Der unter dem Pseudonym Nightmare Eclipse auftretende Forscher begann im April mit der Veröffentlichung der Schwachstellen. Jede einzelne erschien zusammen mit funktionierendem Proof-of-Concept-Code im Microsoft-eigenen Code-Repository GitHub und war so unmittelbar für Angreifer wie für Sicherheitsfachleute nutzbar. Das GitHub-Konto des Forschers wurde inzwischen entfernt, und seine seit April genutzte Blogger-Seite war zum Zeitpunkt der Veröffentlichung nicht mehr erreichbar.

Von den sechs Lücken wurden die ersten drei — BlueHammer, UnDefend und RedSun — laut Microsofts Patch-Hinweisen in realen Angriffen ausgenutzt. Alle drei tauchen im Katalog bekannter ausgenutzter Schwachstellen der US-Behörde CISA auf. Die drei jüngeren Veröffentlichungen — YellowKey, GreenPlasma und MiniPlasma, in diesem Monat offengelegt — sind bislang weder gepatcht noch nachweislich ausgenutzt worden.

In kryptografisch signierten Beiträgen auf seiner Blogger-Seite legte der Forscher seine Vorwürfe gegen Microsoft dar: Das Unternehmen habe sein Konto beim Microsoft Security Response Center gelöscht, Prämienzahlungen verweigert und seine Namensnennung aus mindestens einem Sicherheitshinweis getilgt. „Ich hätte damit unglaublich viel Geld verdienen können, aber keine Summe der Welt steht zwischen mir und meiner Entschlossenheit gegen Microsoft", erklärte er. Für den 14. Juli — den Termin des Microsoft-Patchdays — drohte er eine weitere Veröffentlichung an.

Microsoft äußerte sich in einem Blogbeitrag am Mittwoch: „Wir bleiben entschieden gegen diese Handlungen und gegen jede Offenlegung außerhalb einer ordnungsgemäßen Koordination, die unseren Kunden und dem digitalen Ökosystem schaden könnte." Unkoordinierte Offenlegungen, die Proof-of-Concept-Code für ungepatchte Schwachstellen in die Hände böswilliger Akteure brächten, seien „niemals zu rechtfertigen" und hätten reale Folgen. Eine direkte rechtliche Drohung sprach das Unternehmen nicht aus, verwies aber auf seine Digital Crimes Unit, die weiterhin Verfahren gegen solche Akteure und gegen jene führen werde, die deren kriminelle Aktivitäten ermöglichen — bei Bedarf in Abstimmung mit Strafverfolgungsbehörden weltweit.

Katie Moussouris, Gründerin von Luta Security und Architektin von Microsofts ursprünglichem Bug-Bounty-Programm, kritisierte auf Bluesky den Begriff „verantwortungsvolle Offenlegung" als wertend: „Kein Anbieter verwendet diesen Begriff, es sei denn, er will jemanden als unverantwortlich darstellen." Sie warnte, das Veröffentlichen von Zero-Days durch Forscher sei zwar nicht ideal, aber nicht das Schlimmste: „Nicht-Offenlegung ist weitaus schlimmer. Was treibt Forscher zur Nicht-Offenlegung? Drohungen von Anbietern."

Ähnliche Beschwerden gab es schon früher. Die Zero Day Initiative von Trend Micro kritisierte Microsoft 2024 öffentlich, nachdem sie eine aktiv ausgenutzte Schwachstelle gemeldet und beim Patchen keine Anerkennung erhalten hatte. Der damalige Chef von Tenable warf Microsoft 2023 auf LinkedIn vor, Kunden bezüglich einer Azure-Lücke „bewusst im Unklaren" gelassen zu haben, die monatelang nach der Meldung ungepatcht blieb. Check-Point-Forscher Haifei Li berichtete, Microsoft habe einen von ihm gemeldeten Fehler ohne Benachrichtigung gepatcht; koordinierte Offenlegung „kann nicht einseitig sein".