A Microsoft saiu em defesa da divulgação coordenada de vulnerabilidades, conhecida como CVD, e passou a incentivar a comunidade de pesquisadores a compartilhar suas descobertas com antecedência, dando às empresas afetadas a chance de entender o impacto e corrigir os problemas antes da divulgação pública.
A posição da companhia veio após um pesquisador conhecido como Chaotic Eclipse, também chamado de Nightmare-Eclipse, divulgar no último mês detalhes de várias vulnerabilidades de dia zero que afetam diferentes componentes do Windows, entre eles o Defender e o BitLocker.
Segundo o pesquisador, houve uma falha no tratamento do processo de divulgação de vulnerabilidades por parte da Microsoft.
“Nas últimas semanas, várias vulnerabilidades de dia zero foram divulgadas publicamente”, afirmou a gigante de tecnologia.
“Os detalhes dessas vulnerabilidades não foram compartilhados com a Microsoft antes da publicação, e as divulgações colocaram nossos clientes em risco desnecessário.”
“Em resposta ao risco desnecessário criado por essas divulgações, nossas equipes de segurança estão trabalhando sem parar para entender o impacto, proteger nossos clientes e desenvolver atualizações de segurança.”
Entre as falhas citadas estão BlueHammer (
CVE-2026-33825
), RedSun (
CVE-2026-41091
), UnDefend (
CVE-2026-45498
), YellowKey (
CVE-2026-45585
), GreenPlasma e MiniPlasma.
Após a divulgação, BlueHammer, RedSun e UnDefend passaram a ser exploradas ativamente em ambiente real.
A Microsoft disse ser “firmemente” contrária a divulgações sem coordenação e alertou que a publicação de código de proof of concept para vulnerabilidades ainda sem patch pode gerar “consequências reais” quando esse material cai nas mãos de agentes mal-intencionados.
“Convidamos diferentes pontos de vista que ajudem a comunidade de segurança a trabalhar em conjunto para proteger todos.”
“Sabemos que nem sempre concordaremos em tudo, mas estamos comprometidos com a transparência e seguimos criando oportunidades de diálogo”, acrescentou a empresa.
“Essas conversas acontecem em eventos de reconhecimento a pesquisadores, conferências de segurança e no trabalho cotidiano que realizamos juntos para entender e corrigir vulnerabilidades.”
Os desdobramentos dessas divulgações, segundo relatos, levaram o GitHub a remover a conta do pesquisador na semana passada.
Embora o código de exploração das seis vulnerabilidades tenha sido posteriormente publicado no GitLab, a nova conta criada em seguida também acabou bloqueada.
“Então, deixa eu ver se entendi direito: quando eu pedi ativamente para você se comunicar comigo, você recusou, me humilhou e fez questão de me insultar diante de outras pessoas”, escreveu o pesquisador em uma publicação feita no fim de semana.
“Vocês me difamam em público com o aviso da
CVE-2026-45585
, mesmo depois de terem apagado a conta da Microsoft que eu usava para reportar bugs a vocês, e eu não ganhei absolutamente nada com isso, mas ainda assim continuei fazendo, feito um idiota.
Agora vocês se dão ao trabalho de sinalizar minha conta no GitHub e apagá-la do público, assim, de uma hora para outra? Vocês estão provando para todo mundo que estão escalando ativamente esse conflito, mas eu já cansei de implorar.”
O pesquisador também afirmou que pretende divulgar algo em 14 de julho de 2026 que “vai garantir que seus ossos fiquem despedaçados naquele dia”.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...