Microsoft apoya firmemente la Divulgación Coordinada de Vulnerabilidad (CVD) e insta a la comunidad de investigación a compartir sus hallazgos y brindar a los proveedores afectados la oportunidad de comprender mejor el impacto y tomar medidas antes de que la información se haga pública.
El desarrollo se produce después de que un investigador llamado Chaotic Eclipse (también conocido como Nightmare-Eclipse) revelara detalles de múltiples vulnerabilidades de día cero durante el último mes que afectaron a múltiples componentes de Windows, incluidos Defender y BitLocker, citando un mal manejo del proceso de divulgación de vulnerabilidades de Microsoft.
«En las últimas semanas se han hecho públicas varias vulnerabilidades de día cero», dijo el gigante tecnológico. «Los detalles de estas vulnerabilidades no se compartieron con Microsoft antes de su lanzamiento y su publicación expuso a los clientes a riesgos innecesarios».
«En respuesta a los riesgos innecesarios que plantean estas divulgaciones, nuestros equipos de seguridad han estado trabajando las 24 horas del día para comprender el impacto, proteger a nuestros clientes y desarrollar actualizaciones de seguridad».
Las vulnerabilidades incluyen BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma y MiniPlasma. Después de la exposición, BlueHammer, RedSun y UnDefend se volvieron explotables en la naturaleza.
Microsoft se opone «categóricamente» a dicha divulgación no regulada, diciendo que dejar código de prueba de concepto para vulnerabilidades sin parches podría tener «implicaciones en el mundo real» si termina en las manos equivocadas.
«Damos la bienvenida a diversas perspectivas que ayuden a la comunidad de seguridad a trabajar junta para proteger a todos. Reconocemos que no siempre estaremos de acuerdo en todo, pero valoramos la transparencia y continuaremos creando oportunidades para el diálogo», añadió el gigante tecnológico.
«Estas conversaciones ocurren en eventos de apreciación de investigadores, conferencias de seguridad y en el trabajo diario que hacemos juntos para comprender y abordar las vulnerabilidades».
A raíz de estas revelaciones, GitHub supuestamente eliminó la cuenta del investigador la semana pasada. Luego se cargó el código de explotación de seis vulnerabilidades en GitLab, pero las cuentas recién creadas fueron bloqueadas posteriormente.
«Permítanme ser claro: cuando les pedí que se comunicaran activamente, se negaron, me avergonzaron e invariablemente me humillaron frente a la gente», dijeron los investigadores en una publicación publicada durante el fin de semana.
«Me calumniaste públicamente con el aviso CVE-2026-45585, aunque literalmente eliminé la cuenta de Microsoft que estaba usando para informar errores, y no recibí ni un centavo por ello, todavía estaba dispuesto a actuar como un tonto. Ahora, ¿podrías educadamente marcar mi cuenta de GitHub y borrarla de la vista pública así como así? Estás demostrando a todos que estás intensificando activamente este conflicto, y ya terminé de rogar».
Los investigadores también dijeron que tienen la intención de lanzar algo el 14 de julio de 2026 que «te romperá los huesos ese día».
Source link
