Microsoft é forçada a recuar na política sobre o pesquisador de dia zero Nightmare Eclipse

A Microsoft recuou oficialmente em sua postura legal agressiva contra o pesquisador de segurança independente que opera sob o pseudônimo "Nightmare Eclipse." Após uma reação severa da comunidade global de segurança cibernética, a gigante da tecnologia silenciosamente retirou sua recente retórica corporativa que equiparava a divulgação descoordenada de bugs a um comportamento malicioso. A mudança repentina representa um grande esforço de controle de danos de Redmond para corrigir a rápida deterioração das relações com analistas de ameaças externas e profissionais de segurança que formam a espinha dorsal dos modernos ecossistemas de defesa de software.

Por dentro da campanha de dia zero do Nightmare Eclipse

A disputa começou originalmente depois que o site Nightmare Eclipse contornou os canais tradicionais de relatórios corporativos para publicar um código de prova de conceito funcional para várias falhas de alta gravidade do Windows. A campanha conseguiu vulnerabilidades de dia zero como arma em sistemas defensivos fundamentais, implantando cadeias de escalonamento de privilégios locais, como o BlueHammer (CVE-2026-33825) e a ferramenta RedSun projetada para cegar o Microsoft Defender. A retaliação inicial da Microsoft - que incluiu ameaças legais agressivas de sua Unidade de Crimes Digitais e proibições abrangentes de contas em plataformas de hospedagem de código, como GitHub e GitLab- provocou uma condenação generalizada dos líderes de segurança corporativa, que advertiram que a intimidação corporativa pesada sufocaria a pesquisa defensiva e deixaria as redes ativas expostas a agentes mal-intencionados.

A transição de volta à Divulgação Coordenada de Vulnerabilidades

Em sua mais recente atualização de política, a Microsoft esclareceu explicitamente que não tem a intenção de mover ações legais contra indivíduos envolvidos na identificação legítima de vulnerabilidades. Notavelmente, a gigante do software abandonou completamente o polêmico termo "divulgação responsável" de seus canais oficiais de mensagens. Em vez disso, a empresa voltou à sua estrutura clássica de "Divulgação Coordenada de Vulnerabilidades", admitindo que algumas de suas recentes repressões automatizadas à plataforma ficaram aquém dos padrões profissionais da comunidade e prometendo uma estratégia de engajamento de boa-fé para as denúncias daqui para frente.

Vetores não resolvidos e ameaças iminentes de patches de junho

Apesar do recuo da política estrutural da Microsoft, o vetor de ameaça arquitetônica subjacente continua sem solução. O Nightmare Eclipse ignorou o ramo de oliveira corporativo, confirmando que vários desenvolvedores independentes de exploits estão agora canalizando bugs de segurança não corrigidos diretamente para eles, a fim de evitar completamente os pipelines de relatórios corporativos. O desenvolvedor pseudônimo já provocou uma iminente Exploit payload de junho visando vulnerabilidades legadas do ciclo de vida do Vulnerabilidades do ciclo de vida do Secure Bootalegando que a próxima queda de código contornará completamente a criptografia de hardware do BitLocker em máquinas virtuais operacionais antes do prazo de retribuição previsto para meados do verão.