A Microsoft se manifestou publicamente em defesa do modelo de Divulgação Coordenada de Vulnerabilidades (Coordinated Vulnerability Disclosure - CVD) após uma série de vulnerabilidades zero-day terem sido expostas sem aviso prévio à empresa.

O posicionamento ocorre em meio a uma disputa envolvendo o pesquisador conhecido como Chaotic Eclipse, também chamado de Nightmare-Eclipse, responsável por divulgar detalhes técnicos e códigos de exploração de diversas falhas que afetam componentes do Windows, incluindo Microsoft Defender e BitLocker.

Segundo a Microsoft, a divulgação pública das vulnerabilidades sem coordenação prévia colocou clientes em risco desnecessário ao disponibilizar informações que poderiam ser rapidamente aproveitadas por agentes maliciosos. A empresa afirmou que suas equipes de segurança precisaram atuar de forma intensiva para compreender o impacto das falhas, implementar medidas de mitigação e desenvolver correções para os sistemas afetados.

Entre as vulnerabilidades divulgadas estão BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma e MiniPlasma. De acordo com a Microsoft, pelo menos três delas — BlueHammer, RedSun e UnDefend — já passaram a ser exploradas ativamente por invasores após a publicação dos detalhes técnicos.

A empresa destacou que se opõe de forma firme à divulgação não coordenada de vulnerabilidades, especialmente quando códigos de prova de conceito (PoC) são disponibilizados antes da correção dos problemas. Na visão da companhia, esse tipo de prática acelera a transformação de vulnerabilidades em armas cibernéticas, reduzindo o tempo disponível para que organizações implementem medidas de proteção.

O caso ganhou ainda mais repercussão após a remoção da conta do pesquisador no GitHub. Segundo relatos, os códigos de exploração referentes às seis vulnerabilidades foram posteriormente republicados no GitLab. No entanto, a nova conta criada para hospedar os materiais também teria sido bloqueada.

Chaotic Eclipse afirma que a situação foi resultado de um desgaste no relacionamento com a Microsoft durante o processo de reporte das falhas. Em uma publicação feita no último fim de semana, o pesquisador acusou a empresa de ignorar tentativas de comunicação, desconsiderar suas contribuições e tomar medidas para remover seus conteúdos das plataformas públicas.

O pesquisador também criticou uma orientação de segurança relacionada à vulnerabilidade CVE-2026-45585 e alegou que a própria conta Microsoft utilizada anteriormente para reportar falhas teria sido removida. As declarações aumentaram a tensão em um debate antigo dentro da comunidade de segurança: até que ponto a divulgação pública de vulnerabilidades é necessária para pressionar fornecedores a agir rapidamente e quando ela passa a representar um risco adicional para usuários e organizações.

A controvérsia evidencia o conflito recorrente entre pesquisadores independentes e grandes fornecedores de software. Enquanto empresas defendem processos coordenados que permitam a correção das falhas antes da divulgação pública, parte da comunidade argumenta que a transparência é necessária quando os fabricantes não respondem adequadamente ou demoram para corrigir problemas críticos.

Outro ponto que chamou atenção foi uma mensagem publicada pelo pesquisador indicando que pretende divulgar algo em 14 de julho de 2026 que, segundo suas palavras, causará um impacto significativo para a Microsoft. Até o momento, não há informações concretas sobre o que poderá ser revelado nessa data.

O episódio ocorre em um momento de crescente preocupação com a exploração de vulnerabilidades zero-day. Essas falhas são particularmente valiosas para grupos de cibercrime e operações de espionagem porque não possuem correções disponíveis no momento da descoberta, permitindo que invasores obtenham acesso privilegiado, executem código malicioso ou comprometam sistemas antes que medidas de proteção sejam implementadas.