A Microsoft saiu em defesa da divulgação coordenada de vulnerabilidades, conhecida como CVD, e passou a incentivar a comunidade de pesquisadores a compartilhar suas descobertas com antecedência, dando às empresas afetadas a chance de entender o impacto e corrigir os problemas antes da divulgação pública.
A posição da companhia veio após um pesquisador conhecido como Chaotic Eclipse, também chamado de Nightmare-Eclipse, divulgar no último mês detalhes de várias vulnerabilidades de dia zero que afetam diferentes componentes do Windows, entre eles o Defender e o BitLocker.
Segundo o pesquisador, houve uma falha no tratamento do processo de divulgação de vulnerabilidades por parte da Microsoft.
“Nas últimas semanas, várias vulnerabilidades de dia zero foram divulgadas publicamente”, afirmou a gigante de tecnologia.
“Os detalhes dessas vulnerabilidades não foram compartilhados com a Microsoft antes da publicação, e as divulgações colocaram nossos clientes em risco desnecessário.”
“Em resposta ao risco desnecessário criado por essas divulgações, nossas equipes de segurança estão trabalhando sem parar para entender o impacto, proteger nossos clientes e desenvolver atualizações de segurança.”
Entre as falhas citadas estão BlueHammer (
CVE-2026-33825
), RedSun (
CVE-2026-41091
), UnDefend (
CVE-2026-45498
), YellowKey (
CVE-2026-45585
), GreenPlasma e MiniPlasma.
Após a divulgação, BlueHammer, RedSun e UnDefend passaram a ser exploradas ativamente em ambiente real.
A Microsoft disse ser “firmemente” contrária a divulgações sem coordenação e alertou que a publicação de código de proof of concept para vulnerabilidades ainda sem patch pode gerar “consequências reais” quando esse material cai nas mãos de agentes mal-intencionados.
“Convidamos diferentes pontos de vista que ajudem a comunidade de segurança a trabalhar em conjunto para proteger todos.”
“Sabemos que nem sempre concordaremos em tudo, mas estamos comprometidos com a transparência e seguimos criando oportunidades de diálogo”, acrescentou a empresa.
“Essas conversas acontecem em eventos de reconhecimento a pesquisadores, conferências de segurança e no trabalho cotidiano que realizamos juntos para entender e corrigir vulnerabilidades.”
Os desdobramentos dessas divulgações, segundo relatos, levaram o GitHub a remover a conta do pesquisador na semana passada.
Embora o código de exploração das seis vulnerabilidades tenha sido posteriormente publicado no GitLab, a nova conta criada em seguida também acabou bloqueada.
“Então, deixa eu ver se entendi direito: quando eu pedi ativamente para você se comunicar comigo, você recusou, me humilhou e fez questão de me insultar diante de outras pessoas”, escreveu o pesquisador em uma publicação feita no fim de semana.
“Vocês me difamam em público com o aviso da
CVE-2026-45585
, mesmo depois de terem apagado a conta da Microsoft que eu usava para reportar bugs a vocês, e eu não ganhei absolutamente nada com isso, mas ainda assim continuei fazendo, feito um idiota.
Agora vocês se dão ao trabalho de sinalizar minha conta no GitHub e apagá-la do público, assim, de uma hora para outra? Vocês estão provando para todo mundo que estão escalando ativamente esse conflito, mas eu já cansei de implorar.”
O pesquisador também afirmou que pretende divulgar algo em 14 de julho de 2026 que “vai garantir que seus ossos fiquem despedaçados naquele dia”.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...