Microsoft bane pesquisador de segurança do GitHub após postagem de exploits zero-day do Windows; especialistas afirmam que ação foi vingativa e prometem novas retaliações.

Recentemente, a cena de segurança do Windows tem sido palco de um drama instigante. O pesquisador Nightmare-Eclipse (também conhecido como Chaotic Eclipse) teve um desentendimento com a Microsoft. A empresa decidiu banir a conta do GitHub de Eclipse sem esclarecer os motivos, o que obrigou o pesquisador a mudar suas atividades para o GitLab. Além disso, a conta da Microsoft utilizada para reportar bugs teria sido excluída.

Em um post em seu blog, Eclipse alegou que essa ação foi motivada por vingança, afirmando que a Microsoft ignorou tentativas de comunicação e que não recebeu nenhuma compensação por seus esforços, provavelmente uma referência a recompensas não pagas pelo programa de recompensas de bugs da empresa. Este programa oferece pagamentos que variam de 30 mil a até 100 mil dólares por vulnerabilidades exploradas, e até 250 mil dólares por descobrir falhas no Hyper-V. Eclipse, que já possui seis exploits de zero-day registrados, mencionou que no dia 14 de julho ocorrerá um “desfecho” para a Microsoft, possivelmente na forma de mais exploits sendo divulgados.

O conflito entre Eclipse e a Microsoft já dura desde abril, quando o pesquisador divulgou o exploit BlueHammer sem aviso prévio. As postagens no blog de Eclipse são carregadas de linguagem forte, criticando abertamente a Microsoft/MSRC. Em resumo, Eclipse sugere que a Microsoft ignorou seus relatórios de zero-days ou não pagou as recompensas solicitadas, o que teria causado prejuízos financeiros. O pesquisador chegou a afirmar que foi avisado pessoalmente pela Microsoft que seu trabalho poderia arruinar sua vida, e mencionou um suposto “dead-man switch”, prometendo que fará com que as “ossos da Microsoft sejam quebrados”.

A saga tem gerado especulações entre especialistas, como William Dormann, que comentou que antes a MSRC era uma equipe eficiente para se trabalhar, mas que, com a demissão de profissionais qualificados para economizar, a empresa ficou com colaboradores que apenas seguem protocolos. Dormann indicou que não seria surpreendente se a Microsoft tivesse encerrado o caso após Eclipse recusar a exigência de enviar um vídeo do exploit, que, segundo ele, se tornou uma condição da MSRC.

A Microsoft não comentou sobre a situação, o que torna difícil determinar se é um conflito com um pesquisador não cooperativo ou se a empresa está dificultando o processo de relatórios de segurança. O banimento da conta de Eclipse no GitHub é visto de forma negativa, sendo amplamente criticado, e parece não trazer benefícios para a segurança, uma vez que o código já está disponível.

No contexto atual, em que pesquisas de segurança impulsionadas por IA transformaram a janela padrão de divulgação e correção de vulnerabilidades, é essencial que empresas como a Microsoft reavaliem suas políticas, já que muitos exploits estão cada vez mais fáceis de serem utilizados.

O histórico técnico de Eclipse é notável. Ele publicou uma série de exploits de zero-day para o Windows: o BlueHammer obtém acesso ao usuário SYSTEM através do Defender, e o RedSun realiza a mesma ação. O UnDefend desativa o Defender, enquanto o GreenPlasma consegue acesso SYSTEM pelo serviço CTFMon. O MiniPlasma também proporciona acesso similar devido a uma falha no driver Windows Cloud Filter. Por último, o YellowKey, uma vulnerabilidade do BitLocker, permite que um atacante acesse unidades criptografadas com pouco esforço, o que vai contra o propósito da tecnologia.

O BlueHammer, o RedSun e o UnDefend já foram confirmados como sendo explorados ativamente, e é fácil imaginar que os outros também estejam, uma vez que as publicações de Eclipse contêm códigos de prova de conceito que facilitam o uso por terceiros.