GitHub cấm nhà nghiên cứu bảo mật vì công bố lỗ hổng zero-day Windows

Cộng đồng bảo mật gần đây đang chứng kiến một cuộc tranh cãi gay gắt khác giữa nhà nghiên cứu bảo mật có biệt danh Nightmare-Eclipse (hay Chaotic Eclipse) và Microsoft. Mới đây, GitHub - nền tảng thuộc sở hữu của gã khổng lồ phần mềm - đã quyết định cấm tài khoản của Eclipse vì những lý do chưa được làm rõ. Điều này buộc nhà nghiên cứu này phải chuyển "trụ sở" mã nguồn của mình sang GitLab. Ngoài ra, Eclipse còn cáo buộc rằng Microsoft đã xóa tài khoản mà ông sử dụng để báo cáo các lỗi bảo mật cho công ty.

Trong một bài đăng trên blog cá nhân, Eclipse khẳng định hành động này mang tính trả đũa. Ông tuyên bố Microsoft từ chối liên lạc và ông "không nhận được một xu nào" từ việc báo cáo lỗi, ám chỉ đến việc công ty từ chối trả thưởng theo chương trình MSRC (Microsoft Security Response Center). Chương trình này thường trả từ 30.000 USD đến 100.000 USD cho mỗi lỗi zero-day tại điểm cuối, và lên tới 250.000 USD nếu ai đó khai thác được lỗ hổng trong Hyper-V.

Hình ảnh minh họa

Với sáu lỗ hổng zero-day đã được công bố trong tay, Eclipse đe dọa rằng ngày 14/7 sẽ là thời điểm "trả thù" dưới dạng công bố thêm nhiều mã khai thác mới. Cuộc xung đột kịch tính này bắt đầu từ đầu tháng 4, khi Eclipse công bố lỗ hổng BlueHammer mà không đưa ra bất kỳ cảnh báo nào trước. Ngôn ngữ trong các bài đăng của ông đầy cảm xúc và chỉ trích gay gắt Microsoft/MSRC. Tóm lại, Eclipse ngụ ý rằng Microsoft đã phớt lờ các báo cáo lỗi hoặc không trả thưởng, gây thiệt hại tài chính cho ông. Ông thậm chí còn nói rằng Microsoft đe dọa sẽ "phá hủy cuộc đời" ông và đã làm được điều đó, đồng thời nhắc đến một "công tắc người chết" (dead-man switch) và lời hứa sẽ "làm cho xương của Microsoft phải nát vụn".

Vụ việc đã thu hút sự suy đoán từ các chuyên gia khác. William Dormann từ Tharros nhận định: "MSRC từng rất tuyệt vời để làm việc. Nhưng để tiết kiệm tiền, Microsoft đã sa thải những người có kỹ năng, chỉ để lại những người chỉ biết làm theo sơ đồ. Tôi sẽ không ngạc nhiên nếu Microsoft đóng vụ việc sau khi người báo cáo từ chối gửi video khai thác, vì dường như đó là yêu cầu bắt buộc của MSRC hiện nay."

Microsoft vẫn giữ im lặng trước các chi tiết của vụ việc, do đó khó có thể xác định tình huống này là do một nhà nghiên cứu không hợp tác không tuân thủ quy trình công bố, hay do công ty gây khó dễ trong việc xử lý báo cáo bảo mật. Dù vậy, việc cấm tài khoản GitHub của Eclipse tạo ra một hình ảnh tiêu cực và bị chỉ trích nặng nề, nhưng về mặt bảo mật thì hành động này không đạt được gì cả vì mã độc đã bị tung ra rộng rãi.

Trong thời đại mà nghiên cứu bảo mật được hỗ trợ bởi AI có thể làm cho quy trình công bố 90 ngày trở nên lỗi thời, và thời gian khai thác lỗ hổng ngày càng rút ngắn, Microsoft và các nhà phát triển phần mềm khác cần điều chỉnh chính sách của mình.

Hình ảnh minh họa

Kỹ thuật của Eclipse là không thể chối cãi. Ông đã công bố chuỗi các lỗ hổng zero-day cho Windows:

• BlueHammer: Truy cập người dùng SYSTEM thông qua Defender.
• RedSun: Tương tự như BlueHammer.
• UnDefend: Làm tê liệt Defender.
• GreenPlasma: Lấy quyền SYSTEM thông qua dịch vụ CTFMon.
• MiniPlasma: Cấp quyền tương tự thông qua lỗi trong trình điều khiển Windows Cloud Filter.
• YellowKey: Lỗ hổng trong BitLocker cho phép kẻ tấn công mở ổ đĩa mã hóa dễ dàng.

BlueHammer, RedSun và UnDefend đều đã được xác nhận đang bị khai thác tích cực trong tự nhiên (in-the-wild). Không khó để tưởng tượng các lỗ hổng khác cũng đang gặp phải tình trạng tương tự, đặc biệt khi Eclipse đã công bố mã khái niệm chứng minh (proof-of-concept) đầy đủ hoặc một phần, khiến việc sử dụng chúng trở nên dễ dàng với bất kỳ ai có ý đồ xấu.