Microsoft recua e garante: pesquisadores de 0-day não serão processados
Aprofundamento CEVIU
Aprofundamento
A Microsoft recuou sob pressão da comunidade de segurança após tentar processar o pesquisador Nightmare Eclipse, que expôs falhas críticas como BlueHammer (CVE-2026-33825) e RedSun (CVE-2026-41091), ambas já em exploração ativa e listadas no catálogo KEV da CISA. O atrito não foi técnico, mas político: a empresa desativou contas do pesquisador no GitHub, GitLab e MSRC, e sua Unidade de Crimes Digitais ameaçou ações legais contra 'atores' que publicam PoCs. Agora, a nova política limita processos apenas a atividades comprovadamente maliciosas com danos reais, uma reversão explícita da postura de abril, quando a Microsoft ainda defendia a 'divulgação coordenada' como única via legítima.
O recuo é estratégico, mas frágil: não há atualização formal nas diretrizes do MSRC nem compromisso com prazos mínimos de correção. A BlueHammer, por exemplo, levou quase dois meses entre divulgação pública (abril) e patch efetivo (maio), tempo em que empresas ficaram expostas. E a GreenPlasm, sem CVE até 29 de maio, mostra que a falta de diálogo persiste em casos menos visíveis, o que a nova promessa não resolve.
O que mudou
Em 2026-04, a Microsoft tratava divulgações públicas como violação de políticas e acionava sua Unidade de Crimes Digitais contra pesquisadores. Em 2026-06-04, passou a garantir 'porto seguro' para quem publica ou pesquisa vulnerabilidades, desde que não cause danos reais. A mudança veio depois de três eventos concretos: a inclusão de BlueHammer e RedSun no catálogo KEV da CISA com evidência de exploração ativa; a pressão pública da comunidade, incluindo críticas de especialistas que chamaram a postura anterior de 'míope'; e o fato de que a própria Microsoft já havia corrigido as falhas mais graves (BlueHammer em abril, RedSun em maio), reduzindo seu risco operacional ao mudar de discurso.
Por que isso importa
Empresas brasileiras que usam Microsoft 365, Windows Server ou BitLocker precisam rever seus planos de resposta a incidentes: a nova política não elimina o risco de exploração em janelas de divulgação não coordenada, mas muda o cenário jurídico para seus próprios pesquisadores internos ou pentesters terceirizados. Se um time de segurança descobrir uma falha e optar por divulgar antes de um patch, ele agora tem maior proteção legal, mas ainda enfrenta o problema prático de que a Microsoft pode demorar semanas para corrigir, como ocorreu com UnDefend (patch fora de banda em 21/05, após divulgação em maio). Isso exige que equipes de defesa adotem mitigação imediata, não esperem pela atualização oficial.
Linha do tempo
Nightmare Eclipse divulga publicamente PoCs para BlueHammer e RedSun após relatar à Microsoft sem resposta
CISA inclui BlueHammer no catálogo KEV com evidência de exploração ativa
CISA adiciona RedSun e UnDefend ao catálogo KEV; Microsoft lança patches fora de banda para UnDefend
Microsoft anuncia recuo formal e garante que não processará pesquisadores de segurança que publiquem vulnerabilidades
Perguntas frequentes
A nova política da Microsoft protege pesquisadores que publicam PoCs antes do patch?
Sim, desde que não haja intenção maliciosa nem danos reais comprovados. Mas a proteção é declaratória, não legalmente vinculante, não há alteração nos termos do MSRC nem em leis federais norte-americanas. A Microsoft ainda pode recorrer à justiça se interpretar a divulgação como negligente ou prejudicial.
O que acontece com vulnerabilidades como YellowKey, que ainda não têm patch?
A Microsoft forneceu apenas orientações de mitigação (como desabilitar o modo de inicialização USB seguro), sem data prevista para correção. A nova política não acelera o desenvolvimento de patches, apenas reduz o risco de retaliação contra quem denuncia. Empresas devem aplicar as medidas de contorno indicadas imediatamente.
Essa mudança afeta programas de recompensa por bugs da Microsoft?
Não diretamente. O programa MSRC continua exigindo relatos privados para elegibilidade a recompensas. A nova política cobre pesquisadores que optam por não participar do programa, ou que, como Nightmare Eclipse, relataram e foram ignorados. A recompensa financeira ainda depende da coordenação prévia.
Como essa mudança impacta a segurança de empresas brasileiras que usam produtos Microsoft?
Reduz o risco jurídico de times de segurança internos que testam e divulgam falhas, mas aumenta a responsabilidade operacional: sem um patch, elas precisam implementar controles compensatórios (como EDR com detecção de BlueHammer) e monitorar ativamente feeds de exploração ativa, já que a CISA lista essas falhas como KEV assim que há evidência de uso real por ameaças.
Fontes
- theregister.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 04 de junho de 2026
- Editoria
- CEVIU Segurança da Informação
