Microsoft critica la divulgación pública de un zero-day en Windows tras bloquear una cuenta de GitHub
(thehackernews.com)Microsoft reaccionó con dureza contra un investigador de seguridad que divulgó públicamente sin autorización una vulnerabilidad zero-day sin parchear y, tras bloquear su cuenta de GitHub, el investigador advirtió que hará más revelaciones, intensificando el conflicto.
Traducción completa
Microsoft afirmó que apoya firmemente el proceso de Divulgación Coordinada de Vulnerabilidades (CVD) e instó a la comunidad de investigación en seguridad a compartir sus hallazgos y dar a los proveedores afectados la oportunidad de comprender claramente el problema y solucionarlo antes de que la vulnerabilidad se haga pública.
Este incidente comenzó cuando un investigador conocido como 'Chaotic Eclipse' (también llamado Nightmare-Eclipse) publicó durante el último mes detalles de varias vulnerabilidades zero-day que afectan a distintos componentes de Windows, incluidos Defender y BitLocker, argumentando que el proceso de manejo de vulnerabilidades de Microsoft era deficiente.
Microsoft declaró que "en las últimas semanas se han divulgado públicamente varios zero-days" y que "los detalles de estas vulnerabilidades no se compartieron con Microsoft antes de su publicación, lo que expuso innecesariamente a nuestros clientes a riesgos". También añadió que "para responder al riesgo generado por esta divulgación no autorizada, nuestros equipos de seguridad están trabajando las 24 horas para evaluar el impacto, proteger a los clientes y desarrollar actualizaciones de seguridad".
Las vulnerabilidades divulgadas son seis en total: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), Undefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma y MiniPlasma. Entre ellas, tres —incluidas BlueHammer, RedSun y Undefend— {p:50} ya están siendo explotadas activamente en ataques maliciosos en entornos reales.
Microsoft dijo que se opone "firmemente" a este tipo de divulgación no coordinada y advirtió que, si el código de prueba de concepto (PoC) de vulnerabilidades sin parchear cae en manos de actores maliciosos, podría provocar "graves consecuencias en el mundo real". También subrayó que "damos la bienvenida a distintas perspectivas para que la comunidad de seguridad pueda colaborar en proteger a todos. No siempre podremos estar de acuerdo en todo, pero nos comprometemos a mantener la transparencia y a seguir creando oportunidades de diálogo". Añadió que "esas conversaciones ocurren en eventos de agradecimiento a investigadores, conferencias de seguridad y en el trabajo diario que realizamos juntos para comprender y resolver vulnerabilidades".
Como consecuencia de esta divulgación no autorizada, se informó que GitHub cerró la cuenta del investigador la semana pasada. Después, el código de explotación de las seis vulnerabilidades fue subido nuevamente a GitLab, pero esa nueva cuenta de GitLab también se encuentra actualmente bloqueada.
En una publicación hecha durante el fin de semana, el investigador afirmó: "Para resumirlo, cuando pedí activamente comunicarme conmigo, me rechazaron, me insultaron y me humillaron abiertamente delante de la gente". Luego agregó: "Borraron por completo la cuenta de Microsoft que usé para reportar bugs y después difamaron mi nombre públicamente a través del aviso de seguridad de CVE-2026-45585. Trabajé felizmente como un idiota sin recibir ni un centavo, ¿y ahora también se dan el lujo de marcar mi cuenta de GitHub y borrarme sin dejar rastro ante el público? Están demostrando ante todos que están intensificando activamente este conflicto. Pero ya terminé con andar suplicando".
El investigador también anunció que planea divulgar algo el 14 de julio de 2026 y advirtió que "ese día haré que Microsoft quede hecha pedazos".
Comentario del autor en una línea
Parece que Microsoft ya no es una empresa tan amigable
7 comentarios
Por más que últimamente haya muchos aspectos criticables en la manera de actuar de Microsoft, también me parece que la forma en que actuó ese investigador fue excesivamente radical e irresponsable.
Especialmente en lo relacionado con la seguridad informática, por más urgente y grave que sea una vulnerabilidad específica, al tratarse de un tema sensible que, si se maneja mal, puede ser explotado de inmediato en ataques de día cero, creo que se deben seguir estrictamente los principios y normas ya establecidos; y en ese sentido, me parece difícil defenderlo o apoyarlo, ya que terminó por quebrantar gravemente esos principios y normas.
Les avisan de la vulnerabilidad y aun así no la corrigen... Microsoft es increíble. Hasta da por pensar si la están protegiendo para intentar atacar usando esa vulnerabilidad. Me dan muchas más ganas de irme a Linux. Si no tienen capacidad para corregirlo, lo correcto sería pedir ayuda. Si no quieren pagar, entonces tienen que aguantar las críticas... y encima quieren hacerse las víctimas.
Yo soy totalmente amateur. Simplemente voy haciendo y usando más o menos lo que necesito en cada momento.
Desde el principio, Microsoft les ha dado muchísimo soporte a los desarrolladores con el entorno de desarrollo, incluida la documentación. Aun así, no era precisamente amigable con el código abierto.
Después de que Satya Nadella se convirtió en CEO, empezó a mostrar una postura más favorable al código abierto, y eso me hizo verla con mejores ojos. Uno de esos ejemplos es WSL.
Estoy de acuerdo en que Microsoft actualmente la está pasando mal en el lado de la IA. Ya sea GitHub Copilot o Copilot integrado en el sistema operativo.
Sea por la razón que sea, publicar una vulnerabilidad de día cero cuando no existe preparación para ella me hace pensar que quien la publicó es un hacker malicioso. El hacking solo es difícil porque encontrar una vulnerabilidad y explotarla cuesta trabajo; pero si un programa hecho por mí se instala y se ejecuta con todos los permisos, cualquiera puede crear un programa malicioso.
Antes de discutir si Microsoft respondió bien o mal, publicar la vulnerabilidad aun cuando no se estaba preparado para ella no es más que ciberterrorismo.
A mí, la actitud de este investigador me suena a algo como
"Descubrí una vulnerabilidad peligrosísima, ¿no deberían obviamente movilizar toda la capacidad de la empresa y darle máxima prioridad?"
Ese tipo de vibra me da.
Si lo recibieron, lo dejaron guardado un año sin explicación y ahora salen con esto, entonces el problema sí está del lado de Microsoft,
pero si va a publicar una nueva vulnerabilidad solo porque la respuesta no fue a la velocidad que él quería, eso ya no me parece propio de un white hat, sino más cercano a un black hat.
Vaya forma de hacer una protesta para ganarse todas las críticas, ese investigador.
A mí también me decepciona el movimiento reciente de Microsoft. Pero también creo que la conducta del investigador es problemática.
En general, existe la práctica de que las vulnerabilidades de seguridad pueden ser divulgadas por el investigador solo después de que hayan pasado 90 días desde que se reportaron al proveedor.
Como sabrán los desarrolladores, los parches de seguridad que se suman al trabajo existente inevitablemente toman tiempo. Por eso existe, como práctica habitual, un período de gracia de 90 días antes de la divulgación, para que durante ese tiempo se pueda evaluar el riesgo y la prioridad y atenderlos en orden.
Creo que publicarlo de forma tan irresponsable expone, incluso más que a Microsoft, a los usuarios reales a ataques frente a los que quedan indefensos.
Debe distinguirse entre la búsqueda de beneficio privado y la promoción del interés público. Si se usan técnicas de marketing con apariencia de interés público, pero no se asume la responsabilidad pública correspondiente, eso es burlarse de los usuarios. Master Bang-i