Em disputa com pesquisador, Microsoft corrige zero-days divulgados

A disputa entre a Microsoft e o pesquisador Nightmare Eclipse (também conhecido como Chaotic Eclipse) tornou-se um caso emblemático das tensões crescentes entre fornecedores de software e a comunidade de segurança. Desde 2025, o pesquisador divulgou dezenas de vulnerabilidades zero-day no Windows, incluindo GreenPlasma (CVE-2026-50507), YellowKey (CVE-2026-45585), MiniPlasma (CVE-2020-17103, com regressão confirmada em 2026), RedSun, BlueHammer e UnDefend — muitas já observadas em campanhas reais de ataque. Em junho de 2026, após o maior Patch Tuesday da história da Microsoft (com mais de 200 correções, sendo 32–38 críticas), a empresa corrigiu GreenPlasma e MiniPlasma, mas deixou pendentes RedSun e BlueHammer, enquanto publicou mitigação manual para YellowKey. O conflito escalou com a exclusão da conta do pesquisador no MSRC, GitHub e GitLab pela Microsoft, seguida de ameaças legais da Unidade de Crimes Digitais — posteriormente suavizadas após críticas públicas.

Recentemente, Nightmare Eclipse revelou dois novos exploits: RoguePlanet (explorando condição de corrida no Microsoft Defender em Windows 10/11 totalmente atualizados) e GreatXML (bypass do BitLocker via manipulação de unattend.xml e partição de recuperação no WinRE), ambos divulgados com prova de conceito em 11 de junho de 2026. A Microsoft ainda não lançou patches oficiais para esses dois, embora tenha corrigido CVE-2026-41091 (escalonação de privilégios no Defender) — falha já explorada ativamente. O aumento sem precedente no volume de correções está ligado ao uso intensivo de IA generativa em auditorias de código, conforme confirmado por fontes internas citadas na imprensa técnica.

Esse impasse vai além de uma simples divergência técnica: ele expõe falhas estruturais nos programas de bug bounty e divulgação coordenada (Coordinated Disclosure) da Microsoft. Pesquisadores relatam dificuldades persistentes no MSRC, como falta de resposta, ausência de créditos, pagamentos irregulares e processos opacos — o que levou também Ammar Askar a divulgar publicamente bugs no VS Code. Para organizações brasileiras que dependem do Windows e do Microsoft Defender, a demora ou ausência de correção para vulnerabilidades como BlueHammer, RedSun e agora RoguePlanet representa risco operacional real, especialmente em ambientes com políticas de atualização lentas. A adoção acelerada de ferramentas de IA para auditoria de código é uma resposta direta à pressão, mas não resolve a desconfiança institucional acumulada.

Desenvolvedores e equipes de segurança de TI no Brasil precisam priorizar testes específicos para os vetores explorados por Nightmare Eclipse: manipulação de arquivos VHD(X) em SMB (RoguePlanet), injeção de unattend.xml em partições de recuperação (GreatXML), e bypass de proteção de inicialização via BitLocker (YellowKey). A ausência de patches oficiais para RoguePlanet e GreatXML exige mitigação imediata, como desabilitar o serviço de montagem automática de VHD, bloquear acesso não autorizado à partição de recuperação e revisar políticas de boot seguro. Além disso, o uso de ferramentas baseadas em IA para análise estática de código (como CodeQL + LLMs especializados) passou a ser recomendado pelas principais equipes de segurança para identificar padrões similares aos explorados em GreenPlasma e MiniPlasma — especialmente condições de corrida em drivers e lógica de verificação offline do Windows Defender.