## Microsoft Responde a Divulgações de Zero-Day A **Microsoft** condenou publicamente a liberação de múltiplas vulnerabilidades zero-day no **Windows** por um pesquisador pseudônimo, Nightmare Eclipse. A empresa declarou que tais divulgações não coordenadas "nunca são justificáveis" e insinuou potenciais repercussões legais para aqueles que permitem o cybercrime. ### As Liberações de Zero-Day A partir de abril, Nightmare Eclipse começou a publicar vulnerabilidades com código proof-of-concept funcional no **GitHub**, tornando-as prontamente disponíveis tanto para atacantes quanto para profissionais de segurança. A conta do pesquisador no **GitHub** foi removida desde então, e seu blog parece estar offline. Entre as vulnerabilidades divulgadas, **BlueHammer** (**CVE-2026-33825**), **UnDefend** (**CVE-2026-45498**) e **RedSun** (**CVE-2026-41091**) foram exploradas em intrusões ativas, de acordo com os avisos da **Microsoft**. Essas vulnerabilidades também estão listadas no catálogo de vulnerabilidades conhecidas e exploradas da Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (**CISA**). Três lançamentos mais recentes – **YellowKey** (**CVE-2026-45585**), GreenPlasma e MiniPlasma – atualmente não possuem patches e não têm exploração confirmada. ### Motivações do Pesquisador O pesquisador, que permanece anônimo, citou queixas contra a **Microsoft**, alegando que a empresa excluiu sua conta no **Microsoft Security Response Center**, reteve pagamentos de recompensa e removeu a atribuição de pelo menos um aviso. O pesquisador declarou: "Eu poderia ter ganhado um dinheiro insano vendendo isso, mas nenhum dinheiro ficará entre mim e minha determinação contra a **Microsoft**." O pesquisador também ameaçou um novo lançamento em 14 de julho, coincidindo com o Patch Tuesday da **Microsoft**. ### Resposta da Microsoft Em uma postagem de blog, a **Microsoft** declarou: "Continuamos firmemente contra essas ações e qualquer divulgação fora de uma coordenação adequada que possa prejudicar nossos clientes e o ecossistema digital. Divulgações não coordenadas que colocam código proof-of-concept para vulnerabilidades sem patch nas mãos de maus atores nunca são justificáveis e têm consequências no mundo real." A empresa acrescentou: "Nossa Unidade de Crimes Digitais continuará a mover processos contra esses atores e aqueles que permitem suas atividades criminosas – coordenando conforme necessário com as autoridades policiais em todo o mundo." ### Preocupações da Indústria Embora as reclamações específicas do pesquisador permaneçam não verificadas, outros profissionais de segurança expressaram preocupações semelhantes sobre o manuseio de vulnerabilidades pela **Microsoft**. A Zero Day Initiative da **Trend Micro** criticou publicamente a **Microsoft** em 2024 por falta de reconhecimento após relatar uma vulnerabilidade ativamente explorada. O então CEO da **Tenable** publicou um post acusando a **Microsoft** de manter os clientes no escuro sobre uma vulnerabilidade no **Azure** que permaneceu sem patch por meses após a divulgação. Um pesquisador da **Check Point** também relatou que a **Microsoft** corrigiu um bug que ele relatou sem notificá-lo. **Katie Moussouris**, fundadora da Luta Security e arquiteta do programa original de recompensa por bugs da **Microsoft**, observou que, embora a divulgação de zero-days não seja ideal, "A não divulgação é muito pior... O que leva os pesquisadores à não divulgação? Ameaças de fornecedores." A **Microsoft** afirma que recebe submissões de vulnerabilidades através de seu portal público de pesquisadores, independentemente de interações passadas ou reputação.