Bên trong chiến dịch zero-day Nightmare-Eclipse: Cuộc bao vây trả đũa kéo dài 6 tuần nhắm vào Microsoft Windows

Tóm tắt các mã khai thác và tình trạng bản vá

Ba trong số sáu lỗ hổng đã được vá vào cuối tháng 5 năm 2026. Ba lỗ hổng vẫn chưa được giải quyết, trong đó MiniPlasma gây ra rủi ro hoạt động trực tiếp nhất.

MiniPlasma đặc biệt nguy hiểm vì nó cho phép một người dùng tiêu chuẩn giành được đặc quyền cấp SYSTEM trên một hệ thống đã cài đặt tất cả các bản cập nhật tháng 5 năm 2026 . Nó khai thác cùng trình điều khiển Cloud Files cldflt.sys mà BlueHammer đã nhắm tới, bằng cách kích hoạt lại một lỗ hổng đã được xử lý trước đó từ năm 2020 mà nhà nghiên cứu tuyên bố Microsoft chưa bao giờ vá triệt để .

Động cơ của Nhà nghiên cứu: Một cuộc biểu tình chống lại MSRC

Nhà nghiên cứu đã mô tả rõ ràng các công bố này là hành động trả đũa cho cách đối xử tệ bạc từ MSRC. Các tuyên bố công khai và báo cáo chỉ ra rằng những bản báo cáo lỗi riêng tư trước đó đã bị bác bỏ, xử lý chậm trễ, hoặc vấp phải những yêu cầu mà nhà nghiên cứu cho là quá đáng – được cho là bao gồm yêu cầu quay video minh họa cho lỗ hổng . Một tuyên bố lặp đi lặp lại được cho là của nhà nghiên cứu nói rằng MSRC đã đe dọa sẽ "hủy hoại cuộc đời tôi và họ đã làm vậy" .

Thời điểm của các công bố sau này – được đăng vào ngày sau Patch Tuesday – rõ ràng là được tính toán để tối đa hóa mức độ phơi bày và gây áp lực. YellowKey và GreenPlasma được tung ra vào ngày 12 tháng 5, ngay sau chu kỳ cập nhật tháng 5 của Microsoft, và MiniPlasma theo sau vào ngày 17 tháng 5 .

Phản ứng của Microsoft và Lời đe dọa pháp lý

Vào ngày 27 tháng 5, Microsoft đã đăng một bài viết trên blog với tiêu đề "Trách nhiệm chung: Bảo vệ khách hàng thông qua việc công bố lỗ hổng có phối hợp" . Bài viết:

• Liệt kê tên tất cả sáu mã khai thác và nói rằng chúng "không được công bố một cách có trách nhiệm" .
• Kêu gọi cộng đồng bảo mật tuân theo các thông lệ Công bố Lỗ hổng Có phối hợp (CVD).
• Ngụ ý một lời đe dọa từ Đơn vị Tội phạm Kỹ thuật số của Microsoft, cảnh báo rằng việc công khai mã khai thác có thể dẫn đến hậu quả pháp lý .

Ngôn ngữ của Microsoft đã làm leo thang xung đột, nhưng không giải quyết được vấn đề cốt lõi: vẫn còn ba lỗ hổng zero-day chưa được vá. Các nền tảng lưu trữ mã nguồn – GitHub vào khoảng ngày 23 tháng 5 và GitLab vài ngày sau đó – đã thực hiện hành động cưỡng chế bằng cách chấm dứt tài khoản của nhà nghiên cứu .

Các cuộc tấn công chủ động và Báo động từ các tổ chức

Đến giữa tháng 4, cả ba mã khai thác Defender ban đầu đều đang bị khai thác chủ động. Huntress và Barracuda đã xác định các tác nhân đe dọa lấy mã PoC trực tiếp từ các kho lưu trữ GitHub công khai và sử dụng hạ tầng liên kết với vị trí địa lý tại Nga .

CISA đã phản ứng nhanh chóng. BlueHammer đã được thêm vào danh mục KEV vào ngày 22 tháng 4 với thời hạn vá là ngày 6 tháng 5 cho các cơ quan liên bang . RedSun và UnDefend được bổ sung sau đó, với thời hạn là ngày 3 tháng 6 . Những bổ sung này phản ánh một mối lo ngại sâu sắc: khi chính các công cụ bảo mật trở thành vectơ tấn công, các mô hình phòng thủ truyền thống sẽ bị phá vỡ.

Phản ứng của cộng đồng: Một quy trình công bố bị phá vỡ

Cộng đồng an ninh mạng đã phản ứng với một kết luận chia rẽ.

Chỉ trích nhà nghiên cứu đến từ Barracuda, ThreatLocker và LevelBlue, các đơn vị này mô tả chiến dịch là nguy hiểm và phản tác dụng . Việc công khai các mã khai thác đã được vũ khí hóa khiến người dùng doanh nghiệp gặp rủi ro ngay lập tức khi chưa có bản vá.

Chỉ trích Microsoft cũng gay gắt không kém. Nhiều nhà nghiên cứu lưu ý rằng toàn bộ sự việc này lẽ ra có thể tránh được nếu quy trình của MSRC tôn trọng và phản hồi nhanh hơn. Các tiết lộ đã làm sống lại những bất bình âm ỉ từ lâu: quy trình phân loại chậm, giao tiếp thiếu minh bạch và thái độ đối đầu với những người tìm lỗi không phù hợp với khuôn mẫu của các chương trình thưởng lỗi của công ty .

Một động thái gây chú ý: Microsoft đã đe dọa hành động pháp lý trong khi vẫn còn ba lỗ hổng chưa được vá – một nước đi mà các nhà bình luận cho là mang tính trình diễn và sai thứ tự ưu tiên .

Điều gì sẽ xảy ra tiếp theo

Nhà nghiên cứu đã im lặng nhưng chưa hoàn toàn biến mất. Sau khi mất quyền truy cập nền tảng, họ đã chuyển sang một blog cá nhân và đe dọa rõ ràng về một đợt công bố hàng loạt khác vào ngày 14 tháng 7 – tức kỳ Patch Tuesday tiếp theo . Mối đe dọa đó có đáng tin hay không thì vẫn chưa rõ, nhưng mô hình hành động đã được thiết lập.

Đối với các đội ngũ bảo mật, ưu tiên trước mắt là rất rõ ràng: áp dụng các bản vá Defender ngoài lịch trình, thực hiện các biện pháp giảm thiểu cho YellowKey (xóa giá trị autofstx.exe khỏi BootExecute và bật TPM+PIN cho BitLocker) , và coi MiniPlasma là một mối đe dọa trực tiếp chưa có biện pháp khắc phục chính thức. Hãy theo dõi các bản phát hành PoC bổ sung được định thời gian trùng với các kỳ Patch Tuesday sắp tới, và chuẩn bị các biện pháp kiểm soát bù đắp cho các thành phần Defender mà những kẻ tấn công hiện đang nhắm tới một cách có hệ thống.

Sự kiện Nightmare-Eclipse không chỉ đơn thuần là về sáu lỗ hổng bảo mật. Đó là một bài kiểm tra sức chịu đựng đối với mối quan hệ giữa các nhà cung cấp nền tảng và các nhà nghiên cứu mà họ phụ thuộc vào. Khi mối quan hệ đó đổ vỡ, hậu quả sẽ là công khai, có thể bị khai thác và vô cùng nghiêm trọng.