GitHub chặn nhà nghiên cứu bảo mật công bố exploit zero-day Windows

 (tomshardware.com)
1 điểm bởi GN⁺ 4 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Tài khoản GitHub của Nightmare-Eclipse đã bị chặn, và người này cho rằng đây là hành động trả đũa từ Microsoft khi chuyển không gian làm việc sang GitLab
  • Xung đột bùng phát mạnh từ đầu tháng 4 sau khi công bố zero-day BlueHammer, và Eclipse nói rằng Microsoft đã phớt lờ báo cáo cũng như yêu cầu tiền thưởng
  • Microsoft không công bố lý do và diễn biến của vụ chặn tài khoản, khiến chưa rõ vấn đề nằm ở công bố không theo chuẩn hay ở việc quy trình báo cáo-thưởng thất bại
  • Eclipse đã công bố 6 zero-day Windows như BlueHammer, RedSun, UnDefend, và một số đang bị khai thác tích cực ngoài thực tế
  • Việc GitHub chặn tài khoản khó ngăn được mã đã công khai và hoạt động khai thác, đồng thời cho thấy giới hạn của quy trình công bố-vá lỗi trong bối cảnh AI đẩy nhanh tốc độ tìm lỗ hổng

Tài khoản GitHub bị chặn và chuyển sang GitLab

  • Microsoft đã chặn tài khoản GitHub của nhà nghiên cứu bảo mật Nightmare-Eclipse (Chaotic Eclipse) vì một lý do chưa được công khai
  • Eclipse đã chuyển không gian làm việc sang GitLab và cho biết tài khoản Microsoft dùng để báo lỗi cũng đã bị xóa
  • Trong bài blog, người này cho rằng động thái này mang tính trả đũa, đồng thời nói Microsoft từ chối liên lạc và cũng không trả thưởng
  • Chương trình bounty của MSRC của Microsoft chi trả tối đa 30.000-100.000 USD cho zero-day endpoint tùy điều kiện, và tối đa 250.000 USD cho lỗ hổng Hyper-V
  • Eclipse đã công bố 6 exploit zero-day và úp mở rằng có thể sẽ có thêm một đợt công bố liên quan tới Microsoft vào ngày 14 tháng 7

Xung đột giữa Microsoft và Eclipse

  • Xung đột thực sự leo thang vào đầu tháng 4 khi Eclipse công bố zero-day BlueHammer mà không cảnh báo trước
  • Blog của Eclipse chỉ trích mạnh Microsoft và MSRC, cho rằng Microsoft đã phớt lờ hoặc từ chối các báo cáo zero-day và không trả khoản thưởng được yêu cầu, gây thiệt hại tài chính cho người này
  • Eclipse nói rằng phía Microsoft từng nói sẽ “hủy hoại cuộc đời” mình và cho rằng điều đó đã thực sự xảy ra, đồng thời cho biết có một dạng dead man’s switch
  • Vì Microsoft không công bố chi tiết diễn biến, rất khó xác định đây là vấn đề từ phía nhà nghiên cứu không tuân theo quy trình công bố chuẩn hay từ phía công ty đã khiến việc báo cáo bảo mật trở nên khó khăn

Tranh cãi quanh quy trình MSRC và sức ép lên chính sách công bố

  • William Dormann của Tharros, trong bài viết về BlueHammer, chỉ trích rằng MSRC trước đây từng dễ hợp tác nhưng vì cắt giảm chi phí đã sa thải người có kinh nghiệm và chỉ để lại những người làm việc theo checklist
  • Dormann cho rằng MSRC hiện có vẻ yêu cầu nộp video exploit, và cũng có khả năng Microsoft đã đóng hồ sơ vì người báo cáo không gửi video
  • Khi Microsoft giữ im lặng, vẫn chưa thể hiện rõ liệu trọng tâm của cuộc xung đột này có nằm ở quy trình công bố lỗ hổng có trách nhiệm và cách vận hành thực tế của chương trình thưởng hay không
  • Đã xuất hiện đánh giá rằng thời hạn chuẩn 90 ngày công bố-vá lỗi về thực chất đã trở thành mô hình lỗi thời trong bối cảnh nghiên cứu bảo mật dựa trên AI
  • Trong bối cảnh thời gian để xuất hiện exploit và số exploit chưa bị sử dụng đều đang tiến gần về 0, nhu cầu điều chỉnh chính sách của Microsoft và các hãng phần mềm khác ngày càng lớn

Các zero-day Windows đã được công bố

  • Eclipse đã công bố nhiều exploit zero-day Windows
  • BlueHammer là lỗ hổng cho phép giành quyền SYSTEM thông qua Defender
  • RedSun cũng cho phép truy cập với quyền người dùng SYSTEM
  • UnDefend có thể đưa Defender về trạng thái offline
  • GreenPlasma giành quyền SYSTEM thông qua dịch vụ CTFMon
  • MiniPlasma cho phép leo thang đặc quyền tương tự thông qua lỗi trong driver Windows Cloud Filter
  • YellowKey là lỗ hổng BitLocker, cho phép kẻ tấn công mở ổ đĩa được mã hóa gần như không tốn công sức, làm suy yếu mục tiêu cốt lõi của BitLocker

Khai thác thực tế và tác động bảo mật

  • BlueHammer, RedSun, UnDefend đã được xác nhận là đang bị khai thác tích cực ngoài thực tế
  • Các lỗ hổng còn lại cũng đã có mã proof-of-concept toàn phần hoặc một phần được công bố, khiến những kẻ tấn công quan tâm có thể dễ dàng sử dụng
  • Việc chặn tài khoản GitHub không đủ để gỡ bỏ mã đã công khai hay ngăn chặn việc khai thác, mà còn làm gia tăng xung đột giữa nhà nghiên cứu và công ty sở hữu nền tảng
  • Việc công bố zero-day, tranh chấp tiền thưởng, chặn tài khoản và tốc độ phát hiện lỗ hổng được AI tăng tốc đang cùng lúc phơi bày rõ hơn những giới hạn của quy trình báo cáo-xác minh-vá lỗi bảo mật hiện nay

Bài viết liên quan

1 bình luận

 
GN⁺ 4 giờ trước
Ý kiến trên Hacker News

  • Kể cả khi phát hiện lỗi bảo mật trong ứng dụng web thì tôi cũng sẽ không báo cáo nữa. Lần đầu báo thì suýt bị cảnh sát bắt, lần thứ hai thì họ không trả lời tôi mà liên hệ thẳng với chỗ làm của tôi, nói rằng việc báo cáo đó gây khó chịu và tôi muốn viết bài sau khi họ sửa xong
    Từ đó về sau tôi thấy chẳng đáng để chịu những phiền toái như vậy nữa, cứ để mặc thì tôi cũng có một ngày yên ổn

    • Nếu muốn, bạn có thể báo lỗ hổng cho Finnish Cyber Security Centre, bên đó sẽ xử lý việc báo cáo và hòa giải với các bên bị ảnh hưởng
      Thậm chí có thể làm hoàn toàn ẩn danh, nên không phải lo công ty quá nhạy cảm sẽ phá hỏng cuộc sống của bạn. FCSC của Traficom là một tài sản tuyệt vời giúp các nhà nghiên cứu bảo mật mũ trắng tiếp tục đóng góp cho lợi ích công
    • Có lần một tuyến đường sắt đăng ảnh lên mạng xã hội kiểu “đã làm điều tốt cho ai đó”, nhưng trên tường trong ảnh chụp văn phòng lại dán một tờ A4 ghi tên người dùng và thông tin đăng nhập của nhiều hệ thống
      Tôi đã báo cho ba địa chỉ liên hệ có thể tìm thấy, nhưng chỉ một nơi trả lời và hỏi các hệ thống đó dùng để làm gì và rủi ro là gì. Tôi hoàn toàn không biết, và chắc chắn không có ý định đăng nhập vào những hệ thống không rõ đó để kiểm tra, nên tôi trả lời rằng hãy chuyển cho IT nội bộ để họ xem việc thay đổi hoặc thay thế
      Cuối cùng tôi nhận được phản hồi cảm ơn vì đã cẩn thận và nói rằng họ đã xóa bức ảnh nên vấn đề đã được giải quyết. Tôi hy vọng ai đó hiểu chuyện thực sự đã xem xét, nhưng quyết định không can dự thêm
    • Tốt hơn là đừng bận tâm
      Tôi từng làm mũ trắng chuyên nghiệp một thời gian, nhưng đồng ý rằng việc cố gắng trung thực và giúp đỡ giờ đây lại thành rủi ro. Nếu ai đó quyết định bán lỗ hổng thì tôi cũng thấy điều đó dễ hiểu
    • Có người sẽ chỉ trích quy định, nhưng Đạo luật Khả năng phục hồi mạng (CRA) mà EU bắt buộc đã buộc các công ty phải có đầu mối liên hệ rõ ràng để nhận báo cáo lỗ hổng và thực sự phản hồi
    • Bạn cũng có thể thử báo cáo exploit cho một cơ quan chính phủ dưới dạng ẩn danh

  • Tôi không biết chính xác chuyện gì đang diễn ra ở đây, nhưng nguyên tắc số một của các chương trình bug bounty lớn là mọi người liên quan bên phía nhà cung cấp đều có động lực rất mạnh để chi trả
    Trong nhiều trường hợp có người mà KPI nội bộ gắn với số tiền chi trả, và trong các chương trình như vậy, việc chi trả là điều đáng ăn mừng. Gần như chắc chắn khó có thể nói Microsoft đang quấy rối người đòi thưởng để tiết kiệm tiền
    Điều đó có thể không đúng với công ty nhỏ, và cũng là lý do công ty nhỏ không nên vận hành bug bounty, nhưng chắc chắn đúng với công ty cỡ FAANG/MAG7. Điều đó không có nghĩa các chương trình này lúc nào cũng hào phóng trong việc trả thưởng hay không bao giờ đưa ra quyết định khiến người ta bực bội. Chỉ là nó không khớp với lập luận rằng họ cố giữ lại tiền thưởng vì ác cảm
    Tuy vậy, cũng xin giữ chút dè dặt vì đã khá lâu rồi tôi chưa nói chuyện với người bên Microsoft

    • Đọc bài của YellowKey thì có vẻ ít nhất trong một số trường hợp, họ đã công bố thứ trông như cửa hậu chính thức của Microsoft mà các cơ quan tình báo Mỹ dùng. Tức là BitLocker không an toàn và có cửa hậu
      Sau khi TrueCrypt đột ngột đóng cửa một ngày nọ, xóa toàn bộ bản tải xuống và khuyên mọi người chuyển sang Microsoft BitLocker, thì đây cũng không phải điều hoàn toàn không ai ngờ tới
      [1] - https://www.tomshardware.com/tech-industry/cyber-security/mi...
    • Vụ này bắt đầu từ việc quan liêu từ chối thậm chí xem xét Bluehammer sau khi không thuyết phục được người báo cáo công bố video
      Và thay vì sửa bộ máy quan liêu, họ lại đẩy mọi thứ đi xa hơn bằng cách cấm tài khoản, điều đó thực sự rất tệ. Tôi không hiểu vì sao Microsoft lại được diễn giải theo hướng thiện chí
    • Lỗi mà người này nêu ra trông rất rõ là một cửa hậu BitLocker, và đặt ra những câu hỏi cực kỳ nghiêm trọng về việc Microsoft đang làm gì với mã hóa
      Có vẻ hoàn toàn có khả năng giải mã volume mà không cần khóa của người dùng, điều này cực kỳ đáng lo ngại. Họ dường như đang cố làm như chưa từng có chuyện gì xảy ra, nhưng nó đã bị công khai rồi
    • Nếu khôn ngoan sau lệnh cấm, họ đã nên tuyển dụng anh ta với mức đãi ngộ lớn. Những tập đoàn lớn kiểu này dù có căng thẳng thì nếu không ngốc, họ vẫn sẽ trả tiền
      Vì là Microsoft nên có thể đây không phải công ty cấp tiến nhất trong những việc như vậy, nên tôi không biết họ có nhận ra điều đó không
    • Khi làm công việc đánh giá bug bounty, tôi chưa từng thấy bằng chứng nào cho thấy họ ngại chi trả. Hành vi tệ nhất tôi thấy từ phía công ty là yêu cầu trong bản proof-of-concept rằng “xin tránh X”, rồi lại trả số tiền cao hơn cho nhà nghiên cứu đã phớt lờ chỉ dẫn đó
      Cuối cùng là vì rủi ro được chứng minh lớn hơn. Ngược lại, có một chương trình lớn nơi một nhà nghiên cứu từ lâu đã thuyết phục được rằng một exploit XSS bình thường có thể tạo ra tác động thuộc mức trả thưởng cao hơn, rồi từ đó về sau mỗi khi tìm ra XSS lại đính kèm proof-of-concept tạo cùng tác động đó để tiếp tục được trả ở mức cao không phù hợp. XSS của những nhà nghiên cứu khác thì được trả theo đúng mức XSS ghi trong bảng
      Thực ra có một ngoại lệ tôi nhớ ra. Có người đã làm được chuyện kiểu chén thánh là cài web shell lên máy chủ công ty, thứ mà theo mặt bằng hiện nay đáng giá hơn 10.000 USD. Nhưng họ không xóa web shell mà cứ để nguyên rồi chỉ nộp báo cáo. Người phụ trách chương trình nổi giận và nói rất rõ rằng vì lý do đó ông ta không muốn trả bounty. Tôi không nhớ cuối cùng họ có trả hay không

  • Có vẻ Microsoft sẽ phải hối hận về chuyện này
    Ai đó tìm ra zero-day thì không được thưởng mà còn bị cấm tài khoản. Vậy họ sẽ bán zero-day đó cho nơi khác

    • Nhưng chẳng phải câu chuyện này là về việc công khai exploit zero-day chứ không phải bán nó sao. Tiêu đề cũng nói vậy
      Và anh ta còn bị cấm cả ở GitLab, nơi không liên quan đến Microsoft
    • Còn có những người khác đi tìm zero-day nữa. Danh tiếng là thứ rất quan trọng
    • Kể cả bán zero-day cho nơi khác thì có lẽ cũng chẳng vấn đề gì. CIA có thể chi hàng triệu đô bằng vàng chỉ cần lãnh đạo cấp cao yêu cầu, nên chắc mua exploit thậm chí còn không cần cả đơn đặt hàng

  • Trong vài tháng gần đây đã gặp khá nhiều phản ứng số kỳ lạ trong nhiều việc liên quan, và thấy bức bối vì không thể chỉ ra chính xác mình đang làm sai điều gì. Rồi đọc được câu này trong bài báo
    “Nhưng để tiết kiệm chi phí, Microsoft đã sa thải những người có năng lực, và chỉ giữ lại những kẻ bám theo lưu đồ.”
    Cách diễn đạt “kẻ bám theo lưu đồ” đáng để ghi nhớ. Họ không được trả tiền để suy nghĩ, mà được trả tiền để làm theo quy trình đã dựng sẵn. Có vẻ trong tương lai gần chúng ta sẽ phải đối mặt với nhiều kiểu “kẻ bám theo lưu đồ” như vậy hơn rất nhiều, dù là dạng số hay người thật

    • Hầu hết các công ty tư vấn bảo mật doanh nghiệp mà tôi từng phải làm việc cùng trước đây đều vận hành theo checklist
    • Ở nhiều nghề lao động tay chân như thợ máy, thợ điện, nhà thầu xây dựng, việc làm theo flowchart về cơ bản là luật, và các quy trình đó được viết bằng máu và trách nhiệm
      Trong khi đó, dân IT, vận hành và lập trình viên lại xem mình là những người làm tri thức kiểu nghệ nhân, suy nghĩ tự do. Họ cho rằng đường tắt, mẹo hack và tư duy vượt khuôn mới gắn với năng lực hơn là làm đúng quy trình

  • Có tuyên bố công khai nào về chuyện gì đang xảy ra ở Microsoft không? Tại sao cả Microsoft và GitLab đều cấm người dùng đó?
    Tôi cứ nghĩ cả hai nền tảng đều cho phép lưu trữ exploit và nghiên cứu bảo mật nếu được gắn nhãn rõ ràng ngay từ đầu, nhưng có lẽ họ đã vi phạm quy tắc nào đó

    • Nếu đây là exploit mã hóa toàn bộ ổ đĩa mà vẫn cần truy cập phần cứng, thì có lẽ nó được làm ra cho một cơ quan chính phủ ba chữ cái nào đó

  • Chắc bắn luôn người đưa tin là xong

    • Có khi họ muốn khuyến khích người ta bán cho cơ quan nhà nước thay vì vá lỗ hổng

  • Có phải Microsoft đã tự tạo ra trách nhiệm biên tập phải gỡ zero-day khỏi GitHub không?
    Nếu zero-day trong phần mềm của tôi được đưa lên GitHub, liệu Microsoft cũng sẽ xóa luôn tài khoản đó chứ?

    • Tôi không hiểu vì sao hành động lần này lại có nghĩa là họ sẽ phải có trách nhiệm hành động với các tài khoản khác trong tương lai

  • Tình huống này cho thấy rất rõ xung đột lợi ích mang tính cấu trúc khi Microsoft sở hữu GitHub
    GitHub có điều khoản dịch vụ khá rõ về việc lưu trữ exploit vũ khí hóa đang hoạt động, nhưng việc cấm một nhà nghiên cứu nhắm vào Windows, kể cả có lý do chính đáng, lúc nào cũng sẽ trông như một hành động trả đũa

  • Thông tin rất quan trọng:
    https://www.theregister.com/security/2026/05/28/microsoft-0-...
    Bài blog Microsoft được dẫn link nói như sau
    “Chi tiết của các lỗ hổng này đã không được chia sẻ với Microsoft trước khi công khai, và việc công bố đó đã khiến khách hàng đối mặt với rủi ro không cần thiết.”
    Vậy là Microsoft đang nói dối sao? Nếu không phải, tại sao Nightmare-Eclipse lại không báo cáo? Tình huống này khá kỳ lạ

    • Cụm “việc công bố đó đã khiến khách hàng đối mặt với rủi ro không cần thiết” nghe rất khó chịu
      Dù có phải công bố có trách nhiệm hay không, bên khiến khách hàng gặp rủi ro không phải nhà nghiên cứu mà chính là Microsoft
    • Lý do Nightmare-Eclipse không báo cáo có thể là vì đây là một tổ chức bình phong của cơ quan tình báo nước ngoài giả làm nhà nghiên cứu bất mãn
    • “Khách hàng” ở đây có thể không phải là người hay công ty bỏ tiền mua giấy phép, mà là bên đã yêu cầu cài cửa hậu này