1 de junho de 2026

Microsoft Diz Que Divulgações de Zero-Days Por ‘Nightmare Eclipse’ Nunca São Justificáveis

1 de junho de 2026

Microsoft publica resposta oficial à campanha de divulgações de zero-day do Windows pelo pesquisador pseudônimo Nightmare Eclipse e sinaliza que pode mover ações via Digital Crimes Unit. Comunidade infosec reage criticando a postura.

A Microsoft rompeu o silêncio sobre a onda de divulgações não coordenadas de zero-days do Windows liderada pelo pesquisador pseudônimo Nightmare Eclipse. Em comunicado oficial, a empresa classificou as publicações como “nunca justificáveis” e sinalizou que sua Digital Crimes Unit pode mover ações contra quem facilitar crimes cibernéticos. Das seis vulnerabilidades vazadas até agora, três — BlueHammer, UnDefend e RedSun — já foram exploradas em ataques reais e constam no catálogo KEV da CISA. As outras três — YellowKey, GreenPlasma e MiniPlasma — seguem sem patch.

O que aconteceu

Desde abril deste ano, um pesquisador conhecido apenas pelo apelido Nightmare Eclipse vinha publicando, no GitHub e em um blog próprio, vulnerabilidades zero-day no Windows acompanhadas de código de proof-of-concept funcional. Cada divulgação tornava o exploit imediatamente disponível tanto para atacantes quanto para defensores, criando uma janela de risco enquanto a Microsoft não emitia correções.

Na quarta-feira, a empresa publicou em seu blog corporativo a primeira reação pública formal ao caso. O posicionamento foi duro: a Microsoft afirmou que divulgações fora do processo de coordenação são “nunca justificáveis” e têm “consequências no mundo real”. Em paralelo, a conta do pesquisador no GitHub foi removida e seu blog no Blogger saiu do ar.

Em postagens assinadas criptograficamente, Nightmare Eclipse listou queixas contra a Microsoft — entre elas, a alegação de que sua conta no Microsoft Security Response Center foi deletada, que pagamentos de bug bounty foram retidos e que seu nome foi removido de pelo menos um aviso de segurança como crédito de pesquisador. O autor também prometeu uma nova rodada de divulgações para 14 de julho, data da próxima Patch Tuesday.

A posição da Microsoft

Embora não tenha mencionado nominalmente o pesquisador nem indicado processos judiciais explícitos, a Microsoft deixou claro que considera a ação criminosa em alguma medida. A nota mencionou diretamente o Digital Crimes Unit, braço responsável por casos cíveis e criminais contra cibercriminosos — sinalizando que pode haver desdobramento jurídico.

“Permanecemos firmemente contra essas ações e contra qualquer divulgação fora da coordenação adequada que possa prejudicar nossos clientes e o ecossistema digital. Divulgações não coordenadas que colocam código de prova de conceito de vulnerabilidades sem patch nas mãos de atores maliciosos nunca são justificáveis e têm consequências no mundo real.” — Microsoft, comunicado oficial

A frase mais delicada do comunicado, porém, foi outra: a empresa afirmou que sua Digital Crimes Unit “continuará movendo casos contra esses atores e contra aqueles que facilitam sua atividade criminosa — coordenando, quando necessário, com agências de aplicação da lei ao redor do mundo”. A formulação deliberadamente vaga abre espaço para interpretações que vão desde a remoção administrativa de conteúdo até ações cíveis e cooperação com autoridades policiais.

A reação da comunidade

A resposta da comunidade de segurança foi rápida e crítica. Katie Moussouris, fundadora da Luta Security e arquiteta do primeiro programa de bug bounty da própria Microsoft, publicou no Bluesky uma crítica direta ao uso do termo “responsible disclosure” pela empresa.

  • Trend Micro / Zero Day Initiative (2024): denunciou publicamente a falta de reconhecimento por uma vulnerabilidade explorada em ataques reais.
  • Tenable (2023): o então CEO acusou a Microsoft de manter clientes “deliberadamente no escuro” sobre uma falha no Azure que ficou meses sem patch.
  • Check Point: o pesquisador Haifei Li relatou que a Microsoft corrigiu um bug reportado por ele sem notificá-lo, afirmando que “coordenação não pode ser unilateral”.
  • Comunidade infosec em geral: repetida frustração com prazos longos, ausência de feedback e tratamento opaco de denúncias.

Análise

O episódio Nightmare Eclipse não pode ser lido apenas como o caso isolado de um pesquisador ressentido. Ele é a manifestação visível de uma crise mais ampla nos modelos de divulgação coordenada de vulnerabilidades. O ecossistema de bug bounty foi construído sobre um contrato implícito: o pesquisador entrega a falha em sigilo, o vendor corrige rapidamente, dá crédito público e paga uma recompensa justa. Quando uma das três pernas falha — particularmente em uma empresa do porte da Microsoft, com bilhões em receita anual — o pesquisador perde o incentivo para colaborar.

Há outro fenômeno em jogo. A indústria está vivendo uma escalada da assimetria entre vendors e pesquisadores: enquanto o mercado de exploits comerciais — legítimo ou cinzento — paga seis ou sete dígitos por zero-days de qualidade, programas de bug bounty corporativos raramente superam os cinco dígitos. Sem reconhecimento e sem recompensa proporcional, restam três caminhos ao pesquisador: vender no mercado cinza, guardar para uso próprio (também conhecido como non-disclosure) ou fazer full-disclosure como protesto. A advertência de Moussouris é precisa: a não-divulgação é pior que a divulgação caótica, porque ao menos a segunda obriga os fabricantes a agir.

Recomendações práticas

  • Priorizar a aplicação imediata dos patches relacionados a BlueHammer, UnDefend e RedSun — já presentes no catálogo KEV da CISA
  • Monitorar agressivamente as discussões públicas sobre YellowKey, GreenPlasma e MiniPlasma, que seguem sem correção oficial
  • Aplicar regras de detecção comportamental nos endpoints com Windows, focando em escaladas de privilégio e bypass de autenticação típicos de zero-days do tipo divulgado
  • Reforçar segmentação de rede e zero-trust para reduzir o impacto caso um zero-day seja explorado antes de ser corrigido
  • Manter um plano de patch emergencial preparado para a próxima Patch Tuesday (14 de julho), considerando o aviso público do pesquisador
  • Para CISOs: revisar políticas internas de bug bounty e divulgação para garantir que o time de resposta da própria empresa não cometa os mesmos erros que vêm motivando dropps de zero-day
  • Acompanhar boletins da CISA e da Microsoft diariamente neste período de instabilidade

Fonte: The Record

Matérias Relacionadas

CVE-2026-0257: Vulnerabilidade do Palo Alto Networks PAN-OS Foi Explorada Apenas 4 Dias Após Divulgação

1 de junho de 2026

CISA exige correção imediata do CVE-2026-48172 no plugin LiteSpeed para cPanel após exploração ativa como zero-day

27 de maio de 2026

FBI alerta sobre Kali365: phishing-as-a-service via Telegram captura tokens OAuth e burla MFA do Microsoft 365

25 de maio de 2026

Veja mais..

CVE-2026-0257: Vulnerabilidade do Palo Alto Networks PAN-OS Foi Explorada Apenas 4 Dias Após Divulgação

1 de junho de 2026

Microsoft Diz Que Divulgações de Zero-Days Por ‘Nightmare Eclipse’ Nunca São Justificáveis

1 de junho de 2026

Operation Dragon Weave: Grupos Alinhados à China Intensificam Ataques contra República Tcheca e Taiwan

1 de junho de 2026

CISA exige correção imediata do CVE-2026-48172 no plugin LiteSpeed para cPanel após exploração ativa como zero-day

27 de maio de 2026

Lituânia investiga vazamento de mais de 600 mil registros estatais com indícios de ator estatal estrangeiro

27 de maio de 2026
Social Media Auto Publish Powered By : XYZScripts.com