Microsoft critica divulgação pública de zero-day do Windows após bloquear conta no GitHub

A Microsoft reagiu duramente após um pesquisador de segurança divulgar publicamente, sem autorização, vulnerabilidades zero-day ainda sem correção, e o conflito se intensificou quando sua conta no GitHub foi bloqueada e ele prometeu novas revelações.

Tradução completa

A Microsoft declarou que apoia fortemente o processo de divulgação coordenada de vulnerabilidades (CVD) e pediu à comunidade de pesquisa em segurança que compartilhe suas descobertas e dê aos fornecedores afetados a oportunidade de compreender claramente e corrigir as falhas antes que elas sejam divulgadas ao público.

O caso começou quando um pesquisador chamado 'Chaotic Eclipse' (também conhecido como Nightmare-Eclipse) passou o último mês divulgando publicamente detalhes de várias vulnerabilidades zero-day que afetam diferentes componentes do Windows, incluindo Defender e BitLocker, alegando falhas no processo de tratamento de vulnerabilidades da Microsoft.

A Microsoft afirmou que “várias vulnerabilidades zero-day foram divulgadas publicamente nas últimas semanas” e que “os detalhes dessas vulnerabilidades não foram compartilhados com a Microsoft antes da divulgação, expondo nossos clientes a riscos desnecessários”. A empresa acrescentou: “Para responder aos riscos causados por essa divulgação não autorizada, nossas equipes de segurança estão trabalhando 24 horas por dia para avaliar o impacto, proteger os clientes e desenvolver atualizações de segurança”.

As vulnerabilidades divulgadas somam seis: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), Undefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma e MiniPlasma. Entre elas, três — incluindo BlueHammer, RedSun e Undefend — {p:50} já estão sendo ativamente exploradas em ataques maliciosos no mundo real.

A Microsoft disse que se opõe “firmemente” a esse tipo de divulgação não coordenada de vulnerabilidades e alertou que, se códigos de prova de conceito (PoC) de falhas ainda sem correção caírem nas mãos de agentes maliciosos, isso poderá causar “graves consequências no mundo real”. A empresa também destacou: “Recebemos diferentes perspectivas para que a comunidade de segurança possa trabalhar unida para proteger todos. Nem sempre concordaremos em tudo, mas nos comprometemos a manter a transparência e continuar criando oportunidades de diálogo”. E acrescentou: “Essas conversas acontecem em eventos de agradecimento a pesquisadores, conferências de segurança e no trabalho diário que fazemos juntos para entender e corrigir vulnerabilidades”.

Como consequência dessa divulgação não autorizada, o GitHub teria encerrado a conta do pesquisador na semana passada. Depois disso, códigos de exploração para as seis vulnerabilidades foram reenviados ao GitLab, mas a nova conta criada na plataforma também está atualmente bloqueada.

Em uma publicação feita no fim de semana, o pesquisador alegou: “Resumindo, quando tentei me comunicar ativamente, fui rejeitado, insultado e humilhado publicamente”. Em seguida, afirmou: “Vocês apagaram completamente minha conta da Microsoft, que eu usava para reportar bugs, e depois difamaram minha reputação em público por meio do advisory de segurança CVE-2026-45585. Trabalhei de graça, feliz como um idiota, sem receber um centavo, e agora ainda têm o luxo de marcar minha conta no GitHub para me apagar da vista de todos sem deixar rastros? Vocês estão provando para todo mundo que estão escalando ativamente esse conflito. Mas eu já terminei de implorar”.

O pesquisador também anunciou que pretende divulgar algo em 14 de julho de 2026 e declarou: “Naquele dia, vou fazer os ossos da Microsoft se despedaçarem”.

Comentário do autor em uma linha

Parece que a Microsoft já não é mais uma empresa amigável