Microsoft critica la divulgación pública de un zero-day en Windows tras bloquear una cuenta de GitHub

Microsoft reaccionó con dureza contra un investigador de seguridad que divulgó públicamente sin autorización una vulnerabilidad zero-day sin parchear y, tras bloquear su cuenta de GitHub, el investigador advirtió que hará más revelaciones, intensificando el conflicto.

Traducción completa

Microsoft afirmó que apoya firmemente el proceso de Divulgación Coordinada de Vulnerabilidades (CVD) e instó a la comunidad de investigación en seguridad a compartir sus hallazgos y dar a los proveedores afectados la oportunidad de comprender claramente el problema y solucionarlo antes de que la vulnerabilidad se haga pública.

Este incidente comenzó cuando un investigador conocido como 'Chaotic Eclipse' (también llamado Nightmare-Eclipse) publicó durante el último mes detalles de varias vulnerabilidades zero-day que afectan a distintos componentes de Windows, incluidos Defender y BitLocker, argumentando que el proceso de manejo de vulnerabilidades de Microsoft era deficiente.

Microsoft declaró que "en las últimas semanas se han divulgado públicamente varios zero-days" y que "los detalles de estas vulnerabilidades no se compartieron con Microsoft antes de su publicación, lo que expuso innecesariamente a nuestros clientes a riesgos". También añadió que "para responder al riesgo generado por esta divulgación no autorizada, nuestros equipos de seguridad están trabajando las 24 horas para evaluar el impacto, proteger a los clientes y desarrollar actualizaciones de seguridad".

Las vulnerabilidades divulgadas son seis en total: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), Undefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma y MiniPlasma. Entre ellas, tres —incluidas BlueHammer, RedSun y Undefend— {p:50} ya están siendo explotadas activamente en ataques maliciosos en entornos reales.

Microsoft dijo que se opone "firmemente" a este tipo de divulgación no coordinada y advirtió que, si el código de prueba de concepto (PoC) de vulnerabilidades sin parchear cae en manos de actores maliciosos, podría provocar "graves consecuencias en el mundo real". También subrayó que "damos la bienvenida a distintas perspectivas para que la comunidad de seguridad pueda colaborar en proteger a todos. No siempre podremos estar de acuerdo en todo, pero nos comprometemos a mantener la transparencia y a seguir creando oportunidades de diálogo". Añadió que "esas conversaciones ocurren en eventos de agradecimiento a investigadores, conferencias de seguridad y en el trabajo diario que realizamos juntos para comprender y resolver vulnerabilidades".

Como consecuencia de esta divulgación no autorizada, se informó que GitHub cerró la cuenta del investigador la semana pasada. Después, el código de explotación de las seis vulnerabilidades fue subido nuevamente a GitLab, pero esa nueva cuenta de GitLab también se encuentra actualmente bloqueada.

En una publicación hecha durante el fin de semana, el investigador afirmó: "Para resumirlo, cuando pedí activamente comunicarme conmigo, me rechazaron, me insultaron y me humillaron abiertamente delante de la gente". Luego agregó: "Borraron por completo la cuenta de Microsoft que usé para reportar bugs y después difamaron mi nombre públicamente a través del aviso de seguridad de CVE-2026-45585. Trabajé felizmente como un idiota sin recibir ni un centavo, ¿y ahora también se dan el lujo de marcar mi cuenta de GitHub y borrarme sin dejar rastro ante el público? Están demostrando ante todos que están intensificando activamente este conflicto. Pero ya terminé con andar suplicando".

El investigador también anunció que planea divulgar algo el 14 de julio de 2026 y advirtió que "ese día haré que Microsoft quede hecha pedazos".

Comentario del autor en una línea

Parece que Microsoft ya no es una empresa tan amigable