Microsoft heeft zich krachtig uitgesproken voor Coördineerde Vulnerability Disclosure (CVD) en heeft er bij de onderzoeksgemeenschap op aangedrongen hun bevindingen te delen en getroffen leveranciers de kans te geven de impact beter te begrijpen en deze aan te pakken voordat deze openbaar worden gemaakt.
De ontwikkeling komt nadat een onderzoeker genaamd Chaotic Eclipse (ook bekend als Nightmare-Eclipse) de afgelopen maand details heeft onthuld van meerdere zero-day-kwetsbaarheden die meerdere Windows-componenten treffen, waaronder Defender en BitLocker, daarbij verwijzend naar een storing in de manier waarop Microsoft omgaat met het openbaarmakingsproces van de kwetsbaarheid.
“De afgelopen weken zijn verschillende zero-day-kwetsbaarheden openbaar gemaakt”, aldus de technologiegigant. “De details van deze kwetsbaarheden zijn vóór de release niet met Microsoft gedeeld en de onthullingen brengen onze klanten onnodig in gevaar.”
“Als reactie op het onnodige risico dat deze onthullingen met zich meebrengen, hebben onze beveiligingsteams de klok rond gewerkt om de impact te begrijpen, onze klanten te beschermen en beveiligingsupdates te ontwikkelen.”
De kwetsbaarheden omvatten BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma en MiniPlasma. Na de onthulling zijn BlueHammer, RedSun en UnDefend allemaal onder actieve uitbuiting in het wild gekomen.
Microsoft zei dat het zich “resoluut” verzet tegen dergelijke ongecoördineerde onthullingen en dat het plaatsen van proof-of-concept-code voor niet-gepatchte kwetsbaarheden “real-world gevolgen” kan hebben wanneer deze in de handen van slechte actoren terechtkomen.
“We nodigen verschillende perspectieven uit die de veiligheidsgemeenschap helpen samen te werken om iedereen te beschermen. We realiseren ons dat we het niet altijd over alles eens zullen zijn, maar we zijn toegewijd aan transparantie en blijven mogelijkheden voor dialoog creëren”, voegde de technologiegigant eraan toe.
“Deze gesprekken vinden plaats tijdens evenementen voor de waardering van onderzoekers, beveiligingsconferenties en het dagelijkse werk dat we samen doen om kwetsbaarheden te begrijpen en aan te pakken.”
De gevolgen van deze onthullingen zouden GitHub er vorige week toe hebben gebracht het account van de onderzoeker te verwijderen. Hoewel de exploitcode voor de zes kwetsbaarheden vervolgens naar GitLab is geüpload, is het nieuw aangemaakte account inmiddels geblokkeerd.
“Dus laat me dit duidelijk maken: toen ik je actief vroeg om met mij te communiceren, weigerde je, vernederde je me en zorgde je ervoor dat je me beledigde in het bijzijn van mensen”, zei de onderzoeker in een post die dit weekend werd gepubliceerd.
“Je belastert mij in het openbaar met je CVE-2026-45585-advies, ook al heb je letterlijk het Microsoft-account verwijderd waarmee ik bugs aan je rapporteerde en ik kreeg er nul cent voor en ik deed het nog steeds graag als een idioot. Nu neem je de beleefdheid aan om mijn GitHub-account te markeren en zomaar uit het publiek te vegen? Je bewijst aan iedereen dat je (sic) dit conflict actief escaleert, maar ik ben er klaar mee om je te smeken.”
De onderzoeker zei ook dat ze van plan zijn op 14 juli 2026 iets vrij te geven dat “ervoor zal zorgen dat je botten die dag verbrijzeld worden.”
