Microsoft cố xoa dịu lo ngại về đe dọa pháp lý sau tranh cãi công bố lỗ hổng zero-day

Microsoft đã phải lên tiếng giải thích sau khi cộng đồng an ninh mạng phản ứng dữ dội trước những bình luận được coi là đe dọa pháp lý đối với các nhà nghiên cứu bảo mật công khai chi tiết các lỗ hổng zero-day mà không có sự phối hợp trước.

Tranh cãi này xoay quanh một nhà nghiên cứu được biết đến trực tuyến với tên gọi Chaotic Eclipse và Nightmare Eclipse. Trong vài tuần qua, người này đã công bố chi tiết và mã khai thác khái niệm (proof-of-concept - PoC) cho một số lỗ hổng chưa được vá ảnh hưởng đến các sản phẩm của Microsoft.

Lỗ hổng phần mềm

Chi tiết về vụ việc vẫn chưa hoàn toàn rõ ràng, nhưng dường như đã có sự bất đồng giữa nhà nghiên cứu và Microsoft trong quá trình báo cáo lỗ hổng. Sau đó, nhà nghiên cứu quyết định công bố chi tiết của một số lỗ hổng chưa từng được báo cáo cho Microsoft.

Danh sách các lỗ hổng bao gồm: RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), BlueHammer (CVE-2026-33825), YellowKey (CVE-2026-45585), GreenPlasma và MiniPlasma.

Đa số các lỗ hổng này có thể được khai thác để thăng đặc quyền (privilege escalation). Cụ thể, YellowKey cho phép kẻ tấn công bỏ qua bảo vệ BitLocker, trong khi UnDefend là một lỗ hổng từ chối dịch vụ (DoS) ảnh hưởng đến Microsoft Defender.

Microsoft đã bắt đầu phát hành các bản vá và biện pháp giảm thiểu cho các lỗ hổng này, tuy nhiên một số trong số đó đã bị khai thác thực tế trong tự nhiên (in the wild), bao gồm BlueHammer, RedSun và UnDefend.

Phản ứng ban đầu của Microsoft

Nhà nghiên cứu Nightmare Eclipse đã bày tỏ sự bất mãn sâu sắc, cáo buộc Microsoft làm nhục họ, phớt lờ liên lạc, không bồi thường cho các lỗ hổng đã báo cáo và bôi nhọ danh tiếng của họ trước công chúng.

Ngược lại, Microsoft không hài lòng với cách tiếp cận của Nightmare Eclipse, cho rằng nhà nghiên cứu này đã đưa khách hàng vào rủi ro không cần thiết. Công ty đã vô hiệu hóa tài khoản của nhà nghiên cứu trên cổng thông tin báo cáo lỗ hổng và trên GitHub (nơi Microsoft sở hữu) nơi các mã PoC đã được phát hành.

Trong một bài đăng trên blog ngày 27/5, Microsoft khẳng định: "Chúng tôi kiên quyết phản đối các hành động này và bất kỳ sự công bố nào bên ngoài sự phối hợp thích hợp có thể gây hại cho khách hàng và hệ sinh thái kỹ thuật số của chúng tôi. Các công bố không phối hợp đưa mã khai thác khái niệm cho các lỗ hổng chưa được vá vào tay các tác nhân xấu là không bao giờ có thể biện minh được và mang lại hậu quả thực tế."

Gã khổng lồ công nghệ này còn thêm rằng: "Các đội ngũ bảo mật của chúng tôi trên toàn công ty làm việc không ngừng nghỉ để theo dõi các mối đe dọa tìm kiếm điểm yếu giống như thế này để tấn công Microsoft và khách hàng của chúng tôi. Đơn vị Tội phạm Kỹ thuật số (Digital Crimes Unit) của chúng tôi sẽ tiếp tục đưa ra các vụ việc chống lại các tác nhân này và những người cho phép hoạt động tội phạm của họ - phối hợp với cơ quan thực thi pháp luật trên toàn thế giới khi cần thiết."

Làn sóng phản đối từ cộng đồng

Nhận xét này đã gây ra tranh cãi và phản ứng dữ dội, khi một số thành viên của cộng đồng an ninh mạng coi đó là lời đe dọa hành động pháp lý đối với việc công bố lỗ hổng zero-day.

Nhà nghiên cứu Kevin Beaumont bình luận: "Tôi cảm thấy rất không thoải mái khi Microsoft cố gắng vũ khí hóa các mối quan hệ thực thi pháp luật rộng rãi của họ để bắt giữ những người đăng bài zero-day trong sản phẩm."

Florian Roth, trưởng bộ phận nghiên cứu tại Nextron Systems, nhận định: "Có thể Nightmare Eclipse là vô lý. Có thể Microsoft là vô lý. Hoặc cả hai đều vậy. Nhưng tôi nghĩ Microsoft đã đánh giá sai tình huống một cách tồi tệ."

"Khi bạn là nhà cung cấp phần mềm lớn nhất hành tinh, bạn không được phép hành xử như một cá nhân tức giận trong một cuộc tranh luận trên internet. Bạn phải là người trưởng thành trong phòng," Roth bổ sung. "Xóa kho lưu trữ, nói về các cuộc điều tra hình sự và biến cả chuyện này thành một cuộc chiến công cộng là một sai lầm. Thiệt hại từ việc đó đi xa hơn nhiều so với chỉ một nhà nghiên cứu này."

Sự làm rõ của Microsoft

Trước phản ứng gay gắt, Microsoft đã đưa ra sự làm rõ qua tài khoản X vào ngày 1/6. Công ty khẳng định sự đánh giá cao sâu sắc đối với cộng đồng nghiên cứu bảo mật và thừa nhận rằng mối quan hệ giữa các nhà nghiên cứu và nhà cung cấp đôi khi có thể đầy thách thức.

"Để rõ ràng về cách tiếp cận của chúng tôi đối với các vấn đề pháp lý, chúng tôi không có ý định theo đuổi hành động chống lại các cá nhân thực hiện hoặc công bố nghiên cứu bảo mật của họ," Microsoft tuyên bố. "Khi một cá nhân phá luật và tham gia vào hoạt động độc hại gây hại thực sự cho khách hàng của chúng tôi, chúng tôi sẽ làm việc với cơ quan thực thi pháp luật một cách phù hợp."

Công ty thêm rằng: "Cộng đồng bảo mật đóng một vai trò quan trọng trong việc giúp chúng tôi bảo vệ khách hàng. Chúng tôi cam kết duy trì mối quan hệ mang tính xây dựng và tôn trọng cùng phát triển. Chúng tôi biết rằng, xét theo bản chất của công việc này, sẽ có những hiểu lầm. Chúng tôi vẫn cam kết tham gia thiện chí và cung cấp trải nghiệm tôn trọng và chuyên nghiệp cho tất cả các nhà nghiên cứu, bất kể các tương tác trong quá khứ."

Đáp lại bài đăng của Microsoft, Nightmare Eclipse đã gợi ý trên X rằng công ty thực sự đã khởi kiện họ vì các công bố này. Nhà nghiên cứu này có kế hoạch phát hành một phương pháp bỏ qua BitLocker đầy đủ vào cuối tháng này.