GitHub memblokir peneliti keamanan yang memublikasikan eksploit zero-day Windows

 (tomshardware.com)
1 poin oleh GN⁺ 4 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Akun GitHub milik Nightmare-Eclipse diblokir, dan ia mengklaim ini sebagai tindakan balasan dari Microsoft sambil memindahkan ruang kerjanya ke GitLab
  • Konflik memuncak pada awal April setelah pengungkapan zero-day BlueHammer, dan Eclipse menyatakan Microsoft mengabaikan laporan serta permintaan imbalannya
  • Microsoft tidak mengungkap alasan maupun kronologi pemblokiran, sehingga belum jelas apakah inti masalahnya adalah pengungkapan nonstandar atau kegagalan dalam proses pelaporan dan pemberian imbalan
  • Eclipse telah memublikasikan 6 zero-day Windows, termasuk BlueHammer, RedSun, dan UnDefend, dan sebagian di antaranya aktif dieksploitasi di lingkungan nyata
  • Pemblokiran GitHub sulit menghentikan kode dan eksploit yang sudah telanjur dipublikasikan, serta menunjukkan keterbatasan proses pengungkapan dan patching di tengah percepatan penemuan celah oleh AI

Pemblokiran akun GitHub dan perpindahan ke GitLab

  • Microsoft memblokir akun GitHub milik peneliti keamanan Nightmare-Eclipse (Chaotic Eclipse) dengan alasan yang hingga kini belum dipublikasikan
  • Eclipse memindahkan ruang kerjanya ke GitLab, dan mengatakan bahwa akun Microsoft yang dipakainya untuk melaporkan bug juga sudah dihapus
  • Dalam tulisan blog, ia mengklaim tindakan ini bersifat balasan, serta menuduh Microsoft menolak berkomunikasi dan tidak memberikan imbalan
  • Program MSRC bounty dari Microsoft menawarkan hingga US$30 ribu–US$100 ribu untuk zero-day endpoint tergantung syaratnya, dan hingga US$250 ribu untuk kerentanan Hyper-V
  • Eclipse sudah memublikasikan 6 eksploit zero-day dan memberi isyarat bahwa mungkin akan ada pengungkapan tambahan terkait Microsoft pada 14 Juli

Konflik antara Microsoft dan Eclipse

  • Konflik mulai memanas pada awal April ketika Eclipse memublikasikan zero-day BlueHammer tanpa peringatan sebelumnya
  • Blog milik Eclipse sangat mengkritik Microsoft dan MSRC, dengan tuduhan bahwa Microsoft mengabaikan atau menolak laporan zero-day serta tidak membayar imbalan yang diminta sehingga menimbulkan kerugian finansial
  • Eclipse mengklaim pernah mendengar dari Microsoft bahwa mereka akan “menghancurkan hidupnya”, dan bahwa hal itu benar-benar terjadi, serta menyebut adanya semacam deadman switch
  • Karena Microsoft tidak mengungkap rincian kejadian, sulit menilai apakah ini masalah peneliti yang tidak mengikuti prosedur pengungkapan standar atau masalah perusahaan yang mempersulit pelaporan keamanan

Kontroversi prosedur MSRC dan tekanan terhadap kebijakan pengungkapan

  • William Dormann dari Tharros, dalam tulisan tentang BlueHammer, mengkritik bahwa MSRC dulu cukup baik untuk diajak bekerja sama, tetapi kemudian memecat tenaga berpengalaman demi penghematan biaya dan menyisakan orang-orang yang hanya mengikuti bagan prosedur
  • Dormann menilai MSRC kini tampaknya meminta pengiriman video eksploit, dan ada kemungkinan Microsoft menutup kasus tersebut karena pelapor tidak mengirimkan videonya
  • Karena Microsoft tetap bungkam, belum terlihat jelas apakah inti konflik ini memang menyangkut prosedur responsible disclosure dan bagaimana program bounty dijalankan dalam praktik
  • Muncul penilaian bahwa periode standar 90 hari untuk pengungkapan dan patch pada dasarnya sudah menjadi model usang di era riset keamanan berbasis AI
  • Dalam konteks ketika waktu menuju eksploit dan jumlah eksploit yang belum digunakan keduanya makin mendekati nol, kebutuhan bagi Microsoft dan vendor software lain untuk menyesuaikan kebijakan mereka kian besar

Zero-day Windows yang dipublikasikan

  • Eclipse memublikasikan beberapa eksploit zero-day Windows
  • BlueHammer adalah kerentanan yang memungkinkan perolehan hak SYSTEM melalui Defender
  • RedSun juga memungkinkan akses sebagai pengguna SYSTEM
  • UnDefend dapat membuat Defender menjadi offline
  • GreenPlasma memperoleh akses SYSTEM melalui layanan CTFMon
  • MiniPlasma memungkinkan peningkatan hak akses serupa melalui cacat pada driver Windows Cloud Filter
  • YellowKey adalah kerentanan BitLocker yang memungkinkan penyerang membuka drive terenkripsi dengan usaha yang nyaris minim, sehingga meruntuhkan tujuan utama BitLocker

Eksploitasi nyata dan dampak keamanan

  • BlueHammer, RedSun, dan UnDefend dikonfirmasi aktif dieksploitasi di lingkungan nyata
  • Kerentanan lainnya juga telah dipublikasikan dengan kode proof-of-concept penuh atau parsial, sehingga mudah digunakan oleh penyerang yang berminat
  • Pemblokiran akun GitHub tidak cukup untuk menghapus kode yang sudah dipublikasikan atau menghentikan eksploitasi, dan justru memperbesar konflik antara peneliti dan perusahaan pemilik platform
  • Pengungkapan zero-day, sengketa bounty, pemblokiran akun, dan percepatan penemuan kerentanan oleh AI saling bertemu dan makin menegaskan keterbatasan proses pelaporan, verifikasi, dan patching keamanan yang ada

Bacaan terkait

1 komentar

 
GN⁺ 4 jam lalu
Komentar Hacker News

  • Kalau menemukan bug keamanan di aplikasi web, saya sudah tidak melaporkannya lagi. Waktu pertama kali melapor, saya hampir ditangkap polisi, dan yang kedua kalinya mereka bahkan tidak membalas saya, malah langsung menghubungi atasan saya dan mengatakan laporan itu tidak menyenangkan dan saya ingin menulis tentangnya setelah diperbaiki
    Setelah itu saya memutuskan ini tidak sepadan dengan kerepotannya, dan kalau dibiarkan saja saya juga bisa menjalani hari dengan tenang

    • Kalau mau, kerentanan bisa dilaporkan ke Finnish Cyber Security Centre, dan mereka yang akan menangani pelaporan serta mediasi dengan pihak yang terdampak
      Bisa juga dilakukan sepenuhnya secara anonim, jadi tidak perlu khawatir hidup dirusak perusahaan yang terlalu sensitif. FCSC milik Traficom adalah aset yang bagus agar peneliti keamanan whitehat bisa terus berkontribusi bagi kepentingan publik
    • Pernah ada jalur kereta yang mengunggah foto di media sosial tentang “melakukan hal baik untuk seseorang”, tetapi di dinding dalam foto kantor itu ada selembar kertas A4 berisi nama pengguna dan informasi login untuk berbagai sistem
      Saya melaporkannya ke tiga kontak yang bisa ditemukan, tetapi hanya satu yang menjawab, dan mereka bertanya sistem itu untuk apa serta apa risikonya. Saya sama sekali tidak tahu, dan saya jelas tidak akan mencoba masuk ke sistem tak dikenal untuk memeriksanya, jadi saya jawab agar diteruskan ke TI internal untuk dilihat apakah perlu diubah atau diganti
      Akhirnya saya mendapat balasan yang berterima kasih atas ketelitian saya dan mengatakan fotonya sudah dihapus, jadi masalahnya selesai. Saya harap ada orang yang paham yang benar-benar meninjaunya, tetapi saya memutuskan untuk tidak terlibat lebih jauh
    • Lebih baik tidak usah peduli
      Saya dulu sempat bekerja secara profesional sebagai whitehat, tetapi saya setuju bahwa upaya untuk jujur dan membantu kini justru berisiko. Kalau orang memilih menjual kerentanan, saya juga tidak heran
    • Ada yang akan mengkritik regulasi, tetapi Cyber Resilience Act (CRA) yang diwajibkan Uni Eropa membuat perusahaan memiliki jalur kontak yang jelas untuk menerima laporan kerentanan dan benar-benar menindaklanjutinya
    • Mungkin juga bisa mencoba melaporkan exploit secara anonim ke lembaga pemerintah

  • Saya tidak tahu apa yang sebenarnya terjadi di sini, tetapi prinsip pertama dari program bug bounty besar adalah bahwa semua pihak terkait di sisi vendor punya insentif kuat agar pembayaran dilakukan
    Dalam banyak kasus ada orang yang metrik internalnya terkait dengan jumlah pembayaran, dan dalam program seperti ini pembayaran adalah hal yang patut dirayakan. Hampir pasti sulit untuk menganggap Microsoft melecehkan pengaju bounty demi menghemat uang
    Ini mungkin tidak berlaku untuk perusahaan kecil, dan itu juga alasan kenapa perusahaan kecil seharusnya tidak menjalankan bug bounty, tetapi untuk perusahaan sekelas FAANG/MAG7 ini jelas berlaku. Bukan berarti program seperti ini selalu murah hati dalam membayar atau tidak pernah membuat keputusan yang bikin orang kesal. Hanya saja itu tidak cocok dengan klaim bahwa pembayaran ditahan karena dendam
    Meski begitu, sudah agak lama sejak saya berbicara dengan orang Microsoft, jadi saya sedikit menahan penilaian

    • Kalau membaca tulisan YellowKey, setidaknya dalam sebagian kasus ini terlihat seperti pengungkapan backdoor resmi Microsoft yang digunakan badan intelijen AS dan semacamnya. Intinya BitLocker tidak aman dan punya backdoor
      Setelah TrueCrypt tiba-tiba tutup suatu hari, menghapus semua unduhan, lalu menyarankan semua orang pindah ke Microsoft BitLocker, ini bukan sesuatu yang sepenuhnya tak terduga
      [1] - https://www.tomshardware.com/tech-industry/cyber-security/mi...
    • Masalah ini bermula ketika birokrasi menolak meninjau Bluehammer sama sekali setelah gagal membujuk pelapor untuk merilis videonya
      Lalu bukannya memperbaiki birokrasi, mereka malah makin jauh dengan memblokir akunnya, dan itu benar-benar tampak buruk. Saya tidak begitu paham kenapa Microsoft harus ditafsirkan bertindak dengan itikad baik
    • Bug yang dia angkat tampak seperti backdoor BitLocker yang sangat jelas, dan menimbulkan pertanyaan yang sangat serius tentang apa yang Microsoft lakukan dalam enkripsi
      Sangat mungkin volume bisa didekripsi tanpa kunci pengguna, dan itu amat mengkhawatirkan. Sepertinya mereka ingin berpura-pura ini tidak pernah terjadi, tetapi semuanya sudah telanjur dipublikasikan
    • Kalau cerdas setelah melakukan pemblokiran itu, mereka seharusnya merekrut dia dengan bayaran besar. Perusahaan-perusahaan besar seperti ini memang tegang, tetapi kalau tidak bodoh mereka akan membayar
      Karena ini Microsoft, mungkin mereka bukan perusahaan paling progresif dalam urusan seperti ini, jadi saya tidak tahu apakah mereka menyadarinya
    • Saat saya bekerja meninjau bug bounty, saya tidak pernah melihat bukti bahwa orang enggan membayar. Perilaku terburuk yang pernah saya lihat dari pihak perusahaan adalah meminta “tolong hindari X” dalam proof of concept, lalu memberi bayaran lebih tinggi kepada peneliti yang mengabaikan instruksi itu
      Pada akhirnya itu karena risiko yang terbukti memang lebih besar. Sebaliknya, ada satu program besar di mana seorang peneliti sejak lama berhasil meyakinkan mereka bahwa exploit XSS biasa bisa menghasilkan dampak yang masuk kategori pembayaran lebih tinggi, lalu setiap kali menemukan XSS setelah itu dia selalu melampirkan proof of concept dengan dampak yang sama dan terus dibayar pada tingkat yang terlalu tinggi. XSS dari peneliti lain dibayar sesuai tingkat XSS yang ada di tabel
      Sebenarnya ada satu pengecualian yang terlintas. Seseorang berhasil melakukan hal bak cawan suci dengan memasang web shell di server perusahaan, yang menurut standar sekarang nilainya lebih dari 10 ribu dolar. Tetapi dia tidak menghapus web shell itu dan hanya mengirim laporan lalu membiarkannya tetap ada. Penanggung jawab program sangat marah dan secara spesifik mengatakan dia tidak ingin membayar bounty karena alasan itu. Saya tidak ingat apakah pada akhirnya tetap dibayar

  • Sepertinya Microsoft akan menyesali hal ini
    Kalau seseorang menemukan zero-day, imbalannya bukan hadiah melainkan akun diblokir. Kalau begitu zero-day itu akan dijual ke tempat lain

    • Tapi bukankah ceritanya justru dia tidak menjual exploit zero-day itu, melainkan memublikasikannya? Judulnya juga begitu
      Dan dia juga diblokir di GitLab, yang tidak ada hubungannya dengan Microsoft
    • Ada juga orang lain yang mencari zero-day. Reputasi itu sangat penting
    • Menjual zero-day ke pihak lain pun tampaknya bukan masalah. CIA bisa saja memberikan emas batangan senilai jutaan dolar hanya karena diminta pejabat senior, jadi sepertinya untuk membeli exploit mereka bahkan tidak perlu purchase order

  • Dalam beberapa bulan terakhir, saya mengalami banyak respons digital yang aneh dalam berbagai hal terkait, dan frustrasi karena tidak bisa menunjuk dengan tepat apa yang salah. Lalu saya membaca kalimat ini di artikel:
    “Tetapi demi menghemat biaya, Microsoft memecat orang-orang yang terampil dan hanya menyisakan pengikut bagan alur.”
    Ungkapan pengikut bagan alur ini layak diingat. Mereka dibayar bukan untuk berpikir, tetapi untuk mengikuti prosedur yang sudah disiapkan sebelumnya. Sepertinya dalam waktu dekat kita akan jauh lebih sering berhadapan dengan pengikut bagan alur seperti ini, baik yang digital maupun manusia sungguhan

    • Sebagian besar perusahaan konsultan keamanan korporat yang pernah saya hadapi dulu bergerak berdasarkan checklist
    • Di banyak pekerjaan kerah biru seperti montir, teknisi listrik, dan kontraktor bangunan, mengikuti flowchart pada dasarnya adalah hukum, dan prosedur ditulis dengan darah dan tanggung jawab
      Sebaliknya, orang IT, operasional, dan developer memandang diri mereka sebagai pekerja pengetahuan yang bebas berpikir dan bersifat seperti perajin. Mereka mengaitkan kemampuan dengan jalan pintas, hack, dan berpikir di luar kebiasaan ketimbang mengikuti prosedur

  • Apakah ada pernyataan publik tentang apa yang terjadi di Microsoft? Mengapa Microsoft dan GitLab sama-sama melarang pengguna itu?
    Saya kira kedua platform memang mengizinkan hosting exploit dan riset keamanan asalkan diberi penandaan yang jelas sejak awal, jadi mungkin ada aturan yang dilanggar

    • Jika ini adalah exploit full-disk encryption yang tetap membutuhkan akses fisik ke perangkat keras, mungkin ini dibuat untuk lembaga pemerintah berinisial tiga huruf atau semacamnya

  • Menembak sang pembawa pesan pasti akan menyelesaikan masalah

    • Mungkin mereka ingin mendorong orang untuk menjualnya ke lembaga negara alih-alih menambal kerentanannya

  • Apakah Microsoft sendiri yang menciptakan tanggung jawab editorial untuk menghapus zero-day dari GitHub?
    Jika zero-day pada software saya diunggah ke GitHub, apakah Microsoft juga akan menghapus akun itu?

    • Saya tidak paham mengapa tindakan kali ini berarti ada tanggung jawab untuk juga menindak akun-akun lain di masa depan

  • Situasi ini menunjukkan dengan jelas konflik kepentingan struktural karena Microsoft memiliki GitHub
    GitHub memang punya ketentuan layanan yang jelas soal hosting exploit aktif yang sudah dipersenjatai, tetapi ketika mereka melarang peneliti yang menargetkan Windows, itu akan selalu terlihat seperti pembalasan meskipun ada alasan yang sah

  • Informasi yang sangat penting:
    https://www.theregister.com/security/2026/05/28/microsoft-0-...
    Dalam posting blog Microsoft yang ditautkan, mereka mengatakan ini
    “Detail kerentanan ini tidak dibagikan kepada Microsoft sebelum dipublikasikan, dan pengungkapannya membuat pelanggan menghadapi risiko yang tidak perlu.”
    Jadi, apakah Microsoft berbohong? Jika tidak, mengapa Nightmare-Eclipse tidak melaporkannya? Situasinya cukup aneh

    • Frasa “pengungkapannya membuat pelanggan menghadapi risiko yang tidak perlu” terasa mengganggu
      Entah itu responsible disclosure atau bukan, yang menempatkan pelanggan dalam risiko bukan penelitinya, melainkan Microsoft sendiri
    • Alasan Nightmare-Eclipse tidak melaporkannya mungkin karena itu adalah organisasi samaran milik badan intelijen asing yang menyamar sebagai peneliti yang kecewa
    • Pelanggan yang dimaksud di sini mungkin bukan orang atau perusahaan yang membayar lisensi, melainkan pihak yang meminta backdoor ini