Microsoft Dikecam usai Memblokir Akun GitHub Peneliti yang Membuka Zero-Day Windows

 (thehackernews.com)
5 poin oleh recast7838 7 jam lalu | 1 komentar | Bagikan ke WhatsApp

Konflik memanas setelah Microsoft bereaksi keras terhadap peneliti keamanan yang secara sepihak memublikasikan kerentanan zero-day yang belum ditambal, lalu memblokir akun GitHub-nya, dan peneliti tersebut mengisyaratkan akan ada pengungkapan tambahan.

Terjemahan lengkap

Microsoft menyatakan dukungan kuatnya terhadap proses coordinated vulnerability disclosure (CVD), dan mendesak komunitas riset keamanan untuk membagikan temuan mereka serta memberi kesempatan kepada vendor yang terdampak untuk memahami dan memperbaiki kerentanan dengan jelas sebelum dipublikasikan ke publik.

Insiden ini bermula ketika seorang peneliti bernama 'Chaotic Eclipse' (alias Nightmare-Eclipse) selama sebulan terakhir memublikasikan ke publik detail sejumlah kerentanan zero-day yang memengaruhi berbagai komponen Windows, termasuk Defender dan BitLocker, dengan alasan buruknya proses penanganan kerentanan Microsoft.

Microsoft menyatakan, "Dalam beberapa minggu terakhir, beberapa kerentanan zero-day telah dipublikasikan ke publik," dan "detail kerentanan ini tidak dibagikan kepada Microsoft sebelum publikasi, sehingga pelanggan kami terekspos pada risiko yang tidak perlu." Mereka menambahkan, "Untuk merespons risiko yang timbul dari pengungkapan sepihak ini, tim keamanan kami bekerja tanpa henti sepanjang waktu untuk menilai dampaknya, melindungi pelanggan, dan mengembangkan pembaruan keamanan."

Kerentanan yang dipublikasikan berjumlah enam, yaitu BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma, dan MiniPlasma. Di antaranya, tiga kerentanan—termasuk BlueHammer, RedSun, dan UnDefend—{p:50} sudah aktif dieksploitasi dalam serangan berbahaya di lingkungan nyata.

Microsoft menegaskan pihaknya "dengan tegas" menentang pengungkapan kerentanan yang tidak terkoordinasi seperti ini, dan memperingatkan bahwa jika kode proof-of-concept (PoC) untuk kerentanan yang belum ditambal jatuh ke tangan pelaku jahat, hal itu dapat menimbulkan "konsekuensi serius di dunia nyata." Microsoft juga menambahkan, "Kami menyambut berbagai perspektif agar komunitas keamanan dapat bekerja sama melindungi semua pihak. Kami mungkin tidak selalu sepakat dalam setiap hal, tetapi kami berkomitmen menjaga transparansi dan terus membuka ruang dialog," serta menekankan bahwa "dialog semacam ini terjadi dalam acara apresiasi peneliti, konferensi keamanan, dan juga dalam pekerjaan harian yang kami lakukan bersama untuk memahami dan memperbaiki kerentanan."

Akibat dampak dari pengungkapan sepihak ini, GitHub dilaporkan menutup akun peneliti tersebut pekan lalu. Setelah itu, kode exploit untuk enam kerentanan tersebut kembali diunggah ke GitLab, tetapi akun GitLab baru yang dibuat itu juga kini telah diblokir.

Dalam postingan akhir pekan, peneliti tersebut mengklaim, "Singkatnya, ketika saya secara aktif meminta komunikasi, saya ditolak, dihina, dan dipermalukan terang-terangan di depan orang-orang." Ia melanjutkan, "Setelah sepenuhnya menghapus akun Microsoft yang saya gunakan untuk melaporkan bug, mereka lalu mencemarkan nama baik saya di depan publik melalui advisory keamanan CVE-2026-45585. Saya bekerja dengan senang hati seperti orang bodoh tanpa menerima sepeser pun, dan sekarang mereka bahkan menandai akun GitHub saya lalu menghapus jejak saya dari hadapan publik tanpa sisa? Kalian sedang membuktikan kepada semua orang bahwa kalian secara aktif memperuncing konflik ini. Tapi saya sudah selesai dengan tindakan memohon seperti ini."

Peneliti itu juga menyatakan akan memublikasikan sesuatu pada 14 Juli 2026, dan memperingatkan bahwa "pada hari itu saya akan membuat tulang Microsoft remuk berkeping-keping."

Catatan singkat penulis

Sepertinya Microsoft bukan lagi perusahaan yang ramah

Bacaan terkait

1 komentar

 
arton1234 24 menit lalu

Saya hanya seorang amatir. Saya cuma membuat secukupnya sesuai kebutuhan saya saat itu dan memakainya.

  1. Sejak awal, Microsoft memang sangat mendukung para developer dengan lingkungan pengembangan mereka (termasuk dokumentasi). Namun, mereka bukan pihak yang ramah terhadap open source.

  2. Setelah Satya Nadella menjadi CEO, mereka menunjukkan langkah yang lebih ramah terhadap open source, dan itu membuat saya makin menyukainya. Salah satunya adalah WSL.

  3. Saya setuju bahwa Microsoft saat ini sedang kurang berhasil di bidang AI. Baik itu GitHub Copilot maupun Copilot yang terintegrasi ke OS.

  4. Apa pun alasannya, mempublikasikan kerentanan zero-day saat belum ada kesiapan terhadap kerentanan tersebut membuat saya menganggap orang yang mempublikasikannya sebagai peretas jahat. Dalam peretasan, yang sulit hanyalah menemukan kerentanan dan memanfaatkannya. Jika program yang saya buat bisa diinstal dan dijalankan dengan semua hak akses, siapa pun bisa membuat program berbahaya.

Sebelum memperdebatkan apakah Microsoft menanganinya dengan baik atau tidak, mempublikasikannya meski belum ada kesiapan terhadap kerentanan itu tidak lain adalah teror siber.