Microsoft critica divulgação pública de zero-day do Windows após bloquear conta no GitHub
(thehackernews.com)A Microsoft reagiu duramente após um pesquisador de segurança divulgar publicamente, sem autorização, vulnerabilidades zero-day ainda sem correção, e o conflito se intensificou quando sua conta no GitHub foi bloqueada e ele prometeu novas revelações.
Tradução completa
A Microsoft declarou que apoia fortemente o processo de divulgação coordenada de vulnerabilidades (CVD) e pediu à comunidade de pesquisa em segurança que compartilhe suas descobertas e dê aos fornecedores afetados a oportunidade de compreender claramente e corrigir as falhas antes que elas sejam divulgadas ao público.
O caso começou quando um pesquisador chamado 'Chaotic Eclipse' (também conhecido como Nightmare-Eclipse) passou o último mês divulgando publicamente detalhes de várias vulnerabilidades zero-day que afetam diferentes componentes do Windows, incluindo Defender e BitLocker, alegando falhas no processo de tratamento de vulnerabilidades da Microsoft.
A Microsoft afirmou que “várias vulnerabilidades zero-day foram divulgadas publicamente nas últimas semanas” e que “os detalhes dessas vulnerabilidades não foram compartilhados com a Microsoft antes da divulgação, expondo nossos clientes a riscos desnecessários”. A empresa acrescentou: “Para responder aos riscos causados por essa divulgação não autorizada, nossas equipes de segurança estão trabalhando 24 horas por dia para avaliar o impacto, proteger os clientes e desenvolver atualizações de segurança”.
As vulnerabilidades divulgadas somam seis: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), Undefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma e MiniPlasma. Entre elas, três — incluindo BlueHammer, RedSun e Undefend — {p:50} já estão sendo ativamente exploradas em ataques maliciosos no mundo real.
A Microsoft disse que se opõe “firmemente” a esse tipo de divulgação não coordenada de vulnerabilidades e alertou que, se códigos de prova de conceito (PoC) de falhas ainda sem correção caírem nas mãos de agentes maliciosos, isso poderá causar “graves consequências no mundo real”. A empresa também destacou: “Recebemos diferentes perspectivas para que a comunidade de segurança possa trabalhar unida para proteger todos. Nem sempre concordaremos em tudo, mas nos comprometemos a manter a transparência e continuar criando oportunidades de diálogo”. E acrescentou: “Essas conversas acontecem em eventos de agradecimento a pesquisadores, conferências de segurança e no trabalho diário que fazemos juntos para entender e corrigir vulnerabilidades”.
Como consequência dessa divulgação não autorizada, o GitHub teria encerrado a conta do pesquisador na semana passada. Depois disso, códigos de exploração para as seis vulnerabilidades foram reenviados ao GitLab, mas a nova conta criada na plataforma também está atualmente bloqueada.
Em uma publicação feita no fim de semana, o pesquisador alegou: “Resumindo, quando tentei me comunicar ativamente, fui rejeitado, insultado e humilhado publicamente”. Em seguida, afirmou: “Vocês apagaram completamente minha conta da Microsoft, que eu usava para reportar bugs, e depois difamaram minha reputação em público por meio do advisory de segurança CVE-2026-45585. Trabalhei de graça, feliz como um idiota, sem receber um centavo, e agora ainda têm o luxo de marcar minha conta no GitHub para me apagar da vista de todos sem deixar rastros? Vocês estão provando para todo mundo que estão escalando ativamente esse conflito. Mas eu já terminei de implorar”.
O pesquisador também anunciou que pretende divulgar algo em 14 de julho de 2026 e declarou: “Naquele dia, vou fazer os ossos da Microsoft se despedaçarem”.
Comentário do autor em uma linha
Parece que a Microsoft já não é mais uma empresa amigável
7 comentários
Por mais que haja muitos pontos criticáveis nos passos recentes da Microsoft, também me parece que a forma como esse pesquisador agiu foi excessivamente radical e irresponsável.
Especialmente quando se trata de segurança da informação, por mais urgente e grave que seja uma determinada vulnerabilidade, ainda assim é uma questão sensível que pode ser imediatamente explorada em um ataque de dia zero se for tratada de forma inadequada, então acredito que é difícil defender ou apoiar essa atitude, já que ela acabou destruindo gravemente os princípios e normas estabelecidos para lidar com esse tipo de situação.
Informaram a vulnerabilidade e mesmo assim não corrigiram... a Microsoft é incrível. Chega a dar a impressão de que estão protegendo isso para tentar atacar usando a vulnerabilidade. Minha vontade de migrar para Linux aumenta muito. Se não têm capacidade para corrigir, o certo é pedir ajuda. Se não querem pagar, então têm que aguentar as críticas... tentar posar de coitada é demais.
Sou totalmente amador. Só vou fazendo e usando, de forma improvisada, o que preciso em cada momento.
Desde o começo, a Microsoft apoiou muito os desenvolvedores com ambientes de desenvolvimento — inclusive documentação —, mas não era exatamente amigável ao open source.
Depois que Satya Nadella virou CEO, ela passou a adotar uma postura mais favorável ao open source, e isso me fez simpatizar mais com a empresa. Um exemplo disso é o WSL.
Concordo que, no momento, a Microsoft está indo mal na área de IA. Seja com o GitHub Copilot ou com o Copilot integrado ao sistema operacional.
Seja qual for o motivo, divulgar uma vulnerabilidade zero-day sem que exista qualquer preparação contra ela faz com que eu considere quem a divulgou um hacker malicioso. Em hacking, o difícil é encontrar a vulnerabilidade e explorá-la. Se um programa criado por mim puder ser instalado e executado com todas as permissões, qualquer um pode criar um programa malicioso.
Antes de discutir se a Microsoft lidou bem ou mal com isso, divulgar a vulnerabilidade mesmo sem haver preparação para ela não passa de ciberterrorismo.
Para mim, a postura desse pesquisador soa tipo
"A vulnerabilidade que eu descobri é tão perigosa; não é óbvio que vocês deveriam mobilizar toda a capacidade da empresa e tratá-la como prioridade máxima?"
É essa a sensação que passa.
Se eles receberam o reporte, deixaram isso parado por um ano sem explicação e agora estão fazendo isso, então o problema está do lado da Microsoft.
Mas, se a resposta não veio na velocidade que ele queria e por isso vai simplesmente divulgar uma nova vulnerabilidade, isso me parece mais próximo de um black hat do que de um white hat.
Nossa, essa forma de protesto desse pesquisador é muito fácil de ganhar críticas.
Também acho lamentável a movimentação recente da Microsoft. Ainda assim, também considero que a atitude do pesquisador é problemática.
Em geral, existe a prática de que vulnerabilidades de segurança só podem ser divulgadas pelo pesquisador após 90 dias da notificação ao fornecedor.
Quem trabalha com desenvolvimento sabe que patches de segurança, quando se somam ao trabalho já existente, inevitavelmente levam tempo. Por isso, surgiu a prática de um prazo de carência de 90 dias antes da divulgação, para que durante esse período seja possível avaliar o risco e a prioridade e tratar os problemas em ordem.
Divulgar isso de forma tão irresponsável, na minha opinião, é uma atitude que, mais do que prejudicar a Microsoft, expõe os usuários reais a ataques sem defesa.
É preciso distinguir a busca por interesses privados da promoção do interesse público. Se usam técnicas de marketing de interesse público, mas não assumem a correspondente responsabilidade pública, então estão zombando dos usuários. Master Bang-i