Microsoft muda de tom: não perseguirá pesquisadores por divulgar 0-day exploits
Após críticas da comunidade de cibersegurança, a Microsoft declarou que não pretende processar pesquisadores por divulgarem vulnerabilidades 0-day. A empresa busca amenizar conflitos e melhorar a colaboração com especialistas em segurança.
MundiX News·06 de junho de 2026·6 min de leitura·👁 14 views
A Microsoft está tentando apaziguar um conflito com um pesquisador de segurança conhecido como Nightmare Eclipse (também chamado de Chaos Eclipse), que tem publicado exploits para vulnerabilidades 0-day no Windows. Após forte repercussão negativa na comunidade de segurança da informação (IБ-сообщество), a empresa emitiu um comunicado afirmando que não tem a intenção de processar especialistas que realizam pesquisas de segurança.
Anteriormente, a Microsoft havia criticado veementemente as ações de Nightmare Eclipse, que divulgou exploits e informações sobre seis vulnerabilidades não corrigidas sem notificação prévia à empresa. As vulnerabilidades em questão incluíam BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma e MiniPlasma. No final de maio, a Microsoft declarou que a publicação de exploits para falhas ainda não corrigidas "não pode ser justificada de forma alguma", mencionando especificamente a sua Digital Crimes Unit, responsável pela investigação de crimes cibernéticos e cooperação com autoridades policiais globais. Embora não tenha havido ameaças diretas ao pesquisador, muitos especialistas interpretaram isso como uma indicação de possíveis ações legais.
A posição inicial da Microsoft gerou reações majoritariamente negativas no meio profissional. Kevin Beaumont, especialista em segurança e ex-funcionário da Microsoft, descreveu a situação como uma "catástrofe criada pela própria Microsoft". Florian Roth, chefe de pesquisa da Nextron Systems, comentou que, independentemente de quem estivesse certo no conflito, a empresa cometeu um erro grave ao transformar o incidente em um confronto público. Katie Moussouris, criadora do programa bug bounty da Microsoft e fundadora da Luta Security, também criticou a retórica da empresa, apontando que a Microsoft enviava sinais contraditórios ao falar sobre recompensas e reconhecimento para pesquisadores, enquanto respondia às queixas de um especialista que alegava não ter recebido nenhum dos dois. Além disso, a menção à Digital Crimes Unit foi vista como uma "ameaça velada".
Diante da repercussão, a Microsoft divulgou um novo comunicado, suavizando significativamente sua postura. A empresa enfatizou que não tomará medidas legais contra indivíduos que realizam pesquisas de segurança ou publicam seus resultados. Segundo a Microsoft, a cooperação com as autoridades policiais só ocorrerá em casos de atividades ilegais que causem danos reais aos clientes. A empresa também reconheceu que algumas interações com pesquisadores podem não ter ocorrido de forma ideal e prometeu considerar o feedback recebido. No entanto, os porta-vozes da Microsoft não comentaram as alegações de Nightmare Eclipse de que teve seu acesso à conta MSRC revogado, suas contas no GitHub e GitLab bloqueadas, suas mensagens ignoradas e que não recebeu pagamentos pelas vulnerabilidades encontradas.
Enquanto isso, o próprio Nightmare Eclipse relata em seu blog que as tentativas da Microsoft de pressioná-lo tiveram o efeito contrário. Segundo o pesquisador, após os recentes eventos, outros especialistas começaram a contatá-lo e a compartilhar informações sobre vulnerabilidades encontradas. Ele anunciou um bug chamado Bitskrieg, descoberto pelo pesquisador JonasLyk, que supostamente compromete a proteção do Secure Boot e permite contornar completamente o BitLocker. A divulgação de detalhes técnicos sobre essa vulnerabilidade está prevista para junho.
Vale notar que, na mesma semana, outro especialista em segurança, Ammar Askar, também divulgou publicamente uma vulnerabilidade 0-day no Visual Studio Code, apenas uma hora após notificar o GitHub sobre a falha. Segundo Askar, a decisão foi motivada por interações negativas anteriores com a equipe do Microsoft Security Response Center (MSRC). Ele alega que funcionários do MSRC corrigiram uma vulnerabilidade previamente encontrada por ele sem dar o devido crédito, classificando-a como de baixa gravidade.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A Microsoft está tentando apaziguar um conflito com um pesquisador de segurança conhecido como Nightmare Eclipse (também chamado de Chaos Eclipse), que tem publicado exploits para vulnerabilidades 0-day no Windows. Após forte repercussão negativa na comunidade de segurança da informação (IБ-сообщество), a empresa emitiu um comunicado afirmando que não tem a intenção de processar especialistas que realizam pesquisas de segurança.
Anteriormente, a Microsoft havia criticado veementemente as ações de Nightmare Eclipse, que divulgou exploits e informações sobre seis vulnerabilidades não corrigidas sem notificação prévia à empresa. As vulnerabilidades em questão incluíam BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma e MiniPlasma. No final de maio, a Microsoft declarou que a publicação de exploits para falhas ainda não corrigidas "não pode ser justificada de forma alguma", mencionando especificamente a sua Digital Crimes Unit, responsável pela investigação de crimes cibernéticos e cooperação com autoridades policiais globais. Embora não tenha havido ameaças diretas ao pesquisador, muitos especialistas interpretaram isso como uma indicação de possíveis ações legais.
A posição inicial da Microsoft gerou reações majoritariamente negativas no meio profissional. Kevin Beaumont, especialista em segurança e ex-funcionário da Microsoft, descreveu a situação como uma "catástrofe criada pela própria Microsoft". Florian Roth, chefe de pesquisa da Nextron Systems, comentou que, independentemente de quem estivesse certo no conflito, a empresa cometeu um erro grave ao transformar o incidente em um confronto público. Katie Moussouris, criadora do programa bug bounty da Microsoft e fundadora da Luta Security, também criticou a retórica da empresa, apontando que a Microsoft enviava sinais contraditórios ao falar sobre recompensas e reconhecimento para pesquisadores, enquanto respondia às queixas de um especialista que alegava não ter recebido nenhum dos dois. Além disso, a menção à Digital Crimes Unit foi vista como uma "ameaça velada".
Diante da repercussão, a Microsoft divulgou um novo comunicado, suavizando significativamente sua postura. A empresa enfatizou que não tomará medidas legais contra indivíduos que realizam pesquisas de segurança ou publicam seus resultados. Segundo a Microsoft, a cooperação com as autoridades policiais só ocorrerá em casos de atividades ilegais que causem danos reais aos clientes. A empresa também reconheceu que algumas interações com pesquisadores podem não ter ocorrido de forma ideal e prometeu considerar o feedback recebido. No entanto, os porta-vozes da Microsoft não comentaram as alegações de Nightmare Eclipse de que teve seu acesso à conta MSRC revogado, suas contas no GitHub e GitLab bloqueadas, suas mensagens ignoradas e que não recebeu pagamentos pelas vulnerabilidades encontradas.
Enquanto isso, o próprio Nightmare Eclipse relata em seu blog que as tentativas da Microsoft de pressioná-lo tiveram o efeito contrário. Segundo o pesquisador, após os recentes eventos, outros especialistas começaram a contatá-lo e a compartilhar informações sobre vulnerabilidades encontradas. Ele anunciou um bug chamado Bitskrieg, descoberto pelo pesquisador JonasLyk, que supostamente compromete a proteção do Secure Boot e permite contornar completamente o BitLocker. A divulgação de detalhes técnicos sobre essa vulnerabilidade está prevista para junho.
Vale notar que, na mesma semana, outro especialista em segurança, Ammar Askar, também divulgou publicamente uma vulnerabilidade 0-day no Visual Studio Code, apenas uma hora após notificar o GitHub sobre a falha. Segundo Askar, a decisão foi motivada por interações negativas anteriores com a equipe do Microsoft Security Response Center (MSRC). Ele alega que funcionários do MSRC corrigiram uma vulnerabilidade previamente encontrada por ele sem dar o devido crédito, classificando-a como de baixa gravidade.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
