11 điểm bởi recast7838 2026-05-30 | 7 bình luận | Chia sẻ qua WhatsApp

Sau khi Microsoft phản ứng mạnh trước việc một nhà nghiên cứu bảo mật tự ý công khai zero-day chưa được vá và khóa tài khoản GitHub của người này, xung đột tiếp tục leo thang khi nhà nghiên cứu tuyên bố sẽ tung thêm thông tin.


Bản dịch đầy đủ

Microsoft cho biết họ ủng hộ mạnh mẽ quy trình công bố lỗ hổng có phối hợp (CVD), đồng thời kêu gọi cộng đồng nghiên cứu bảo mật chia sẻ những phát hiện của mình và tạo cơ hội để nhà cung cấp bị ảnh hưởng hiểu rõ cũng như khắc phục vấn đề trước khi lỗ hổng được công khai rộng rãi.

Sự việc lần này bắt đầu khi một nhà nghiên cứu có tên 'Chaotic Eclipse' (còn gọi là Nightmare-Eclipse) trong suốt tháng qua đã công khai chi tiết nhiều lỗ hổng zero-day ảnh hưởng đến nhiều thành phần Windows khác nhau, bao gồm Defender và BitLocker, với lý do Microsoft xử lý quy trình tiếp nhận lỗ hổng một cách yếu kém.

Microsoft cho biết: "Trong vài tuần gần đây, nhiều lỗ hổng zero-day đã bị công khai trước công chúng" và "chi tiết của các lỗ hổng này không được chia sẻ với Microsoft trước khi công bố, khiến khách hàng của chúng tôi phải đối mặt với rủi ro không cần thiết." Công ty nói thêm: "Để ứng phó với rủi ro phát sinh từ việc công bố trái phép này, các nhóm bảo mật của chúng tôi đang làm việc suốt ngày đêm để đánh giá tác động, bảo vệ khách hàng và phát triển các bản cập nhật bảo mật."

Các lỗ hổng đã được công khai gồm tổng cộng 6 lỗi: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), Undefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlazma và MiniPlazma. Trong số này, 3 lỗ hổng gồm BlueHammer, RedSun và Undefend {p:50} đã bị khai thác tích cực trong các cuộc tấn công ngoài thực tế.

Microsoft cho biết họ "kiên quyết" phản đối việc công bố lỗ hổng không có điều phối như vậy, đồng thời cảnh báo rằng nếu mã khai thác mẫu (PoC) cho các lỗ hổng chưa được vá rơi vào tay các tác nhân độc hại, nó có thể dẫn đến "những hậu quả nghiêm trọng trong thế giới thực". Công ty cũng nhấn mạnh: "Chúng tôi hoan nghênh các góc nhìn đa dạng để cộng đồng bảo mật có thể cùng hợp tác bảo vệ mọi người. Chúng ta có thể không phải lúc nào cũng đồng ý về mọi vấn đề, nhưng chúng tôi cam kết duy trì tính minh bạch và tiếp tục tạo ra cơ hội đối thoại"; đồng thời cho biết "những cuộc đối thoại như vậy diễn ra thông qua các sự kiện tri ân nhà nghiên cứu, các hội nghị bảo mật và trong công việc hằng ngày khi chúng tôi cùng nhau tìm hiểu và xử lý lỗ hổng."

Do hệ quả từ việc công bố trái phép này, GitHub được cho là đã đóng tài khoản của nhà nghiên cứu nói trên vào tuần trước. Sau đó, mã khai thác cho 6 lỗ hổng đã được tải lại lên GitLab, nhưng tài khoản GitLab mới tạo cũng hiện đã bị chặn.

Trong một bài đăng vào cuối tuần, nhà nghiên cứu này tuyên bố: "Tóm lại, khi tôi chủ động yêu cầu được trao đổi thì họ từ chối, xúc phạm tôi và công khai làm nhục tôi trước mọi người." Người này tiếp tục: "Họ đã xóa hoàn toàn tài khoản Microsoft mà tôi dùng để báo cáo lỗi, rồi lại bôi nhọ danh dự của tôi trước công chúng thông qua thông báo bảo mật CVE-2026-45585. Tôi đã vui vẻ làm việc như một kẻ ngốc mà không nhận lấy một xu nào, giờ còn tận hưởng việc gắn cờ cả tài khoản GitHub của tôi để xóa sạch dấu vết trước công chúng sao? Các người đang tự chứng minh với tất cả mọi người rằng mình đang chủ động leo thang cuộc xung đột này. Nhưng giờ tôi không còn đi van xin nữa."

Nhà nghiên cứu này cũng cho biết sẽ công bố một điều gì đó vào ngày 14 tháng 7 năm 2026, đồng thời tuyên bố: "Vào ngày đó, tôi sẽ khiến xương cốt của Microsoft tan nát."

Một dòng của người viết

Có vẻ Microsoft không còn là một công ty thân thiện nữa

7 bình luận

 
aobamisaki 29 ngày trước

Dù hành động gần đây của Microsoft có nhiều điểm đáng bị chỉ trích đến đâu, tôi cũng cảm thấy cách hành xử của nhà nghiên cứu đó lại quá cực đoan và thiếu trách nhiệm.

Đặc biệt trong lĩnh vực bảo mật thông tin, cho dù một lỗ hổng cụ thể có khẩn cấp và nghiêm trọng đến đâu thì đây vẫn là vấn đề nhạy cảm, vì nếu xử lý sai có thể ngay lập tức bị lợi dụng cho các cuộc tấn công zero-day, nên nhất thiết phải tuân thủ nghiêm ngặt các nguyên tắc và chuẩn mực đã được thiết lập; xét ở chỗ ông ấy đã phá vỡ nghiêm trọng những nguyên tắc và chuẩn mực đó, tôi nghĩ rất khó để biện hộ hay ủng hộ.

 

Đã báo lỗ hổng mà vẫn không chịu sửa... Microsoft đúng là ghê thật. Thậm chí còn khiến người ta nghĩ họ đang bảo vệ nó để lợi dụng lỗ hổng mà tấn công. Ý nghĩ muốn chuyển sang Linux ngày càng mạnh hơn. Nếu không có khả năng sửa thì đúng ra phải nhờ giúp đỡ. Nếu không muốn trả tiền thì phải chịu hứng chỉ trích... lại còn định đóng vai kẻ yếu.

 
arton1234 2026-05-31

Tôi vốn là dân nghiệp dư. Chỉ là mỗi khi cần gì thì tự làm đại cái đó để dùng.

  1. Ngay từ đầu, Microsoft tuy hỗ trợ rất mạnh cho lập trình viên về môi trường phát triển (bao gồm cả tài liệu), nhưng cũng không hẳn thân thiện với mã nguồn mở.

  2. Sau khi Satya Nadella trở thành CEO, họ bắt đầu thể hiện những bước đi thân thiện hơn với mã nguồn mở nên tôi cũng có thiện cảm hơn. Một trong số đó là WSL.

  3. Tôi đồng ý rằng hiện tại Microsoft đang làm khá tệ ở mảng AI. Dù là GitHub Copilot hay Copilot được tích hợp vào hệ điều hành cũng vậy.

  4. Dù vì lý do gì đi nữa, việc công khai lỗ hổng trong khi chưa có biện pháp đối phó với lỗ hổng zero-day thì tôi cho rằng người công khai là một hacker có ác ý. Bản chất của việc hack chỉ là khó ở chỗ tìm ra lỗ hổng và khai thác nó; nếu một chương trình do tôi tạo ra được cài đặt và chạy với toàn bộ quyền hạn, thì ai cũng có thể tạo ra một chương trình độc hại.

Trước khi bàn xem Microsoft đã ứng phó tốt hay chưa, thì việc công khai lỗ hổng dù chưa thể đối phó với nó chẳng khác nào một hành vi khủng bố mạng.

 

Với tôi, thái độ của nhà nghiên cứu này có cảm giác kiểu như
Tôi phát hiện ra một lỗ hổng nguy hiểm đến thế này thì đương nhiên phải huy động toàn bộ năng lực của công ty để xử lý ưu tiên số một chứ? Hừ hừ
giống như vậy vậy đó.
Nếu là kiểu nhận được báo cáo rồi cứ để đó cả năm không giải thích gì thì đúng là phía Microsoft có vấn đề,
nhưng chỉ vì tốc độ phản ứng không đúng như ý mình mà lại định công khai luôn một lỗ hổng mới, thì chuyện này trông không giống white hat mà gần với black hat hơn.

 
galaxy11111 29 ngày trước

Nhà nghiên cứu đó đang biểu tình theo kiểu rất dễ bị ăn chửi nhỉ

 

Tôi cũng thấy đáng tiếc về những động thái gần đây của Microsoft. Tuy nhiên, tôi cũng cho rằng hành động của nhà nghiên cứu có vấn đề.

Thông thường, với các lỗ hổng bảo mật, có thông lệ là nhà nghiên cứu chỉ có thể công bố sau 90 ngày kể từ khi báo cho nhà cung cấp.
Các bạn làm phát triển chắc cũng biết, các bản vá bảo mật được bổ sung ngoài công việc hiện có thì tất yếu sẽ cần thời gian. Vì vậy, để trong khoảng thời gian đó có thể đánh giá mức độ rủi ro và tầm quan trọng rồi xử lý theo thứ tự, nên theo thông lệ đã hình thành khoảng thời gian hoãn công bố là 90 ngày.

Tôi cho rằng việc công bố một cách thiếu trách nhiệm như vậy, hơn cả Microsoft, là hành động khiến chính những người dùng thực tế bị phơi bày trước các cuộc tấn công mà không có sự phòng bị.

 
comsect 2026-05-31

Cần phân biệt giữa mưu cầu lợi ích riêng và việc quảng bá vì lợi ích công. Nếu sử dụng các kỹ thuật marketing mang danh nghĩa vì lợi ích công mà lại không gánh vác trách nhiệm tương xứng với lợi ích công đó, thì đó là đang coi thường người dùng. Master Bang-i