Microsoft critica divulgação de falhas zero-day após controvérsia com pesquisador no GitHub

Microsoft critica divulgação de falhas zero-day após controvérsia com pesquisador no GitHub

A Microsoft se posicionou em defesa do modelo de Divulgação Coordenada de Vulnerabilidades (Coordinated Vulnerability Disclosure - CVD), após a publicação pública de múltiplas falhas zero-day sem comunicação prévia à empresa.

O caso envolve o pesquisador conhecido como Chaotic Eclipse (ou Nightmare-Eclipse), que divulgou detalhes técnicos e códigos de exploração relacionados a vulnerabilidades em componentes do Windows, incluindo Microsoft Defender e BitLocker.

Segundo a Microsoft, a exposição antecipada dessas falhas aumentou o risco para usuários, já que informações técnicas poderiam ser rapidamente exploradas por agentes maliciosos. A empresa afirmou que suas equipes precisaram atuar de forma emergencial para analisar o impacto e desenvolver correções.

Entre as vulnerabilidades divulgadas estão BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma e MiniPlasma. De acordo com a empresa, algumas delas já estariam sendo exploradas ativamente após a publicação dos detalhes.

A Microsoft reforça que a divulgação não coordenada de falhas críticas, especialmente com provas de conceito públicas, acelera a transformação de vulnerabilidades em vetores de ataque antes da disponibilização de patches.

Após a publicação, as contas do pesquisador em plataformas como GitHub e GitLab foram removidas, o que intensificou a discussão na comunidade de segurança sobre limites entre pesquisa independente, pressão por correções e exposição pública de falhas.

O caso reacende o debate sobre o equilíbrio entre transparência e segurança: enquanto fornecedores defendem coordenação prévia para reduzir riscos, parte da comunidade argumenta que a divulgação pública pode ser necessária quando há demora na correção de problemas críticos.