Microsoft Critica Pesquisador por Publicar Exploits Zero-Day
A Microsoft critica o pesquisador Nightmare Eclipse por divulgar exploits zero-day, alegando que suas ações prejudicam a segurança da comunidade. O pesquisador, por sua vez, acusa a Microsoft de negligência e ameaças, resultando na publicação de exploits para vulnerabilidades não corrigidas.
MundiX News·29 de maio de 2026·3 min de leitura·👁 18 views
A Microsoft está em conflito com o pesquisador de segurança Nightmare Eclipse (também conhecido como Chaos Eclipse), que tem publicado repetidamente exploits zero-day, expondo vulnerabilidades críticas em seus sistemas. A empresa alega que as ações do pesquisador podem prejudicar toda a ecossistema de segurança cibernética. A Microsoft afirma que o pesquisador não notificou a empresa sobre as vulnerabilidades antes de publicar os exploits, privando-a da oportunidade de avaliar os riscos e preparar defesas adequadas.
A disputa, que já dura dois meses, foi desencadeada pela publicação de seis vulnerabilidades zero-day no Windows. Nightmare Eclipse divulgou informações sobre os bugs em acesso aberto, juntamente com exploits funcionais, ignorando o procedimento padrão de Coordinated Vulnerability Disclosure (CVD). As vulnerabilidades, incluindo BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma e MiniPlasma, foram divulgadas sem aviso prévio.
O pesquisador afirma que publicou os exploits zero-day em protesto contra o tratamento que recebeu do Microsoft Security Response Center (MSRC). Ele alega que a Microsoft ignorou suas comunicações, se recusou a pagar recompensas por problemas encontrados e até o ameaçou. A Microsoft, por sua vez, argumenta que essa prática coloca os usuários em risco, lembrando que colabora anualmente com centenas de pesquisadores de segurança por meio do CVD, onde as informações sobre vulnerabilidades são compartilhadas com o fornecedor antes da publicação de correções. A empresa também destacou que, após a publicação dos exploits, seus especialistas foram forçados a trabalhar 24 horas por dia para analisar as consequências, desenvolver medidas de proteção e preparar patches. Preocupantemente, pelo menos três das vulnerabilidades – BlueHammer, RedSun e UnDefend – já estão sendo exploradas em ataques reais. A situação em torno da vulnerabilidade YellowKey (CVE-2026-45585), que permite contornar a criptografia BitLocker, é particularmente alarmante, com a Microsoft considerando a exploração altamente provável, mas sem correções disponíveis para YellowKey, GreenPlasma e MiniPlasma. A Microsoft condenou veementemente qualquer divulgação não coordenada de informações sobre bugs zero-day e mencionou sua Digital Crimes Unit, que investiga crimes cibernéticos e colabora com as autoridades em todo o mundo, sugerindo possíveis consequências legais para Nightmare Eclipse. O pesquisador, por sua vez, teve seu acesso à conta MSRC revogado e suas contas no GitHub e GitLab bloqueadas, acusando a Microsoft de humilhação pública e falta de comunicação. Ele também prometeu divulgar documentos relacionados à corporação, alegando que isso "quebraria os ossos da Microsoft" em 14 de julho de 2026.
A comunidade de segurança cibernética está dividida sobre o assunto. Alguns especialistas condenam a publicação de exploits funcionais para vulnerabilidades não corrigidas, enquanto outros acreditam que a Microsoft agravou a situação. Dustin Childs, chefe da Zero Day Initiative, lembrou que o processo CVD exige responsabilidade de ambas as partes, e Katie Moussouris, chefe da Luta Security, criticou a retórica da Microsoft, chamando-a de contraditória e excessivamente agressiva. A maioria dos especialistas concorda que, independentemente das causas do conflito, os usuários são os que mais perdem. Com três dos seis zero-days já sendo usados em ataques, as consequências dessa disputa vão além de uma simples discussão entre um pesquisador e um fabricante.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A Microsoft está em conflito com o pesquisador de segurança Nightmare Eclipse (também conhecido como Chaos Eclipse), que tem publicado repetidamente exploits zero-day, expondo vulnerabilidades críticas em seus sistemas. A empresa alega que as ações do pesquisador podem prejudicar toda a ecossistema de segurança cibernética. A Microsoft afirma que o pesquisador não notificou a empresa sobre as vulnerabilidades antes de publicar os exploits, privando-a da oportunidade de avaliar os riscos e preparar defesas adequadas.
A disputa, que já dura dois meses, foi desencadeada pela publicação de seis vulnerabilidades zero-day no Windows. Nightmare Eclipse divulgou informações sobre os bugs em acesso aberto, juntamente com exploits funcionais, ignorando o procedimento padrão de Coordinated Vulnerability Disclosure (CVD). As vulnerabilidades, incluindo BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma e MiniPlasma, foram divulgadas sem aviso prévio.
O pesquisador afirma que publicou os exploits zero-day em protesto contra o tratamento que recebeu do Microsoft Security Response Center (MSRC). Ele alega que a Microsoft ignorou suas comunicações, se recusou a pagar recompensas por problemas encontrados e até o ameaçou. A Microsoft, por sua vez, argumenta que essa prática coloca os usuários em risco, lembrando que colabora anualmente com centenas de pesquisadores de segurança por meio do CVD, onde as informações sobre vulnerabilidades são compartilhadas com o fornecedor antes da publicação de correções. A empresa também destacou que, após a publicação dos exploits, seus especialistas foram forçados a trabalhar 24 horas por dia para analisar as consequências, desenvolver medidas de proteção e preparar patches. Preocupantemente, pelo menos três das vulnerabilidades – BlueHammer, RedSun e UnDefend – já estão sendo exploradas em ataques reais. A situação em torno da vulnerabilidade YellowKey (CVE-2026-45585), que permite contornar a criptografia BitLocker, é particularmente alarmante, com a Microsoft considerando a exploração altamente provável, mas sem correções disponíveis para YellowKey, GreenPlasma e MiniPlasma. A Microsoft condenou veementemente qualquer divulgação não coordenada de informações sobre bugs zero-day e mencionou sua Digital Crimes Unit, que investiga crimes cibernéticos e colabora com as autoridades em todo o mundo, sugerindo possíveis consequências legais para Nightmare Eclipse. O pesquisador, por sua vez, teve seu acesso à conta MSRC revogado e suas contas no GitHub e GitLab bloqueadas, acusando a Microsoft de humilhação pública e falta de comunicação. Ele também prometeu divulgar documentos relacionados à corporação, alegando que isso "quebraria os ossos da Microsoft" em 14 de julho de 2026.
A comunidade de segurança cibernética está dividida sobre o assunto. Alguns especialistas condenam a publicação de exploits funcionais para vulnerabilidades não corrigidas, enquanto outros acreditam que a Microsoft agravou a situação. Dustin Childs, chefe da Zero Day Initiative, lembrou que o processo CVD exige responsabilidade de ambas as partes, e Katie Moussouris, chefe da Luta Security, criticou a retórica da Microsoft, chamando-a de contraditória e excessivamente agressiva. A maioria dos especialistas concorda que, independentemente das causas do conflito, os usuários são os que mais perdem. Com três dos seis zero-days já sendo usados em ataques, as consequências dessa disputa vão além de uma simples discussão entre um pesquisador e um fabricante.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
