Microsoft đã lên tiếng ủng hộ mạnh mẽ quy trình Coordinated Vulnerability Disclosure (CVD), thúc giục cộng đồng nghiên cứu chia sẻ các phát hiện của họ và tạo điều kiện cho các nhà cung cấp bị ảnh hưởng có cơ hội hiểu rõ hơn về tác động cũng như khắc phục chúng trước khi công khai rộng rãi.
Diễn biến này xảy ra sau khi một nhà nghiên cứu có biệt danh Chaotic Eclipse (còn gọi là Nightmare-Eclipse) công bố chi tiết về nhiều lỗ hổng Zero-Day ảnh hưởng đến các thành phần của Windows, bao gồm Defender và BitLocker, trong tháng qua, viện dẫn sự thiếu sót trong quy trình xử lý công bố lỗ hổng của Microsoft.
"Trong những tuần gần đây, một số lỗ hổng Zero-Day đã được công bố công khai," gã khổng lồ công nghệ cho biết. "Chi tiết về những lỗ hổng này đã không được chia sẻ với Microsoft trước khi phát hành, và việc công bố này đã đẩy khách hàng của chúng tôi vào những rủi ro không đáng có."
"Để đáp lại rủi ro từ những lần công bố này, các nhóm bảo mật của chúng tôi đã làm việc không ngừng nghỉ để tìm hiểu tác động, bảo vệ khách hàng và phát triển các bản cập nhật bảo mật."
Các lỗ hổng bao gồm BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma, và MiniPlasma. Sau khi bị công bố, BlueHammer, RedSun và UnDefend đều đã bị khai thác thực tế (active exploitation) ngoài môi trường tự nhiên.
Microsoft tuyên bố "kiên quyết" phản đối các hình thức công bố không phối hợp như vậy và cho rằng việc công khai mã proof-of-concept cho các lỗ hổng chưa được vá có thể gây ra "hậu quả thực tế" khi chúng rơi vào tay những kẻ xấu.
"Chúng tôi hoan nghênh các quan điểm đa dạng giúp cộng đồng bảo mật cùng nhau bảo vệ mọi người. Chúng tôi nhận ra rằng không phải lúc nào chúng ta cũng đồng ý về mọi thứ, nhưng chúng tôi cam kết minh bạch và tiếp tục tạo cơ hội đối thoại," hãng công nghệ bổ sung thêm.
"Những cuộc thảo luận này diễn ra tại các sự kiện tri ân nhà nghiên cứu, hội nghị bảo mật và công việc hàng ngày mà chúng tôi thực hiện cùng nhau để hiểu và giải quyết các lỗ hổng."
Hệ quả từ những lần công bố này được cho là đã dẫn đến việc GitHub gỡ bỏ tài khoản của nhà nghiên cứu vào tuần trước. Mặc dù mã exploit cho sáu lỗ hổng sau đó đã được tải lên GitLab, nhưng tài khoản mới tạo này cũng đã bị chặn ngay sau đó.
"Vậy để tôi nói cho rõ, khi tôi chủ động yêu cầu các người giao tiếp với tôi, các người đã từ chối, làm nhục tôi và xúc phạm tôi trước mặt mọi người," nhà nghiên cứu nói trong một bài đăng được công bố vào cuối tuần qua.
"Các người bôi nhọ tôi công khai trong bản tư vấn CVE-2026-45585 mặc dù các người đã xóa tài khoản Microsoft mà tôi dùng để báo cáo lỗi, và tôi không nhận được một đồng nào từ việc đó nhưng vẫn vui vẻ thực hiện như một kẻ ngốc. Giờ các người lại gắn cờ tài khoản GitHub của tôi và xóa sổ nó khỏi cộng đồng? Các người đang chứng minh rằng các người đang chủ động leo thang cuộc xung đột này, nhưng tôi sẽ không cầu xin các người nữa."
Nhà nghiên cứu này cũng tuyên bố dự định sẽ phát hành một thứ gì đó vào ngày 14 tháng 7 năm 2026, thứ "sẽ đảm bảo xương cốt của các người bị đập nát vào ngày hôm đó."