拒付赏金还封号！微软彻底激怒安全研究员：放话将公布更多零日漏洞

5月27日消息，近日，绰号Nightmare-Eclipse的安全研究员Chaotic Eclipse的GitHub账号遭微软封禁，其声称微软此前已删除其用于提交漏洞的MSRC账户，并威胁7月14日将公布更多Windows零日漏洞。

Eclipse与微软的冲突始于4月初，当时其公布了公布了BlueHammer和RedSun两个零日漏洞。

按理说零日漏洞应该首先反馈给厂商，待修复后再公诸于世，不过Eclipse在博客中声称微软驳回了其零日报告、未支付赏金，并造成经济损失。

微软的MSRC项目对零日漏洞支付最高3万至10万美元，Hyper-V漏洞赏金达25万美元，Eclipse称自己“一分钱都没拿到”。

Eclipse还表示微软“亲口说要毁了我的生活，他们也做到了”，并声称设有死亡开关，将“确保微软粉身碎骨”。

Eclipse目前已公开6个Windows零日：BlueHammer和RedSun分别通过Defender获取SYSTEM权限，UnDefend可令Defender离线，GreenPlasma通过CTFMon服务提权，MiniPlasma利用Windows Cloud Filter驱动漏洞提权，YellowKey则可几乎无门槛绕过BitLocker加密。

其中BlueHammer、RedSun和UnDefend已被确认在野遭到实际利用，其余漏洞因Eclipse公开了完整或部分概念验证代码，同样极易被攻击者复现。

安全专家William Dormann评论称，MSRC曾经非常优秀，但微软为省钱裁掉了技术人员，留下的只是按流程办事的人，甚至要求研究员提交漏洞利用视频才能立案，这可能是双方合作破裂的根源。