CEVIU Logo
Voltar

Microsoft recua e garante: pesquisadores de 0-day não serão processados

Aprofundamento CEVIU

Aprofundamento

A Microsoft recuou sob pressão da comunidade de segurança após tentar processar o pesquisador Nightmare Eclipse, que expôs falhas críticas como BlueHammer (CVE-2026-33825) e RedSun (CVE-2026-41091), ambas já em exploração ativa e listadas no catálogo KEV da CISA. O atrito não foi técnico, mas político: a empresa desativou contas do pesquisador no GitHub, GitLab e MSRC, e sua Unidade de Crimes Digitais ameaçou ações legais contra 'atores' que publicam PoCs. Agora, a nova política limita processos apenas a atividades comprovadamente maliciosas com danos reais, uma reversão explícita da postura de abril, quando a Microsoft ainda defendia a 'divulgação coordenada' como única via legítima.

O recuo é estratégico, mas frágil: não há atualização formal nas diretrizes do MSRC nem compromisso com prazos mínimos de correção. A BlueHammer, por exemplo, levou quase dois meses entre divulgação pública (abril) e patch efetivo (maio), tempo em que empresas ficaram expostas. E a GreenPlasm, sem CVE até 29 de maio, mostra que a falta de diálogo persiste em casos menos visíveis, o que a nova promessa não resolve.

O que mudou

Em 2026-04, a Microsoft tratava divulgações públicas como violação de políticas e acionava sua Unidade de Crimes Digitais contra pesquisadores. Em 2026-06-04, passou a garantir 'porto seguro' para quem publica ou pesquisa vulnerabilidades, desde que não cause danos reais. A mudança veio depois de três eventos concretos: a inclusão de BlueHammer e RedSun no catálogo KEV da CISA com evidência de exploração ativa; a pressão pública da comunidade, incluindo críticas de especialistas que chamaram a postura anterior de 'míope'; e o fato de que a própria Microsoft já havia corrigido as falhas mais graves (BlueHammer em abril, RedSun em maio), reduzindo seu risco operacional ao mudar de discurso.

Por que isso importa

Empresas brasileiras que usam Microsoft 365, Windows Server ou BitLocker precisam rever seus planos de resposta a incidentes: a nova política não elimina o risco de exploração em janelas de divulgação não coordenada, mas muda o cenário jurídico para seus próprios pesquisadores internos ou pentesters terceirizados. Se um time de segurança descobrir uma falha e optar por divulgar antes de um patch, ele agora tem maior proteção legal, mas ainda enfrenta o problema prático de que a Microsoft pode demorar semanas para corrigir, como ocorreu com UnDefend (patch fora de banda em 21/05, após divulgação em maio). Isso exige que equipes de defesa adotem mitigação imediata, não esperem pela atualização oficial.

Linha do tempo

  1. Nightmare Eclipse divulga publicamente PoCs para BlueHammer e RedSun após relatar à Microsoft sem resposta

  2. CISA inclui BlueHammer no catálogo KEV com evidência de exploração ativa

  3. CISA adiciona RedSun e UnDefend ao catálogo KEV; Microsoft lança patches fora de banda para UnDefend

  4. Microsoft anuncia recuo formal e garante que não processará pesquisadores de segurança que publiquem vulnerabilidades

Perguntas frequentes

A nova política da Microsoft protege pesquisadores que publicam PoCs antes do patch?

Sim, desde que não haja intenção maliciosa nem danos reais comprovados. Mas a proteção é declaratória, não legalmente vinculante, não há alteração nos termos do MSRC nem em leis federais norte-americanas. A Microsoft ainda pode recorrer à justiça se interpretar a divulgação como negligente ou prejudicial.

O que acontece com vulnerabilidades como YellowKey, que ainda não têm patch?

A Microsoft forneceu apenas orientações de mitigação (como desabilitar o modo de inicialização USB seguro), sem data prevista para correção. A nova política não acelera o desenvolvimento de patches, apenas reduz o risco de retaliação contra quem denuncia. Empresas devem aplicar as medidas de contorno indicadas imediatamente.

Essa mudança afeta programas de recompensa por bugs da Microsoft?

Não diretamente. O programa MSRC continua exigindo relatos privados para elegibilidade a recompensas. A nova política cobre pesquisadores que optam por não participar do programa, ou que, como Nightmare Eclipse, relataram e foram ignorados. A recompensa financeira ainda depende da coordenação prévia.

Como essa mudança impacta a segurança de empresas brasileiras que usam produtos Microsoft?

Reduz o risco jurídico de times de segurança internos que testam e divulgam falhas, mas aumenta a responsabilidade operacional: sem um patch, elas precisam implementar controles compensatórios (como EDR com detecção de BlueHammer) e monitorar ativamente feeds de exploração ativa, já que a CISA lista essas falhas como KEV assim que há evidência de uso real por ameaças.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
04 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser