Microsoft chỉ trích việc công khai zero-day Windows sau khi khóa tài khoản GitHub

Sau khi Microsoft phản ứng mạnh trước việc một nhà nghiên cứu bảo mật tự ý công khai zero-day chưa được vá và khóa tài khoản GitHub của người này, xung đột tiếp tục leo thang khi nhà nghiên cứu tuyên bố sẽ tung thêm thông tin.

Bản dịch đầy đủ

Microsoft cho biết họ ủng hộ mạnh mẽ quy trình công bố lỗ hổng có phối hợp (CVD), đồng thời kêu gọi cộng đồng nghiên cứu bảo mật chia sẻ những phát hiện của mình và tạo cơ hội để nhà cung cấp bị ảnh hưởng hiểu rõ cũng như khắc phục vấn đề trước khi lỗ hổng được công khai rộng rãi.

Sự việc lần này bắt đầu khi một nhà nghiên cứu có tên 'Chaotic Eclipse' (còn gọi là Nightmare-Eclipse) trong suốt tháng qua đã công khai chi tiết nhiều lỗ hổng zero-day ảnh hưởng đến nhiều thành phần Windows khác nhau, bao gồm Defender và BitLocker, với lý do Microsoft xử lý quy trình tiếp nhận lỗ hổng một cách yếu kém.

Microsoft cho biết: "Trong vài tuần gần đây, nhiều lỗ hổng zero-day đã bị công khai trước công chúng" và "chi tiết của các lỗ hổng này không được chia sẻ với Microsoft trước khi công bố, khiến khách hàng của chúng tôi phải đối mặt với rủi ro không cần thiết." Công ty nói thêm: "Để ứng phó với rủi ro phát sinh từ việc công bố trái phép này, các nhóm bảo mật của chúng tôi đang làm việc suốt ngày đêm để đánh giá tác động, bảo vệ khách hàng và phát triển các bản cập nhật bảo mật."

Các lỗ hổng đã được công khai gồm tổng cộng 6 lỗi: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), Undefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlazma và MiniPlazma. Trong số này, 3 lỗ hổng gồm BlueHammer, RedSun và Undefend {p:50} đã bị khai thác tích cực trong các cuộc tấn công ngoài thực tế.

Microsoft cho biết họ "kiên quyết" phản đối việc công bố lỗ hổng không có điều phối như vậy, đồng thời cảnh báo rằng nếu mã khai thác mẫu (PoC) cho các lỗ hổng chưa được vá rơi vào tay các tác nhân độc hại, nó có thể dẫn đến "những hậu quả nghiêm trọng trong thế giới thực". Công ty cũng nhấn mạnh: "Chúng tôi hoan nghênh các góc nhìn đa dạng để cộng đồng bảo mật có thể cùng hợp tác bảo vệ mọi người. Chúng ta có thể không phải lúc nào cũng đồng ý về mọi vấn đề, nhưng chúng tôi cam kết duy trì tính minh bạch và tiếp tục tạo ra cơ hội đối thoại"; đồng thời cho biết "những cuộc đối thoại như vậy diễn ra thông qua các sự kiện tri ân nhà nghiên cứu, các hội nghị bảo mật và trong công việc hằng ngày khi chúng tôi cùng nhau tìm hiểu và xử lý lỗ hổng."

Do hệ quả từ việc công bố trái phép này, GitHub được cho là đã đóng tài khoản của nhà nghiên cứu nói trên vào tuần trước. Sau đó, mã khai thác cho 6 lỗ hổng đã được tải lại lên GitLab, nhưng tài khoản GitLab mới tạo cũng hiện đã bị chặn.

Trong một bài đăng vào cuối tuần, nhà nghiên cứu này tuyên bố: "Tóm lại, khi tôi chủ động yêu cầu được trao đổi thì họ từ chối, xúc phạm tôi và công khai làm nhục tôi trước mọi người." Người này tiếp tục: "Họ đã xóa hoàn toàn tài khoản Microsoft mà tôi dùng để báo cáo lỗi, rồi lại bôi nhọ danh dự của tôi trước công chúng thông qua thông báo bảo mật CVE-2026-45585. Tôi đã vui vẻ làm việc như một kẻ ngốc mà không nhận lấy một xu nào, giờ còn tận hưởng việc gắn cờ cả tài khoản GitHub của tôi để xóa sạch dấu vết trước công chúng sao? Các người đang tự chứng minh với tất cả mọi người rằng mình đang chủ động leo thang cuộc xung đột này. Nhưng giờ tôi không còn đi van xin nữa."

Nhà nghiên cứu này cũng cho biết sẽ công bố một điều gì đó vào ngày 14 tháng 7 năm 2026, đồng thời tuyên bố: "Vào ngày đó, tôi sẽ khiến xương cốt của Microsoft tan nát."

Một dòng của người viết

Có vẻ Microsoft không còn là một công ty thân thiện nữa