Microsoft Thoái lui Trước Làn Sóng Phẫn nộ: Rút lại Đe dọa Pháp lý với Nghiên cứu viên Tiết lộ 6 Lỗ hổng Zero-day Windows

Ba trong số sáu lỗ hổng nhanh chóng được xác nhận là đang bị khai thác thực tế: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) và UnDefend (CVE-2026-45498) . Cơ quan An ninh Cơ sở hạ tầng Mỹ (CISA) đã thêm chúng vào danh mục Lỗ hổng Đã biết Bị Khai thác, yêu cầu các cơ quan liên bang phải áp dụng các bản vá khẩn cấp . Microsoft đã vá lỗi BlueHammer trong đợt Patch Tuesday ngày 14 tháng 4 và phát hành các bản sửa lỗi đột xuất cho RedSun và UnDefend vào ngày 21 tháng 5 sau khi các cuộc tấn công thực tế được báo cáo . Ba lỗ hổng còn lại — YellowKey (một lỗi vượt qua BitLocker, CVE-2026-45585), GreenPlasma và MiniPlasma — vẫn chưa được vá tính đến đầu tháng 6 .

Nghiên cứu viên này tuyên bố đã có một quá khứ đầy bất mãn với cách xử lý lỗ hổng của Microsoft. Nightmare Eclipse cáo buộc rằng các báo cáo trước đây gửi qua các kênh chính thức đã bị phớt lờ hoặc xử lý sai, và các khoản tiền thưởng lỗ hổng (bug bounty) — được cho là lên tới 250.000 đô la cho các lỗi trên Hyper-V — đã bị giữ lại . Về phần mình, Microsoft tuyên bố rằng nghiên cứu viên đã không báo cáo các lỗ hổng này qua các kênh chính thức trước khi công khai .

Cách Microsoft đẩy xung đột leo thang

Tình hình trở nên cực kỳ căng thẳng vào tuần cuối cùng của tháng 5. Khoảng ngày 23 tháng 5, tài khoản GitHub của Nightmare Eclipse bị đình chỉ. Tiếp đó, nghiên cứu viên này bị cấm khỏi GitLab vào khoảng ngày 26–27 tháng 5 . Hoạt động từ một blog cá nhân, nghiên cứu viên này đã đe dọa sẽ tung ra một đợt phát hành mã khai thác mới có sức công phá 'nghiền nát xương cốt' vào ngày 14 tháng 7 năm 2026 — đúng dịp Patch Tuesday tiếp theo .

Ngày 27 tháng 5, MSRC của Microsoft xuất bản một bài blog với tựa đề "Trách nhiệm Chung: Bảo vệ Khách hàng thông qua Tiết lộ Lỗ hổng Phối hợp" . Bài viết lên án việc tiết lộ không phối hợp, nói rằng "những tiết lộ không phối hợp, đưa mã khai thác cho các lỗ hổng chưa được vá vào tay kẻ xấu là không bao giờ có thể biện minh và gây ra những hậu quả thực tế" .

Nhưng chính đoạn văn này mới là 'giọt nước làm tràn ly', gây ra sự báo động khắp cộng đồng bảo mật:

"Đơn vị Chống Tội phạm Số (Digital Crimes Unit - DCU) của chúng tôi sẽ tiếp tục đưa ra các vụ kiện chống lại những kẻ này và những ai hỗ trợ cho hoạt động tội phạm của chúng — phối hợp khi cần với các cơ quan thực thi pháp luật trên toàn thế giới" .

Mặc dù Microsoft không nêu đích danh Nightmare Eclipse, nhưng bối cảnh của bài đăng — một phản hồi trực tiếp tới chiến dịch zero-day đang diễn ra — đã khiến nhiều nhà nghiên cứu bảo mật hàng đầu hiểu rằng đây là một lời đe dọa pháp lý cụ thể nhắm vào chính nghiên cứu viên này .

Cộng đồng an ninh mạng bùng nổ phẫn nộ

Phản ứng diễn ra nhanh chóng và cực kỳ tiêu cực. Các nhà nghiên cứu bảo mật, các chuyên gia bình luận trong ngành và hàng loạt ấn phẩm công nghệ lớn đã cáo buộc Microsoft sử dụng chiến thuật đe dọa có thể làm tê liệt các hoạt động nghiên cứu bảo mật hợp pháp .

Nhiều trang tin đồng loạt đăng tải các bài phê bình chỉ trong vài ngày. Tiêu đề của TechCrunch giật tít: "Microsoft hứng chịu chỉ trích vì đe dọa điều tra hình sự đối với nhà nghiên cứu bảo mật" . Windows Central thì thuật lại nỗi sợ hãi cá nhân của nghiên cứu viên với dòng tít "Họ sẽ hủy hoại cuộc đời tôi" . Các trang The Register, Security Affairs, CSO Online và The Times of India đều đưa tin về làn sóng phản ứng dữ dội, trong đó các tờ báo quốc tế ghi nhận "sự phẫn nộ" và "náo loạn" trong cộng đồng an ninh mạng .

Một chủ đề trọng tâm trong các lời chỉ trích: các nhà nghiên cứu lập luận rằng lập trường pháp lý của Microsoft đã làm suy yếu chính lòng tin vào quy trình tiết lộ phối hợp. Nếu các nhà nghiên cứu lo sợ bị trả thù pháp lý, họ có thể sẽ ngừng báo cáo lỗi qua các kênh chính thức hoàn toàn . Một số bình luận viên đã chỉ ra sự mỉa mai rằng Microsoft đang đe dọa một nhà nghiên cứu trong khi ba trong số sáu lỗ hổng được tiết lộ vẫn chưa được vá . Chuyên gia bảo mật nổi tiếng Kevin Beaumont đã công khai chỉ trích cách xử lý của Microsoft, đặt câu hỏi về tính cân xứng trong phản ứng của công ty . Quan điểm chung cuối cùng xoay quanh ý tưởng rằng chính Microsoft đã châm ngòi cho sự leo thang này bằng cách xử lý sai các báo cáo ban đầu của nghiên cứu viên, rồi sau đó lại càng làm vấn đề trầm trọng hơn bằng hành động 'khua kiếm pháp lý' của mình .

Cú thoái lui ngày 2 tháng 6

Vào ngày 2 tháng 6 năm 2026, Microsoft đã đảo ngược lập trường. Trong một tuyên bố được đăng tải trên nền tảng mạng xã hội X và được nhiều hãng thông tấn đưa tin, công ty tuyên bố: "Để làm rõ về cách tiếp cận của chúng tôi trong các vấn đề pháp lý, chúng tôi không có ý định khởi kiện những cá nhân đang thực hiện hoặc công bố nghiên cứu bảo mật của họ" .

Tuyên bố này mâu thuẫn trực tiếp với ngôn ngữ của Đơn vị Chống Tội phạm Số (DCU) trong bài đăng ngày 27 tháng 5. Microsoft cố gắng định hình lại thông điệp trước đó của mình như một tuyên bố chung về các thông lệ tiết lộ phối hợp, thay vì là một mối đe dọa cụ thể chống lại Nightmare Eclipse .

Trang công nghệ Đức BornCity mô tả sự đảo ngược này là Microsoft "chèo lại một chút" sau "cơn cuồng phong" (shitstorm) do bài đăng của MSRC gây ra . Ấn phẩm chuyên ngành iTnews đưa tin rằng động thái này "diễn ra sau phản ứng dữ dội từ các nhà nghiên cứu bảo mật" .

Ý nghĩa thực sự của cuộc rút lui

Tuyên bố ngày 2 tháng 6 được hiểu rõ nhất như một biện pháp kiểm soát thiệt hại, chứ không phải là một cuộc đại tu chính sách. Microsoft đã không cam kết thay đổi các kỳ vọng về tiết lộ lỗ hổng của mình, cũng như không giải quyết các cáo buộc cơ bản của nhà nghiên cứu về các báo cáo bị xử lý sai và tiền thưởng chưa được thanh toán. Công ty đã rút lại lời đe dọa pháp lý trong khi vẫn duy trì lập trường rằng việc tiết lộ không phối hợp là vô trách nhiệm .

Phản ứng từ cộng đồng nghiên cứu phản ánh sự hoài nghi này. Nhiều người coi lời 'làm rõ' này như một sự rút lui chiến thuật do áp lực công luận gây ra, hơn là một cam kết thực sự để bảo vệ quyền của nhà nghiên cứu . Tình trạng chưa được giải quyết của YellowKey, GreenPlasma và MiniPlasma — tất cả đều chưa được vá tính đến đầu tháng 6 — tiếp tục thổi bùng lên những chỉ trích rằng Microsoft đã đặt sai thứ tự ưu tiên .

Vụ việc này đã phơi bày những căng thẳng sâu xa trong các chuẩn mực tiết lộ lỗ hổng. Việc tiết lộ có phối hợp dựa trên niềm tin: các nghiên cứu viên báo cáo lỗi một cách riêng tư và nhà cung cấp sẽ vá chúng trong một khung thời gian hợp lý. Khi một trong hai bên cảm thấy thỏa thuận đó bị phá vỡ — cho dù là do các báo cáo bị phớt lờ, tiền thưởng bị giữ lại hay các mối đe dọa pháp lý — toàn bộ hệ thống sẽ trở nên mong manh. Ba yếu tố đã buộc Microsoft phải xuống nước: mức độ và tốc độ của làn sóng phẫn nộ từ cộng đồng, lời đe dọa của nghiên cứu viên về một đợt công bố mã khai thác còn lớn hơn vào ngày 14 tháng 7, và viễn cảnh khó xử của một gã khổng lồ công nghệ đe dọa người khác bằng hành động pháp lý trong khi chính các bản vá lỗi của họ vẫn chưa hoàn chỉnh.