Seks Windows-huller afsløret på seks uger: Nu truer Microsoft med retssager

Flere alvorlige Windows-sårbarheder er på kort tid blevet offentliggjort før Microsoft har haft rettelser klar. Nu truer selskabet med retssager og politianmeldelser.

Artikel top billede

(Foto: Matthew Manuel / Unsplash)

Microsoft er havnet i en usædvanlig konflikt om offentliggørelsen af flere alvorlige Windows-sårbarheder.

På kort tid er oplysninger om ikke-lukkede sikkerhedshuller i Windows nemlig blevet lagt frem offentligt, uden at Microsoft først har haft mulighed for at udsende sikkerhedsopdateringer.

Det gælder blandt andet Windows zero days med navnene RedSun, UnDefend og BlueHammer, som efterfølgende også er blevet udnyttet.

Det har fået Microsofts Security Response Center (MSRC) til at reagere skarpt.

I et blogindlæg kritiserer Microsoft, at sårbarhederne ikke blev indberettet til selskabet på forhånd, som ellers er normal praksis i sikkerhedsbranchen.

Ved såkaldt Coordinated Vulnerability Disclosure (CVD) får leverandøren besked om en sårbarhed og en periode til at rette fejlen, før tekniske detaljer bliver offentliggjort med det formål at beskytte brugerne, før eventuelle cyberkriminelle får adgang til konkrete oplysninger om hullet.

Ifølge Microsoft er den proces blevet tilsidesat.

"Ukoordinerede offentliggørelser, hvor proof-of-concept-kode til endnu ikke lukkede sårbarheder havner i hænderne på ondsindede aktører, kan aldrig forsvares og har konsekvenser i den virkelige verden," skriver Microsoft.

Selskabet gør samtidig klart, at det kan gå rettens vej mod både dem, der udnytter sårbarhederne, og dem, der offentliggør materialet. Det kan ifølge Microsoft ske i samarbejde med politimyndigheder verden over.

Kan ramme Microsoft i nakken

Microsofts hårde linje rammer ned i en gammel konflikt i it-sikkerhedsverdenen.

Der er bred enighed om, at personer, der aktivt misbruger sikkerhedshuller til angreb, kan retsforfølges, men omvendt er trusler om juridiske skridt rettet mod sikkerhedsforskere langt mere kontroversielle.

Kritikere har i årevis advaret om, at den slags kan ramme virksomhederne selv. For hvis forskere risikerer sagsanlæg, kan de blive mindre villige til at rapportere sårbarheder næste gang.

Ifølge det tyske medie Heise fremgår den pointe også af en juridisk vejledning fra Cyberlaw Clinic ved Harvard Law School og Electronic Frontier Foundation fra 2020.

Her lyder det, at organisationer med modne sikkerhedsprogrammer typisk er mindre tilbøjelige til at true med retssager, fordi de forstår, at denne fremgangsmåde kan mindske chancen for fremtidige indberetninger.

Seks zero days på seks uger

Ifølge mediet har Microsoft allerede slettet GitHub-kontoen til den person eller gruppe, der menes at stå bag flere af offentliggørelserne.

GitHub ejes af Microsoft, men sletningen kom altså for sent til at forhindre, at materialet blev spredt.

Vedkommende optræder under navne som Nightmare Eclipse, Chaotic Eclipse, Dead Eclipse eller blot Eclipse.

I alt skal Eclipse på seks uger have offentliggjort seks Microsoft zero days: BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma og MiniPlasma.

Eclipse afviser Microsofts beskyldninger.

I bloggen "Nightmare Eclipse" kalder vedkommende anklagen om ikke at have fulgt reglerne for koordineret offentliggørelse for ærekrænkende.

Ifølge Eclipse havde Microsoft bevidst blokeret den MSRC-konto, som tidligere var blevet brugt til helt gratis at rapportere sårbarheder. Efter flere forespørgsler om årsagen til denne blokering blev kontoen ifølge Eclipse slettet helt, uden at de fik svar fra Microsoft.

Computerworld har forelagt kritikken for Microsoft Danmark og bedt selskabet forholde sig til sagen. Computerworld afventer svar og opdaterer artiklen med selskabets svar, hvis Microsoft vender tilbage.

Læses lige nu

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

    Michael Schou

    Netip A/S

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    WITRICS A/S har pr. 1. juli 2026 ansat Tim Meicker som Sales & Marketing Manager. Han skal især beskæftige sig med marketingstrategi, salgsaktiviteter, samt virksomhedens kommercielle vækst. Han kommer fra en stilling som projektansat hos WITRICS A/S. Han er uddannet BA (hons) Strategic Management og MBA fra Syddansk Universitet. Nyt job

    Tim Meicker

    WITRICS A/S

    Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job