Microsoft heeft zich krachtig uitgesproken voor Coordinated Vulnerability Disclosure (CVD) en roept de onderzoeksgemeenschap op om kwetsbaarheden eerst met leveranciers te delen, zodat zij de impact kunnen beoordelen en oplossingen kunnen ontwikkelen voordat deze publiek worden gemaakt. Deze oproep volgt op de onthulling van meerdere zero-day kwetsbaarheden in Windows-componenten, waaronder Defender en BitLocker, door een onderzoeker die bekendstaat als Chaotic Eclipse (ook bekend als Nightmare-Eclipse). De onderzoeker stelde dat Microsoft niet adequaat omging met het meldproces.

Volgens Microsoft zijn de details van deze kwetsbaarheden niet vooraf met hen gedeeld, waardoor klanten onnodig risico liepen. De techgigant benadrukte dat hun beveiligingsteams dag en nacht werken om de impact te begrijpen, klanten te beschermen en beveiligingsupdates te ontwikkelen. De kwetsbaarheden, waaronder BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) en UnDefend (CVE-2026-45498), worden inmiddels actief misbruikt in het wild. Microsoft verzet zich nadrukkelijk tegen ongecoördineerde openbaarmakingen en waarschuwt dat het beschikbaar stellen van proof-of-concept code voor niet-gepatchte kwetsbaarheden ernstige gevolgen kan hebben wanneer kwaadwillenden deze in handen krijgen.

Microsoft benadrukt dat het openstaat voor dialoog en samenwerking met onderzoekers, onder meer via evenementen en conferenties, om kwetsbaarheden gezamenlijk aan te pakken. De controverse rond de onthullingen leidde ertoe dat GitHub het account van de onderzoeker vorige week verwijderde. Hoewel exploitcode voor de zes kwetsbaarheden daarna op GitLab werd geplaatst, is het nieuwe account inmiddels ook geblokkeerd. De onderzoeker uitte kritiek op Microsoft vanwege het weigeren van communicatie en het verwijderen van zijn accounts, en kondigde aan op 14 juli 2026 een nieuwe publicatie te doen die volgens hem grote impact zal hebben. Meer informatie over de standpunten van Microsoft is te vinden in hun officiële verklaring, terwijl details over het GitLab-account van de onderzoeker beschikbaar zijn op GitLab. De aankondiging van de onderzoeker is gepubliceerd op zijn blog.