Microsoft lên tiếng về việc công bố lỗ hổng Zero-day công khai sau khi xóa tài khoản nghiên cứu viên

Microsoft đang kêu gọi cộng đồng an ninh mạng tuân thủ quy trình Coordinated Vulnerability Disclosure (CVD), nhấn mạnh tầm quan trọng của việc chia sẻ các phát hiện bảo mật với nhà cung cấp trước khi công bố công khai. Động thái này diễn ra trong bối cảnh hãng công nghệ này đang đối mặt với làn sóng tiết lộ các lỗ hổng zero-day chưa được vá từ một nhà nghiên cứu có biệt danh Chaotic Eclipse (hay còn gọi là Nightmare-Eclipse).

Theo Microsoft, việc công bố chi tiết các lỗ hổng mà không có sự phối hợp đã đặt khách hàng vào tình trạng rủi ro không đáng có. Các lỗ hổng được nhắc đến bao gồm BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma và MiniPlasma. Đáng chú ý, một số lỗ hổng trong số này đã bị khai thác thực tế (active exploitation) ngay sau khi thông tin được tung ra.

Microsoft khẳng định họ phản đối mạnh mẽ các hành vi công bố thiếu sự phối hợp, đặc biệt là việc chia sẻ mã exploit hoặc proof-of-concept cho các lỗ hổng chưa có bản patch, vì điều này tạo điều kiện cho các tác nhân xấu thực hiện tấn công. Hãng cam kết sẽ tiếp tục duy trì sự minh bạch và đối thoại với cộng đồng nghiên cứu thông qua các sự kiện và hội thảo bảo mật.

Hệ quả của vụ việc này là tài khoản GitHub của nhà nghiên cứu Chaotic Eclipse đã bị xóa vào tuần trước. Dù mã khai thác sau đó đã được chuyển sang GitLab, tài khoản mới tạo tại đây cũng nhanh chóng bị chặn. Nhà nghiên cứu này bày tỏ sự bất bình, cho rằng Microsoft đã từ chối giao tiếp và có những hành động leo thang xung đột thay vì hợp tác.

Hiện tại, Microsoft đang nỗ lực làm việc để đánh giá mức độ ảnh hưởng và phát hành các bản cập nhật bảo mật nhằm bảo vệ người dùng trước các rủi ro từ những lỗ hổng này.

Nguồn tham khảo: The Hacker News