Microsoft se ha pronunciado firmemente a favor de la Divulgación Coordinada de Vulnerabilidades (CVD), instando a la comunidad de investigación a compartir sus hallazgos y brindar a los proveedores afectados la oportunidad de comprender mejor el impacto y abordarlos antes de que se divulguen públicamente.
El desarrollo se produce después de que un investigador llamado Chaotic Eclipse (también conocido como Nightmare-Eclipse) revelara detalles de múltiples vulnerabilidades de día cero que afectan a múltiples componentes de Windows, incluidos Defender y BitLocker, durante el último mes, citando una falla en el manejo por parte de Microsoft del proceso de divulgación de vulnerabilidades.
«En las últimas semanas, se han revelado públicamente varias vulnerabilidades de día cero», dijo el gigante tecnológico. «Los detalles de estas vulnerabilidades no se compartieron con Microsoft antes de su lanzamiento y las revelaciones ponen a nuestros clientes en riesgos innecesarios».
«En respuesta al riesgo innecesario creado por estas divulgaciones, nuestros equipos de seguridad han estado trabajando día y noche para comprender el impacto, proteger a nuestros clientes y desarrollar actualizaciones de seguridad».
Las vulnerabilidades incluyen BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma y MiniPlasma. Tras la divulgación, BlueHammer, RedSun y UnDefend han sido objeto de explotación activa en la naturaleza.
Microsoft dijo que se opone «firmemente» a tales revelaciones descoordinadas y que poner un código de prueba de concepto para vulnerabilidades sin parches puede tener «consecuencias en el mundo real» cuando terminan en manos de malos actores.
«Invitamos a diversas perspectivas que ayuden a la comunidad de seguridad a trabajar junta para proteger a todos. Nos damos cuenta de que no siempre estaremos de acuerdo en todo, pero estamos comprometidos con la transparencia y continuamos creando oportunidades para el diálogo», añadió el gigante tecnológico.
«Estas conversaciones ocurren en eventos de apreciación de investigadores, conferencias de seguridad y el trabajo diario que hacemos juntos para comprender y abordar las vulnerabilidades».
Se dice que las consecuencias de estas revelaciones llevaron a GitHub a eliminar la cuenta del investigador la semana pasada. Aunque el código de explotación de las seis vulnerabilidades se cargó posteriormente en GitLab, la cuenta recién creada ha sido bloqueada desde entonces.
«Déjame aclarar esto: cuando te pedí activamente que te comunicaras conmigo, te negaste, me humillaste y te aseguraste de insultarme frente a la gente», dijo el investigador en una publicación publicada durante el fin de semana.
«Me difamas en público con tu aviso CVE-2026-45585 a pesar de que literalmente borraste la cuenta de Microsoft con la que solía informarte de errores y no recibí ningún centavo por hacerlo y aún así felizmente me sentí como un idiota. ¿Ahora tienes la cortesía de marcar mi cuenta de GitHub y borrarla del público, así como así? Estás demostrando a todos que (sic) estás escalando activamente este conflicto, pero ya no te lo ruego».
El investigador también dijo que tienen la intención de publicar algo el 14 de julio de 2026 que «asegurará que sus huesos estén destrozados ese día».