A descoberta de uma vulnerabilidade grave no Windows deu origem a um conflito público. De acordo com o site Neowin, a Microsoft está a culpar o investigador de segurança responsável por encontrar a falha, alegando que este violou as boas práticas de divulgação coordenada.
O perigo da vulnerabilidade YellowKey
A falha, identificada como CVE-2026-45585, permite que piratas informáticos contornem a protecção do BitLocker. O investigador, conhecido pelo pseudónimo Nightmare-Eclipse, publicou uma prova de conceito (PoC) chamada “YellowKey”. Na prática, um atacante pode usar uma pen USB para contornar a encriptação através do Ambiente de Recuperação do Windows (WinRE), tirando partido de uma pasta específica.
Em resposta a esta ameaça, a Microsoft lançou solução temporária para a falha de segurança, que consiste num script que actua como uma correcção para reduzir a superfície de ataque, especialmente útil para funcionários de empresas que levam os seus equipamentos para casa.
Acusações de parte a parte
Apesar de ter lançado a mitigação, a gigante tecnológica mostrou o seu desagrado. A Microsoft afirma que a publicação da prova de conceito violou as melhores práticas de divulgação de vulnerabilidades. Do outro lado, o investigador Nightmare-Eclipse não tardou a responder. O especialista utilizou o seu blogue pessoal para acusar a Microsoft de difamação. O investigador alega que a empresa revogou intencionalmente o seu acesso à conta do Microsoft Security Response Center (MSRC), utilizada para reportar vulnerabilidades, e que apagou o perfil por completo sem fornecer qualquer justificação, a ignorar os seus repetidos pedidos de esclarecimento.
Um braço de ferro sem fim à vista
O investigador sublinha que leva as declarações da Microsoft a peito e devolve a culpa à empresa, a afirmar que a responsabilidade de toda a situação recai sobre a mesma desde o início. Resta agora aguardar para perceber como a situação vai evolui. Além do YellowKey, o Neowin refere ainda que o mesmo investigador revelou recentemente detalhes sobre outra vulnerabilidade, apelidada de “MiniPlasma”, que permite a agentes maliciosos implementar modificações perigosas no Registo do Windows.
