Microsoft aboga por la divulgación coordinada de vulnerabilidades tras la publicación de varios zero-days en Windows por el investigador Chaotic Eclipse. La empresa afirma que publicar fallos sin previo aviso pone en riesgo a los usuarios y facilita el trabajo de los atacantes. Mientras tanto, el investigador acusa a Microsoft de maltrato y difamación, amenazando con nuevos lanzamientos.



Microsoft se ha pronunciado firmemente a favor de la Divulgación Coordinada de Vulnerabilidades (CVD), instando a la comunidad de investigación a compartir sus hallazgos y dar a los proveedores afectados la oportunidad de comprender mejor el impacto y solucionarlos antes de que se divulguen públicamente.

Este desarrollo se produce después de que un investigador llamado Chaotic Eclipse (también conocido como Nightmare-Eclipse) revelara detalles de múltiples vulnerabilidades de día cero que afectan a varios componentes de Windows, incluidos Defender y BitLocker, durante el último mes, citando un fallo en el manejo de Microsoft del proceso de divulgación de vulnerabilidades.

"En las últimas semanas, se han divulgado públicamente varias vulnerabilidades de día cero", afirmó el gigante tecnológico en su blog. "Los detalles de estas vulnerabilidades no se compartieron con Microsoft antes de su publicación, y las divulgaciones pusieron a nuestros clientes en un riesgo innecesario".

"En respuesta al riesgo innecesario creado por estas divulgaciones, nuestros equipos de seguridad han estado trabajando día y noche para comprender el impacto, proteger a nuestros clientes y desarrollar actualizaciones de seguridad".

Las vulnerabilidades incluyen BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma y MiniPlasma. Tras la divulgación, BlueHammer, RedSun y UnDefend han sido objeto de explotación activa en el mundo real.

Microsoft afirmó que se opone "firmemente" a tales divulgaciones no coordinadas y que publicar código de prueba de concepto para vulnerabilidades no parcheadas puede tener "consecuencias en el mundo real" cuando acaban en manos de actores malintencionados.

"Invitamos a perspectivas diversas que ayuden a la comunidad de seguridad a trabajar juntos para proteger a todos. Somos conscientes de que no siempre estaremos de acuerdo en todo, pero estamos comprometidos con la transparencia y seguimos creando oportunidades de diálogo", añadió el gigante tecnológico.

"Estas conversaciones ocurren en eventos de reconocimiento a los investigadores, conferencias de seguridad y en el trabajo diario que hacemos juntos para comprender y abordar las vulnerabilidades".

Se dice que las repercusiones de estas divulgaciones llevaron a GitHub a eliminar la cuenta del investigador la semana pasada. Aunque el código de explotación de las seis vulnerabilidades fue posteriormente subido a GitLab, la cuenta recién creada en GitLab ha sido bloqueada desde entonces.

"Así que dejad que lo entienda bien: cuando os pedí activamente que os comunicarais conmigo, os negasteis, me humillasteis y os asegurasteis de insultarme delante de la gente", dijo el investigador en una publicación publicada durante el fin de semana.

"Me difamas en público con tu aviso CVE-2026-45585 a pesar de que literalmente borraste la cuenta de Microsoft que usaba para reportarte errores, no recibí ni un centavo por hacerlo y aun así lo hice felizmente como un idiota. ¿Ahora tienes la cortesía de marcar mi cuenta de GitHub y borrarla del público, así sin más? Estás demostrando a todo el mundo que estás escalando activamente este conflicto, pero he terminado de suplicarte".

El investigador también afirmó que tiene la intención de lanzar algo el 14 de julio de 2026, que "se asegurará de que vuestros huesos queden destrozados ese día".

Fuente:
THN