet.
Je kent wel het resultaat, dat is veelzeggend en gaat verder dan "de vraag is maar of hij gelijk heeft". Want anders was het geen zero-day waarover gerapporteerd werd. Juist omdat er geen financieel incentive is om zoiets te doen, want het is "career suicide" om dit soort zaken op zulke manier naar buiten te brengen.

[Reactie gewijzigd door thomasv op 11 juni 2026 13:55]

Microsoft is hier degene die schade aan het veroorzaken is. Dit is niet de eerste 'disgruntled' bounty hunter en zal ook niet de laatste zijn.

Van Microsoft verwacht je profesionaliteit, alleen uiten ze dat niet.

Dit is een verpiswedstrijd tussen 2 gebotste ego's.
Ik vind dat nogal kort door de bocht. Microsoft krijgt 10-tallen al niet meer meldingen per dag die ze moeten uitzoeken. Daarin kunnen ook fouten worden gemaakt die je dan met elkaar kan bespreken. Ook heeft microsoft bepaalde processen die je moet volgen hiervoor. Daarin kan Microsoft ook besluiten (om willen van tijd, development uren) dat zaken tijdelijk niet direct naar buiten worden gebracht.

Het lijkt erop dat hij verwachtte dat Microsoft dit heel hoog zou inschalen en gelijk zou oppakken en hem groot zou belonen. Toen dat niet gebeurde, of Microsoft het mogelijk lager inschatte, dat hij toen maar is gaan stampen om zijn zin te krijgen.

Probleem is, elk verhaal kent 2 kanten. Die van hem is deels duidelijk, want helemaal open is hij er niet over. Dat zou hij 14 juli doen, maar dat heeft hij ondertussen weer ingetrokken omdat hij "moe" is (wat die toch redelijk aan zichzelf te danken heeft door het nu op deze manier aan te varen). De kant van Microsoft is duidelijk "wij hebben hier bepaalde processen voor om te volgen". Dat is een vrij zakelijke uitspraak, waarmee ze hem absoluut niet publiekelijk hebben geshamed in mijn ogen. Dat heeft hij echter wel zo opgevat als je zijn blog leest.

Ook de melding dat microsoft stilletjes zaken heeft opgelost is niet waar. Als je de CVE nummers bij Microsoft volgt, staat daar vrij duidelijk in dat deze problemen zijn opgelost in update van mei of van juni. Niets stilletjes opgelost, gewoon gedocumenteerd bij uitbrengen van de patch.

Wat ik tot dusver ziet, spreekt niet heel positief uit over de melder, in mijn ogen.
Toch had Microsoft hier anders op kunnen treden i.p.v. op hun eigen pik getrapt te worden en olie op het vuur te gooien door het conflict te escaleren.

Sorry, maar van zo'n random bobo verwacht ik geen profesioneel gedrag en is kinderachtig gedrag 'binnen het te verwachten patroon'. Van Microsoft mag je IMO betere verwachtingen hebben.
Waarom zou Microsoft anders moeten reageren op wat voor hun de zoveelste egocentrisch bounty hunter zou zijn die denkt dat hij het lek van het decenia heeft gevonden? Dat is geen werken, en daarvoor bestaan de processen die ze intern hebben juist.
Als die gevonden exploits niet zo belangrijk zijn. Waarom is het releasen van die exploits dan zo'n probleem?

Tja. Blijkbaar is Bitlocker omzeilen groter dan gedacht. Nu strooit meneer met nog een stapeltje vrij serieuze exploits en eigenlijk alleen maar omdat Microsoft de bug schijnbaar niet belangrijk genoeg vond om te fixen, meneer flipt, microsoft gaat met bans strooien.

Dit is geen nieuwe of unieke situatie. Een groot gedeelte van deze drama had voorkomen kunnen worden als Microsoft de grote man was geweest in het verhaal.

Maar wat ik hier allemaal uit opvang, is het een gevecht van ego's. Allemaal prima, dit is wel het resultaat, ongepatchde exploits liggen op straat. En als dat het resultaat is van je "interne processen" dan kloppen je interne processen niet.
Omdat Microsoft miljarden aan dollars tegen te plinten heeft klotsen en duizenden engineers? Toch echt van een andere orde dan een random persoon. Communicatie is ook weer niet zo heel moeilijk.
Omdat het erop lijkt dat deze jongen toch wel wat leuks vindt, zo her en der. Dit is niet z'n eerste bug, en gezien hij er het nieuws mee haalt (en niet wordt uitgelachen door andere security-experts) is het soms handiger om toch iets meer overleg te voeren, zelfs al is de andere kant totaal geschift. Nu is het wederom een blooper voor Microsoft, en ga je je weer eens afvragen hoeveel meer gaten er nog in zitten (en misbruikt worden door mensen met minder ego, en meer stoute neigingen).
Ik snap het wraakzuchtige niet, het is kinderachtig en niet zakelijk.
Moet alles dan volwassen en zakelijk?

En dan wel opmerkingen als dit plaatsen (heel volwassen en heel zakelijk, niet natuurlijk!):
maar ik denk dat deze bughunter ook zelf niet helemaal ok is.
Niet zelden iets wat je ziet als mensen zelf ook fouten hebben gemaakt en blind daarvoor zijn.
Grappig dat je daarop speculeert/suggereert, maar als een ander speculeert/suggereert dat je dan zegt 'ja maar we weten het niet' om het in het midden te houden :P

PS en ja ik ben ook kinderachtig (bezig), heb ik geen enkel probleem mee!

[Reactie gewijzigd door watercoolertje op 11 juni 2026 14:14]

Er is geen afspraak, het is niet alsof je vooraf een contract aangaat met Microsoft. Jij vindt een bug en bent van mening dat het ernstig is en dat er een bepaalde beloning tegenover staat. Microsoft heeft een andere mening. Dat moet je weten dat dat kan gebeuren.

Neen, hier moet meer zijn gebeurd, maar zolang we niet te horen krijgen wat, hebben we een eenzijdig verhaal waar niet veel over te zeggen valt.
Er is geen afspraak, het is niet alsof je vooraf een contract aangaat met Microsoft. ...
Daar waren de aanhalingstekens ook voor.

[Reactie gewijzigd door thomasv op 11 juni 2026 14:22]

Microsoft heeft hem gebanned, hij kan het nog geen eens meer melden. Dan maar zo :-)
Als de titel van het bericht begint met 'Boze', verwacht ik in het artikel ook te lezen waarom iemand boos is.
Blijkbaar niet relevant genoeg voor in het artikel, maar wel gebruiken voor clickbait..

[Reactie gewijzigd door evmmb op 11 juni 2026 13:32]

AuteurJaspB Nieuwsredacteur @evmmb11 juni 2026 13:50
Het was toch wel relevant voor in het artikel, maar ontbrak in eerste instantie (omdat ik al tikje was uitgeschoten qua lengte en misschien nam ik onbewust aan dat de voorgeschiedenis al beetje bekend is?). Nu alsnog toegevoegd.

Dank voor je kritische blik!
Uitgeschoten qua lengte? Het leest juist lekker weg. Soms is een berg aan info juist fijn en dit is dus zo'n artikel.

Laten we wel wezen, artikelen als deze werken als een soort Privé voor nerds. :+
AuteurJaspB Nieuwsredacteur @bazs200012 juni 2026 21:25
Haha, dank voor het complimentje. (Maar voor een nieuwsartikel is dit tikje aan de lange kant. Hoewel de achtergrond (en het ... onderliggende drama?) wel wat woorden vereisen, ja.)

👍
Hij werkte eerst samen met Microsoft en gaf exploits door. Maar die exploits werden als gewone bugs bezien (waardoor hij niet betaald werd) en dus heeft hij ze maar gereleased. Microsoft heeft hem daarop een onterechte ban gegeven en nu krijgen we dus deze leuke vete.
Maar die exploits werden als gewone bugs bezien (waardoor hij niet betaald werd)
Als dat zo is, dan heeft MS dus ook geen poot om op te staan. Want ze hebben dan zelf aangegeven deze issues niet als security issue te zien, en dus vallen ze derhalve ook niet onder responsible disclosure etc. waarmee zij de tegenaanval in hadden gezet.

Dat kwartje zal wss. ook snel geneg gevallen zijn binnen Microsoft's legal afdeling, wat een rol zal hebben gespeeld in het latere matigen van hun toon.
Er zijn meer redenen waarom Microsoft een lagere of geen uitbetaling zou doen. Als een bug al bekend was bij hen bijvoorbeeld of teveel lijkt op een eerder gerapporteerd probleem. Voor hetzelfde geld heeft deze persoon gewoon bugs geraporteerd waar Microsoft al van op de hoogte was (misschien zelfs van een andere bounty hunter) en dan grijpt deze er gewoon naast.
Als een bug al bekend was bij hen bijvoorbeeld of teveel lijkt op een eerder gerapporteerd probleem.
Daarom ook: "Als dat zo is" cq. als het dus is dat Microsoft, zoals door kuurtjes gesteld, eerder aangegeven had deze bugs niet als security issue te zien.
En ook waarom hij daarom de gebruikers voor de trein gooit, want die zijn er meer de dupe van dan Microsoft.
De exploit code verkopen op de zwarte markt is pas gebruikers voor de trein gooien. Dat hij/zij dat niet heeft gedaan is een teken dat er met deze persoon nog wel te praten valt. Ik vind eerder dat Microsoft haar gebruikers voor de trein gooit eigenlijk.
Ik vind het puur uit wraak openbaar maken van de exploit code niet anders dan er op het dark web geld mee willen verdienen. In beide gevallen kunnen kwaadwilligen het direct inzetten.
Ik ook, het zou interessant geweest zijn om dat in dit artikel terug te lezen. Als benoemd wordt dat deze persoon een vete heeft met Microsoft, dan is de context wel handige informatie om te beseffen waarom deze persoon dit doet.
AuteurJaspB Nieuwsredacteur @JBVisual11 juni 2026 13:51
Terechte comment (van jou en anderen), dus heb ik nu alsnog een stukje hierover toegevoegd.
Zou zo iemand niet een aanwinst zou kunnen zijn voor Microsoft? Indien z'n claims zouden kloppen is er misschien bij microsoft iemand nodig die zo verregaande kennis heeft van nog niet erkende vulnerabilities.
Doorgaans neem je geen personen aan die niet betrouwbaar lijken te zijn, ongeacht zijn skillset. Dat hackers soms in dienst komen van klopt maar dat zijn wel de uitzonderlijke en zeldzame gevallen.
Dat wordt ook gedaan door Microsoft, met dezelfde reden als waarom journalisten worden aangenomen. Een getekende NDA.
Volgens de bughunter, hij heeft diverse submits gedaan richting het Bug Bounty program. Volgens hem is daar een incompetente manager die zei dat het geen bug was dus ook geen recht op bounty.

Daarbij voelde de bughunter zich niet gewaardeerd en zo is deze vete ontstaan.
Heb ik het verleden al die post van RedSun en Bluehammer gesubmit maar kwam nooit op de frontpage tercht. Daarbij heeft overigens Microsoft (welke eigennaar is van GitHub) ook het account van bughunter "verwijderd / geblocked".

Ik weet nu niet precies waar het gehost wordt maar ik denk ook dat er bewust voor gekozen is dat die link naar repo niet in het artikel staat.
edit:
quote uit zijn eerst blog post onder nightmare-eclipse:
I never wanted to reopen a blog and a new github account to drop code...

But someone violated our agreement and left me homeless with nothing. They knew this will happen and they still stabbed me in the back anyways, this is their decision not mine

[Reactie gewijzigd door The-Source op 11 juni 2026 13:35]

Ik heb geen goede woorden over voor deze "hacker". Als je denkt dat dit je gaat helpen, ben je imho gewoon een kleuter die z'n zin niet krijgt. Geen aandacht voor de gebruikers of veiligheid, gewoon om te trollen. Bah.
https://www.theregister.com/security/2026/06/10/nightmare-eclipse-publishes-new-windows-defender-zero-day/5253725

Lees het verhaal achter zijn vete maar even, dan begrijp je dat het geen trollen of kleutergedrag is. Hij deed bug reports, Microsoft negeerde deze doelbewust en verwijderde zijn account, zodat hij geen bounty meer kon krijgen.
En geeft je dat dan het recht om naast degene met wie je een vete hebt ook anderen bloot te stellen aan risico's?
En deze bugs onbenoemd in Windows laten zitten stelt anderen denk je niet bloot aan risico's?
Nu ze wereldkundig zijn, is het even een paar dagen opletten, maar wordt MS gedwongen om e.e.a. te patchen en is daarna tenminste het risico weg.
Dat is wel de keerzijde waar je rekening mee dient te houden.

[Reactie gewijzigd door R4gnax op 11 juni 2026 13:56]

Hij had ook gewoon een demonstratie kunnen laten zien zoals de meeste ethische hackers dit doen. Met de vraag aan MS om contact op te nemen. Of de bug via een ander bij MS aan te melden. Dan was je ethisch bezig geweest. Nu is het gewoon kleuter gedrag.
De ethische route heeft Microsoft zelf hem vrijwel onmogelijk gemaakt. Zijn reports werden volledig genegeerd en zijn account gesloten omdat Microsoft geen bounty wilde uitkeren. Microsoft heeft er duidelijk geen belang bij om tijdig bugs te fixen via de whitehat route, dus dan maar een blackhat opzetten.
dat is het verhaal van deze hacker... of ook bevestigd door anderen?

En je laatste opmerking klopt natuurlijk niet, genoeg bugs die wel gemeld, opgepakt en verholpen worden.
De laatste opmerking is niet dat Microsoft er in het algemeen geen belang bij heeft. Het is gebaseerd op wat de hacker ervaart. En hoewel we van mening kunnen zijn dat we de stelling van de hacker liever in twijfel trekken, dat maakt de beweringen van de hacker niet spontaan feitelijk onjuist of de ervaring ongefundeerd.

Daarbij, het nieuws vermeld niet voor niets dat Microsoft eerder een algemene opmerking maakte en die pas na ophef is gaan uitleggen dat ze het niet zo bedoelden. Microsoft neemt wel vaker beslissingen die niet passen bij onderzoekers serieus willen behandelen tot ze er zelf last van hebben in reputatie. Dat geeft aan dat liever in Microsoft vertrouwen niet zomaar beter is. Microsoft de hand boven het hoofd houden is hoe dan ook niet zomaar verstandig. Want veel van de grote beveiligingsproblemen zijn in de afgelopen jaren wel door Microsoft veroorzaakt, niet door hun zelf ontdekt, misbruikt door criminelen en als je geluk hebt ontdekt een onderzoeker het en weet Microsoft te overtuigen. Hun werkwijze om beveiligingproblemen te voorkomen en op tijd te verhelpen is na 30 jaar nog steeds heel onduidelijk en ondertussen maken ze klanten zwaar afhankelijk van onderzoekers. Dat is des te meer reden om de beweringen van de onderzoeker niet zomaar af te doen als niet betrouwbaar en Microsoft de klanten wel goed zou helpen als een onderzoeker maar doet wat je zelf liever ziet gebeuren.

[Reactie gewijzigd door kodak op 11 juni 2026 18:52]

En hoewel we van mening kunnen zijn dat we de stelling van de hacker liever in twijfel trekken, dat maakt de beweringen van de hacker niet spontaan feitelijk onjuist of de ervaring ongefundeerd.
Andersom maakt het de beweringen ook niet spontaan feitelijk juist. Een controleerbaar fundament ontbreekt tot nu toe wel. Er is 1 erg vocale partij in deze hele vete en die houdt moedwillig informatie achter waardoor claims nauwelijks tot geheel niet verifieerbaar zijn.
En we werken allemaal voor niks tegenwoordig want we hebben geen geld nodig..... Yup...goed idee... Laten we de miljoenen verdienende bedrijven nig even gratis helpen!
hij hoeft die troubleshooting niet te doen, hij is toch niet in dienst? Als hij ruzie heeft met MS, waarom dan doorgaan met het zoeken naar een exploit en die expres publiceren vlak nadat patch Tuesday is geweest? Waarom niet gewoon zeggen: freck it, ik kap ermee. Of het onderzoek overhandigen aan een mede security researcher zodat die het verder kan oppakken.

Als het hem te doen was om de community te waarschuwen, waren er ook andere manieren geweest dan wat hij nu gedaan heeft: het bewust kwetsbaar maken van miljoenen Windows clients wereldwijd.

[Reactie gewijzigd door segil op 11 juni 2026 18:59]

Ik zou willen stellen dat het niet lekken van deze exploit juist een risico zou vormen.

Want meneer hoeft niet de eerste te zijn die deze exploits gevonden heeft en als Microsoft het behandelen daarvan niet serieus neemt. Is het openbaren de best gekozen route voor onze veiligheid.
Ik kan het ergens wel begrijpen. En misschien dat MS hierdoor in de toekomst niet alleen 100 miljard aan AI uitgeeft, maar ook een paar centjes aan hun eigenlijke producten.
Microsoft heeft de ethische route onmogelijk gemaakt. Je kan er wat van vinden, maar uiteindelijk is deze methode beter dan helemaal niet meer rapporteren waarbij de zero days veel langer open blijven voor kwaadwillenden.
Dat had Microsoft al gedaan. Hij heeft iedereen er even op gewezen 😉
Persoonlijk verkies ik iemand die op deze manier bugs de wereld in gooit niet zomaar op zijn woord te geloven. Dit is alleen maar schijnheiligheid. Als je bugs met POC publiceerd de dag nadat er een patchronden gebeurd dan ben je gewoon uit op zoveel mogelijk schade te veroorzaken, en dan kan ik mij levendig bedenken dat deze persoon alles behalve een aangename hulp was toen Microsoft met hem communiceerde. Is Microsoft heilig? Nee, absoluut niet. Maar deze bounty hunter wilt wel een beetje te graag zoveel mogelijk media aandacht krijgen...
Als de minste schade route de voorkeur heeft, dan ligt de bal toch echt bij Microsoft. Enige wat deze bughunter deed is Microsoft te kakken zetten.

Volgens Microsoft zijn zijn bugs niet serieus genoeg om enige dreiging te vormen en dus compensatie voor te geven. Meneer openbaart deze bugs en dan blijkt er ineens wel een dreiging te zijn. Bughunter doet emotioneel reageren (is hij hier onder ons spectrumtweakers niet een onbekend fenomeen) en Microsoft hangt de typische corporate balzak uit door het conflict nog eens te escaleren.

Tja.

Mocht bughunter uit zijn geweest op maximale schade, had hij deze exploits op het darkweb verkocht.
Precies, mocht deze man echt kwaad willen, dan had hij de exploits op het darkweb verkocht.

Het lijkt mij echt alleen te gaan om iemand die het netjes wil doen, maar door MS behandeld wordt als onkundig en het geld niet waard. Hij bewijst het tegendeel door zijn werk zonder MS te openbaren.
Als het goed geld zou opleveren, alsmede de credits, dan zou hij toch anders gewoon wel meedoen aan het bug bounty programma van MS?
Ik heb liever dat hij media-aandacht krijgt dan dat hij z'n vondsten ergens op de zwarte markt verkoopt. Zo hebben de gebruikers er het minste last van. Natuurlijk is het nog beter als Microsoft gewoon met hem kan praten, maar schijnbaar komen ze er niet via de normale bugreports uit. Zo 'praten' ze ook nog, al zal er ook het een en ander per aangetekende brief gaan.
Maar dat zijn wel zijn niet te verifieren woorden.
dus dan maar dit gedrag vertonen? Hij had ook gewoon een nieuwe bug kunnen aankondigen met een demonstratie, zonder code om er misbruik van te maken.

Uit jouw artikel:
But the big thing is not happening. I did not intend to spread a mass panic with that post and I apologize for doing so.
Blijkbaar dat 'ie zelf ook tot inkeer gekomen is.

[Reactie gewijzigd door segil op 11 juni 2026 14:12]

Je kan er heel veel van vinden maar Microsoft verdient ook verre van de schoonheidsprijs in deze hele kwestie.Het loopt de man actief zijn leven moeilijker te maken en dan ben je als bedrijf ook gewoon laag gezakt.
is dat alleen zijn kant van het verhaal, of is dat geverifieerd met anderen die erbij betrokken zijn?
Ik vind het wel meevallen, nu de exploits publiekelijk bekend zijn MOET Microsoft er iets mee. In plaats van een "we weten er van en we fixen het ooit wel eens". Liever dat zo iemand het online zet en Microsoft aanspoort de lekken te dichten, dan een andere hacker die er stilletjes gebruik van maakt.

Blijkbaar vond Microsoft (als ik het verhaal van de oorzaak van de ruzie moet geloven) het niet zo heel spannend, die kwetsbaarheden. En toch zijn de patches nu beschikbaar en zijn veel bedrijven/organisaties druk aan het patchen.

Helemaal die bitlocker omzeiling is gewoon kwalijk, als er een laptop gestolen wordt, komt die meestal nooit meer online. Dan had je nog geluk als hij in ieder geval gebitlockered was, want dan is evt data op de laptop niet zomaar toegankelijk. Met dit soort beveiligingslekken is dat nog maar de vraag.
Mixed feelings hierover. Vooral de verhalen eromheen, dat Nightmare-eclipse toegang tot Github was ontzegd, maar ook dat hij/zij direct na een patch-ronde nieuwe lekken met exploitcode online zet.

Uiteindelijk zijn de "gewone" bedrijven en mensen slachtoffer van dit hele verhaal.
Of niet. Want als anderen ook deze exploit hadden gevonden, dan waren de gewone bedrijven en mensen ook kwetsbaar. En dan zou die kwetsbaarheid duren totdat iemand het exploit zou melden. Nu neemt Microsoft er kennis van en kan meteen in actie komen om een patch te maken om die z.s.m. te releasen.
Normaal wordt de exploitcode niet openbaar toegevoegd dacht ik. Dus dan was dit nog steeds gemeld, maar dan had alleen Microsoft de exploitcode om het aan te pakken (correct me if I'm wrong).
Ja en nee. Ja, criminelen kunnen hiermee aan de haal, maar aan de andere kant kunnen antivirusbedrijven hier direct definitions voor maken. Als dat via Microsoft moet gaan, is dat toch weer een slag langzamer.

Het openbaren van exploitcode gebeurt lang niet altijd, bij coordinated disclosure is het over het algemeen is het aan de onderzoeker om te bepalen of die dat wil of niet. Als je een hele slimme exploit gemaakt hebt en de patches uit zijn, kan het geen kwaad om je vaardigheden te laten zien, natuurlijk. Bij dit soort zerodays komt het niet zo vaak voor dat de details exact uitlekken. Echter, als je de code niet laat lekken en alleen details geeft, gaan kwaadwillenden ermee aan de haal en moeten antivirusbedrijven tegen hackers racen om hun definitions te ontwikkelen.

Ik denk dat men onder de streep in de praktijk veiliger is door alles openbaar te gooien in plaats van alleen maar een blogpost of onderzoek publiceren. Het mooiste zou zijn om met MS samen te werken, maar als ik de onderzoeker mag geloven, heeft MS niet heel veel interesse in samenwerking (en de beste persoon zelf is duidelijk ook niet echt vriendjes met MS).
Heel het punt van responsible disclosure is net dat het op een verantwoordelijke manier gebeurdt waarbij softwaremakers de tijd krijgen om het probleem op te lossen voordat deze openbaar wordt gemaakt. Dat kan hier dus niet meer. De POC wordt gewoon online gegooid en dat zorgt er net voor dat hackers het kunnen misbruiken terwijl het maken van een patch en dat goed testen gewoonweg tijd kost.

Niet alleen dat, maar wij systeembeheerders houden niet zo van out of band patching want dat gooit onze testing en release schemas en maintenance windows ook weer helemaal in de war.
In dat kader is het wellicht ook niet zo handig van Microsoft om alle accounts van deze beveiligingsonderzoeker in te trekken. Daarmee verviel de mogelijkheid van responsible disclosure.

Maar goed, het exploit is nu bekend en kan gedicht worden. Wordt de wereld weer een klein stukje veiliger.
De developer is iemand die duidelijk een wat kinderachtige kijk op de wereld heeft en denkt dat de wereld op zijn manier moet draaien.

Dat MS niet heilig is, bureaucratisch en arrogant is zal ook wel.

Mijn gevoelens zijn niet gemengd. Er is niet overal een good guy. Soms zijn er twee bad guys en soms zijn er twee good guys en is er toch nog drama omwille van misverstanden.
"Gewone" bedrijven krijgen gratis en versneld updates voor kwetsbaarheden die hackers net zo goed kunnen weten. Het is en blijft gratis patchwerk, al gaat dat wat soepeler als MS en de beveiligingsonderzoeker met MS samenwerkt.

Iemand als dit kan ook zijn exploits aan overheden en andere vage partijen verkopen. Dat levert een stuk meer op en zorgt ervoor dat je als eindgebruiker niet beschermd zal zijn tot Microsoft hier zelf een oplossing voor maakt.

Daarnaast kun je je aluminiumhoedje opzetten en je afvragen of Microsoft niet wil dat deze backdoors in Windows zitten, want het maakt het werk van de NSA/CIA/AIVD toch wel een stukje eenvoudiger. Door open kaart te spelen, wordt Microsoft nu gedwongen dit te repareren (of toe te geven dat ze dat niet willen/mogen), en is iedereens computer weer een stapje veiliger dan voorheen, hoe irritant de NSA dat ook zal vinden.
Kan iemand mij uitleggen hoe gevaarlijk deze lekken nu precies zijn. Kan je gehackt worden en je systeem overgenomen worden, enkel omdat je Windows PC met internet is verbonden? Of door het bezoeken van een website. Of pas als je een verkeerde email bijlage opent?
Precies dat dus, hoe kom je in het vizier van kwaadwillenden? Mijn game pc draait nu al ruim een half jaar zonder Win 10 updates.

Staat verder niets belangrijks meer op, dus in het ergste geval kost het me een paar uur voor een schone installatie (en in dat geval ga ik waarschijnlijk over op Linux waar ik volgens mij tegenwoordig al mijn games op zou moeten kunnen draaien)
Jazeker, als je computer zichtbaar is vanaf het netwerk of een verouderde router of IoT-apparaat. Dan wordt je al snel onderdeel van een botnet of proxynet, en dat heb je niet door.

Denk aan Rhadamanthys, VenomRAT, Elysium, IcedID, SystemBC, SmokeLoader, PikaBot, Bumblebee, etc.

Allemaal netwerken waar ook Nederlandse ongepatchte Windowscomputers onderdeel van waren. Sterker nog, vaak staan de C&C-servers in Nederland om één of andere reden.

Ik zou vooral nu met de opkomst van AI-tools voor hackers oppassen. Ik heb mijn ouders al helpen migreren naar ZorinOS, een Linux distro die relatief simpel is, omdat hun computer ook zogenaamd niet compatible met Windows 11 was.

[Reactie gewijzigd door Sando op 11 juni 2026 16:18]

Maar als je poorten gewoon dicht staan op een normale moderne router, dan is er niets aan de hand? Tenminste, geen acuut gevaar?
Remote weinig gevaar inderdaad, maar als je cybersecurity news goed volgt, zie je ook vaak genoeg zero-days op Firefox/Chrome etc voorbij komen. Als die ook niet gepatched zijn en je OS ook niet, dan is het een kwestie van de verkeerde site bezoeken en je systeem is gehacked.
Nou je router heeft ook tientallen zerodays per jaar dus dan moet je wel altijd de patches installeren. En automatische updates staan nog steeds niet altijd aan bij consumentenrouters.

Zerodays worden vaak misbruikt voordat ze worden gepatched dus je kunt er van uitgaan dat er altijd korte periodes zijn waarin je risico loopt. Het mooie is dan als je computer helemaal gepatched is, dat de hacker dan nog meer moeite moet doen.

Het is alweer even geleden, maar ik had ook eens een Windowscomputer die geen patches meer kreeg, en die gebruikte ik als media center. Zit toch achter een firewall dacht ik. Toen kreeg ik een bericht van mijn provider dat een computer in mijn netwerk onderdeel was van een botnet. Ik heb er toen Linux op gezet en het probleem was voorbij.

Ik denk dat de kans klein maar reëel is. Zoals een auto ongeluk. En een ongepatchte Windows achter een moderne router is als rijden zonder autogordels. De meeste mensen hebben nooit door dat ze onderdeel van een botnet zijn (geweest).
Nieuwe router, geen iot spul en niet in NL... Ik geloof het wel :+

Maar alsnog, hoe vinden ze je? Scannen ze random IP adressen, of moet je op een verdachte site komen ofzo?
Scannen ze random IP adressen, of moet je op een verdachte site komen ofzo?
Allebei. Als ik een nieuwe server installeer, dan wordt hij binnen een dag gescanned, en dat houd ongeveer nooit meer op. Ook sites als shodan scannen inderdaad alle apparaten op het web, en als jij een kwetsbaarheid hebt, dan kom je op de site.
Kan er even niet uithalen of dit een whitehat hacker is of kwaadwillend is. Dat hij een onderzoeker is zou wijze naar het eerste maar zijn handelingen naar het tweede
Omgeslagen, denk ik. In eerste instantie gewoon met goede bedoelingen, maar als je dan een half dozijn zeer ernstige lekken meldt via dat leuke bughunter programma dat MS aanbiedt, maar MS bagatelliseert vervolgens jouw zeer ernstige lek zodat ze de bijbehorende beloning niet hoeven uit te keren, dan denk ik dat je op een gegeven moment je zakken wel vol hebt, ja. En dan slaan sommige mensen gewoon door en dan krijg je dit soort excessen.
Het lijkt er op dat MS al een fix heeft uitgebracht.
Ik heb vanochtend de reguliere update binnen gekregen, maar zojuist een nieuwe update voor Defender gevonden.

(Er staat nooit bij welke CVE's opgelost worden, dus het kan om iets anders gaan)
Zoals ik begrijp komt er nog wel behoorlijk wat bij kijken voordat deze exploit ook daadwerkelijk gebruikt wordt. Het is niet zo simpel als, ik kom toevallig op een website en BOEM de exploit werkt.
Bij elke Zero Day komt ‘behoorlijk wat kijken’. Het scenario wat jij schetst is geen Zero Day, maar een Zero Click. Daar gaat dit artikel dan ook niet over.

Webbrowsers zijn steeds veiliger, mede omdat ze ‘onder de motorkap’ allemaal het zelfde zijn; of ze zijn Chromium based, of Gecko based. Hackers zoeken daardoor naar andere mogelijkheden om toe te slaan. Een beetje (staats)hacker zal een combinatie van zwakheden toepassen om zijn doel te bereiken. Menig Zero Day op zich is al erg genoeg, maar combineer dat eens met Social Engineering en de genoemde eerdere exploits. Dan heb je als doelwit opeens een probleem.

De tijd van dubieuze linkjes klikken is niet voorbij, phising maakt dat een verkeerde click je doet wanen dat je veilig bent en je nietsvermoedend je bankgegevens afstaat.
Ik ben benieuwd hoeveel zero days hij nog achter de hand heeft.
Het is een flaw in de WinRE niet dat AES zelf gekraakt is.

Op dit item kan niet meer gereageerd worden.