Nhà nghiên cứu bảo mật đe dọa "tấn công mạnh" vào Microsoft, công ty khẳng định sẽ báo cảnh sát

Cuộc tranh căng thẳng giữa Microsoft và một nhà nghiên cứu bảo mật bất mãn có biệt danh Nightmare Eclipse (hay còn gọi là Chaotic Eclipse) đã đạt đến đỉnh điểm mới. Cá nhân này, người đã công bố tổng cộng sáu lỗ hổng zero-day của Windows, hứa hẹn sẽ có một đợt tung tài liệu "gây chấn động" vào ngày 14/7 tới.

Microsoft đã phản hồi lại các lỗi bảo mật đã bị vũ khí hóa này thông qua một bài đăng trên blog về việc tiết lộ lỗ hổng "không có sự phối hợp". Sáu lỗ hổng được đặt tên là: RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma và MiniPlasma. Gã khổng lồ công nghệ khẳng định không có lỗi nào trong số này được báo cáo qua các kênh chính thức trước khi được công khai.

Tác động thực tế và sự khai thác

Ngay sau khi Nightmare Eclipse công bố mã khai thác khái niệm (proof-of-concept) trên các tài khoản GitHub và GitLab (hiện đã bị cấm), tin tặc đã bắt đầu tấn công mạnh mẽ vào ba trong số sáu lỗ hổng này: BlueHammer, RedSun và UnDefend.

Đáng lo ngại hơn, YellowKey, GreenPlasma và MiniPlasma hiện vẫn chưa có bản vá. Microsoft đánh giá khả năng bị khai thác đối với YellowKey (CVE-2026-45585) là "rất có thể xảy ra" do đã tồn tại mã PoC hoạt động.

Microsoft cảnh báo về hành động pháp lý

Trong một bài đăng blog vào thứ Tư, Microsoft bày tỏ sự phản đối kịch liệt đối với các hành động này: "Chúng tôi kiên quyết phản đối những hành động này, cũng như bất kỳ việc tiết lộ nào ngoài sự phối hợp phù hợp có thể gây hại cho khách hàng và hệ sinh thái kỹ thuật số".

Công ty dường như cũng đe dọa sẽ có hành động pháp lý đối với Nightmare Eclipse: "Đơn vị Tội phạm Kỹ thuật số (Digital Crimes Unit) của chúng tôi sẽ tiếp tục khởi kiện các tác nhân này và những người cho phép hoạt động tội phạm của họ – phối hợp khi cần thiết với cơ quan thực thi pháp luật trên toàn thế giới".

"David và Goliath" trong thế giới bảo mật

Nightmare Eclipse cáo buộc Microsoft đã từ chối giao tiếp, làm nhục họ và xóa tài khoản Microsoft được dùng để báo cáo lỗi. Nhà nghiên cứu này viết: "Khi tôi tích cực yêu cầu các bạn giao tiếp với tôi, các bạn đã từ chối, làm nhục tôi và chắc chắn xúc phạm tôi trước mặt mọi người".

Các chuyên gia bảo mật cũng có cái nhìn không thuận lợi về cách xử lý của Microsoft. Dustin Childs từ Zero Day Initiative cho rằng Microsoft có thể đã xử lý tình huống tốt hơn, nhấn mạnh rằng việc tiết lộ lỗ hổng có phối hợp (CVD) là "con đường hai chiều".

Katie Moussouris, người từng tiên phong chương trình tiền thưởng lỗi (bug bounty) của Microsoft, nhận định rằng phản hồi của Redmond gửi đi "thông điệp hỗn hợp". Bà mô tả tình huống này là một động thái "David và Goliath", nơi nhà nghiên cứu cảm thấy mọi kênh hợp pháp đều bị đóng lại.

Kevin Beaumont, một chuyên gia an ninh mạng, thậm chí gọi sự việc này là một "đống lửa rác" (dumpster fire) do chính Microsoft tạo ra. Ông chỉ ra mâu thuẫn khi Microsoft từng thuê một hacker tên SandboxEscaper sau khi họ công bố zero-day, nhưng nay lại coi hành vi tương tự là tội phạm.

Dù sự việc diễn ra như thế nào, thực tế là một cá nhân đã gây ra thiệt hại cấp độ doanh nghiệp lớn hơn trong sáu tuần so với hầu hết các nhóm APT (nhóm mối đe dọa tiên tiến) gây ra trong một năm. Cửa sổ vá lỗi đang thu hẹp nhanh chóng, đặt áp lực lớn lên các đội ngũ CNTT trên toàn thế giới.