ไมโครซอฟท์วิจารณ์การเปิดเผยช่องโหว่ซีโร่เดย์ของ Windows หลังบล็อกบัญชี GitHub

หลังไมโครซอฟท์บล็อกบัญชี GitHub ของนักวิจัยด้านความปลอดภัยที่เปิดเผยช่องโหว่ซีโร่เดย์ที่ยังไม่ได้แพตช์ต่อสาธารณะโดยไม่ได้รับอนุญาต บริษัทก็ออกมาตอบโต้รุนแรง ขณะที่นักวิจัยรายดังกล่าวประกาศว่าจะเปิดโปงเพิ่มเติม ทำให้ความขัดแย้งยิ่งทวีความรุนแรง

แปลเนื้อหาฉบับเต็ม

ไมโครซอฟท์ระบุว่าบริษัทยืนหยัดสนับสนุนกระบวนการเปิดเผยช่องโหว่แบบประสานงานร่วมกัน (CVD) อย่างแข็งขัน และเรียกร้องให้ชุมชนนักวิจัยความปลอดภัยแบ่งปันสิ่งที่ค้นพบ พร้อมมอบโอกาสให้ผู้จำหน่ายที่ได้รับผลกระทบได้ทำความเข้าใจและแก้ไขช่องโหว่ก่อนที่จะมีการเปิดเผยต่อสาธารณะ

เหตุการณ์ครั้งนี้เริ่มต้นขึ้นหลังนักวิจัยที่ใช้ชื่อว่า 'Chaotic Eclipse' (หรือที่รู้จักในชื่อ Nightmare-Eclipse) เปิดเผยรายละเอียดของช่องโหว่ซีโร่เดย์หลายรายการที่กระทบต่อองค์ประกอบต่าง ๆ ของ Windows รวมถึง Defender และ BitLocker ตลอดเดือนที่ผ่านมา โดยให้เหตุผลว่าไมโครซอฟท์มีข้อบกพร่องในกระบวนการจัดการช่องโหว่

ไมโครซอฟท์ระบุว่า "ในช่วงไม่กี่สัปดาห์ที่ผ่านมา มีการเปิดเผยช่องโหว่ซีโร่เดย์หลายรายการต่อสาธารณะ" และ "รายละเอียดของช่องโหว่เหล่านี้ไม่ได้ถูกแชร์กับไมโครซอฟท์ก่อนการเปิดเผย ส่งผลให้ลูกค้าของเราต้องเผชิญความเสี่ยงโดยไม่จำเป็น" พร้อมเสริมว่า "เพื่อตอบสนองต่อความเสี่ยงที่เกิดจากการเปิดเผยโดยไม่ได้รับอนุญาต ทีมความปลอดภัยของเรากำลังทำงานตลอด 24 ชั่วโมงเพื่อประเมินผลกระทบ ปกป้องลูกค้า และพัฒนาอัปเดตความปลอดภัย"

ช่องโหว่ที่ถูกเปิดเผยมีทั้งหมด 6 รายการ ได้แก่ BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), Undefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma และ MiniPlasma โดยในจำนวนนี้ 3 รายการ ได้แก่ BlueHammer, RedSun และ Undefend กำลังถูกนำไปใช้โจมตีอย่างจริงจังในสภาพแวดล้อมจริงแล้ว {p:50}

ไมโครซอฟท์ระบุว่าบริษัท "คัดค้านอย่างหนักแน่น" ต่อการเปิดเผยช่องโหว่โดยไม่มีการประสานงานเช่นนี้ พร้อมเตือนว่าหากโค้ดพิสูจน์แนวคิด (PoC) ของช่องโหว่ที่ยังไม่ได้แพตช์ตกไปอยู่ในมือของผู้ไม่หวังดี อาจนำไปสู่ "ผลกระทบร้ายแรงในโลกความเป็นจริง" นอกจากนี้บริษัทยังระบุว่า "เรายินดีรับฟังมุมมองที่หลากหลายเพื่อให้ชุมชนความปลอดภัยสามารถร่วมมือกันปกป้องทุกคนได้ แม้เราอาจไม่เห็นตรงกันในทุกเรื่องเสมอไป แต่เราสัญญาว่าจะรักษาความโปร่งใสและเดินหน้าสร้างโอกาสในการพูดคุยต่อไป" และย้ำว่า "บทสนทนาเหล่านี้เกิดขึ้นผ่านงานขอบคุณนักวิจัย งานประชุมด้านความปลอดภัย และการทำงานร่วมกันทุกวันเพื่อทำความเข้าใจและแก้ไขช่องโหว่"

จากผลกระทบของการเปิดเผยโดยไม่ได้รับอนุญาตนี้ มีรายงานว่า GitHub ได้ปิดบัญชีของนักวิจัยรายดังกล่าวเมื่อสัปดาห์ที่แล้ว หลังจากนั้นโค้ด exploit สำหรับช่องโหว่ทั้ง 6 รายการถูกอัปโหลดขึ้น GitLab อีกครั้ง แต่บัญชี GitLab ที่สร้างใหม่ก็มาถูกบล็อกเช่นกันในตอนนี้

นักวิจัยรายนี้ยังอ้างในโพสต์เมื่อสุดสัปดาห์ว่า "สรุปก็คือ ตอนที่ผมพยายามขอสื่อสารอย่างจริงจัง พวกเขาปฏิเสธ ดูหมิ่นผม และทำให้ผมขายหน้าอย่างเปิดเผยต่อหน้าคนอื่น" พร้อมกล่าวต่อว่า "พวกคุณลบบัญชีไมโครซอฟท์ที่ผมใช้รายงานบั๊กทิ้งไปทั้งหมด แล้วก็ยังทำลายชื่อเสียงของผมต่อสาธารณะผ่านประกาศความปลอดภัย CVE-2026-45585 อีก ผมทำงานให้อย่างเต็มใจเหมือนคนโง่โดยไม่ได้รับเงินสักแดง แล้วตอนนี้ยังจะได้อภิสิทธิ์ลบบัญชี GitHub ของผมให้หายไปต่อหน้าสาธารณะอีกงั้นหรือ? พวกคุณกำลังพิสูจน์ให้ทุกคนเห็นว่ากำลังยกระดับความขัดแย้งนี้อย่างแข็งขัน แต่ตอนนี้ผมเลิกอ้อนวอนแล้ว"

นักวิจัยรายนี้ยังประกาศด้วยว่าจะเปิดเผยบางอย่างในวันที่ 14 กรกฎาคม 2026 และกล่าวว่า "วันนั้นผมจะทำให้กระดูกของไมโครซอฟท์แตกเป็นเสี่ยง ๆ"

หนึ่งบรรทัดจากผู้เขียน

ดูเหมือนไมโครซอฟท์จะไม่ใช่บริษัทที่เป็นมิตรอีกต่อไปแล้ว