Microsoft Diz Que Divulgações de Zero-Days Por ‘Nightmare Eclipse’ Nunca São Justificáveis

A Microsoft rompeu o silêncio sobre a onda de divulgações não coordenadas de zero-days do Windows liderada pelo pesquisador pseudônimo Nightmare Eclipse. Em comunicado oficial, a empresa classificou as publicações como “nunca justificáveis” e sinalizou que sua Digital Crimes Unit pode mover ações contra quem facilitar crimes cibernéticos. Das seis vulnerabilidades vazadas até agora, três — BlueHammer, UnDefend e RedSun — já foram exploradas em ataques reais e constam no catálogo KEV da CISA. As outras três — YellowKey, GreenPlasma e MiniPlasma — seguem sem patch.

O que aconteceu

Desde abril deste ano, um pesquisador conhecido apenas pelo apelido Nightmare Eclipse vinha publicando, no GitHub e em um blog próprio, vulnerabilidades zero-day no Windows acompanhadas de código de proof-of-concept funcional. Cada divulgação tornava o exploit imediatamente disponível tanto para atacantes quanto para defensores, criando uma janela de risco enquanto a Microsoft não emitia correções.

Na quarta-feira, a empresa publicou em seu blog corporativo a primeira reação pública formal ao caso. O posicionamento foi duro: a Microsoft afirmou que divulgações fora do processo de coordenação são “nunca justificáveis” e têm “consequências no mundo real”. Em paralelo, a conta do pesquisador no GitHub foi removida e seu blog no Blogger saiu do ar.

Em postagens assinadas criptograficamente, Nightmare Eclipse listou queixas contra a Microsoft — entre elas, a alegação de que sua conta no Microsoft Security Response Center foi deletada, que pagamentos de bug bounty foram retidos e que seu nome foi removido de pelo menos um aviso de segurança como crédito de pesquisador. O autor também prometeu uma nova rodada de divulgações para 14 de julho, data da próxima Patch Tuesday.

A posição da Microsoft

Embora não tenha mencionado nominalmente o pesquisador nem indicado processos judiciais explícitos, a Microsoft deixou claro que considera a ação criminosa em alguma medida. A nota mencionou diretamente o Digital Crimes Unit, braço responsável por casos cíveis e criminais contra cibercriminosos — sinalizando que pode haver desdobramento jurídico.

“Permanecemos firmemente contra essas ações e contra qualquer divulgação fora da coordenação adequada que possa prejudicar nossos clientes e o ecossistema digital. Divulgações não coordenadas que colocam código de prova de conceito de vulnerabilidades sem patch nas mãos de atores maliciosos nunca são justificáveis e têm consequências no mundo real.” — Microsoft, comunicado oficial

A frase mais delicada do comunicado, porém, foi outra: a empresa afirmou que sua Digital Crimes Unit “continuará movendo casos contra esses atores e contra aqueles que facilitam sua atividade criminosa — coordenando, quando necessário, com agências de aplicação da lei ao redor do mundo”. A formulação deliberadamente vaga abre espaço para interpretações que vão desde a remoção administrativa de conteúdo até ações cíveis e cooperação com autoridades policiais.

A reação da comunidade

A resposta da comunidade de segurança foi rápida e crítica. Katie Moussouris, fundadora da Luta Security e arquiteta do primeiro programa de bug bounty da própria Microsoft, publicou no Bluesky uma crítica direta ao uso do termo “responsible disclosure” pela empresa.

• Trend Micro / Zero Day Initiative (2024): denunciou publicamente a falta de reconhecimento por uma vulnerabilidade explorada em ataques reais.
• Tenable (2023): o então CEO acusou a Microsoft de manter clientes “deliberadamente no escuro” sobre uma falha no Azure que ficou meses sem patch.
• Check Point: o pesquisador Haifei Li relatou que a Microsoft corrigiu um bug reportado por ele sem notificá-lo, afirmando que “coordenação não pode ser unilateral”.
• Comunidade infosec em geral: repetida frustração com prazos longos, ausência de feedback e tratamento opaco de denúncias.

Análise

O episódio Nightmare Eclipse não pode ser lido apenas como o caso isolado de um pesquisador ressentido. Ele é a manifestação visível de uma crise mais ampla nos modelos de divulgação coordenada de vulnerabilidades. O ecossistema de bug bounty foi construído sobre um contrato implícito: o pesquisador entrega a falha em sigilo, o vendor corrige rapidamente, dá crédito público e paga uma recompensa justa. Quando uma das três pernas falha — particularmente em uma empresa do porte da Microsoft, com bilhões em receita anual — o pesquisador perde o incentivo para colaborar.

Há outro fenômeno em jogo. A indústria está vivendo uma escalada da assimetria entre vendors e pesquisadores: enquanto o mercado de exploits comerciais — legítimo ou cinzento — paga seis ou sete dígitos por zero-days de qualidade, programas de bug bounty corporativos raramente superam os cinco dígitos. Sem reconhecimento e sem recompensa proporcional, restam três caminhos ao pesquisador: vender no mercado cinza, guardar para uso próprio (também conhecido como non-disclosure) ou fazer full-disclosure como protesto. A advertência de Moussouris é precisa: a não-divulgação é pior que a divulgação caótica, porque ao menos a segunda obriga os fabricantes a agir.

Recomendações práticas

• Priorizar a aplicação imediata dos patches relacionados a BlueHammer, UnDefend e RedSun — já presentes no catálogo KEV da CISA
• Monitorar agressivamente as discussões públicas sobre YellowKey, GreenPlasma e MiniPlasma, que seguem sem correção oficial
• Aplicar regras de detecção comportamental nos endpoints com Windows, focando em escaladas de privilégio e bypass de autenticação típicos de zero-days do tipo divulgado
• Reforçar segmentação de rede e zero-trust para reduzir o impacto caso um zero-day seja explorado antes de ser corrigido
• Manter um plano de patch emergencial preparado para a próxima Patch Tuesday (14 de julho), considerando o aviso público do pesquisador
• Para CISOs: revisar políticas internas de bug bounty e divulgação para garantir que o time de resposta da própria empresa não cometa os mesmos erros que vêm motivando dropps de zero-day
• Acompanhar boletins da CISA e da Microsoft diariamente neste período de instabilidade

Fonte: The Record