ไมโครซอฟท์วิจารณ์การเปิดเผยช่องโหว่ซีโร่เดย์ของ Windows หลังบล็อกบัญชี GitHub
(thehackernews.com)หลังไมโครซอฟท์บล็อกบัญชี GitHub ของนักวิจัยด้านความปลอดภัยที่เปิดเผยช่องโหว่ซีโร่เดย์ที่ยังไม่ได้แพตช์ต่อสาธารณะโดยไม่ได้รับอนุญาต บริษัทก็ออกมาตอบโต้รุนแรง ขณะที่นักวิจัยรายดังกล่าวประกาศว่าจะเปิดโปงเพิ่มเติม ทำให้ความขัดแย้งยิ่งทวีความรุนแรง
แปลเนื้อหาฉบับเต็ม
ไมโครซอฟท์ระบุว่าบริษัทยืนหยัดสนับสนุนกระบวนการเปิดเผยช่องโหว่แบบประสานงานร่วมกัน (CVD) อย่างแข็งขัน และเรียกร้องให้ชุมชนนักวิจัยความปลอดภัยแบ่งปันสิ่งที่ค้นพบ พร้อมมอบโอกาสให้ผู้จำหน่ายที่ได้รับผลกระทบได้ทำความเข้าใจและแก้ไขช่องโหว่ก่อนที่จะมีการเปิดเผยต่อสาธารณะ
เหตุการณ์ครั้งนี้เริ่มต้นขึ้นหลังนักวิจัยที่ใช้ชื่อว่า 'Chaotic Eclipse' (หรือที่รู้จักในชื่อ Nightmare-Eclipse) เปิดเผยรายละเอียดของช่องโหว่ซีโร่เดย์หลายรายการที่กระทบต่อองค์ประกอบต่าง ๆ ของ Windows รวมถึง Defender และ BitLocker ตลอดเดือนที่ผ่านมา โดยให้เหตุผลว่าไมโครซอฟท์มีข้อบกพร่องในกระบวนการจัดการช่องโหว่
ไมโครซอฟท์ระบุว่า "ในช่วงไม่กี่สัปดาห์ที่ผ่านมา มีการเปิดเผยช่องโหว่ซีโร่เดย์หลายรายการต่อสาธารณะ" และ "รายละเอียดของช่องโหว่เหล่านี้ไม่ได้ถูกแชร์กับไมโครซอฟท์ก่อนการเปิดเผย ส่งผลให้ลูกค้าของเราต้องเผชิญความเสี่ยงโดยไม่จำเป็น" พร้อมเสริมว่า "เพื่อตอบสนองต่อความเสี่ยงที่เกิดจากการเปิดเผยโดยไม่ได้รับอนุญาต ทีมความปลอดภัยของเรากำลังทำงานตลอด 24 ชั่วโมงเพื่อประเมินผลกระทบ ปกป้องลูกค้า และพัฒนาอัปเดตความปลอดภัย"
ช่องโหว่ที่ถูกเปิดเผยมีทั้งหมด 6 รายการ ได้แก่ BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), Undefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma และ MiniPlasma โดยในจำนวนนี้ 3 รายการ ได้แก่ BlueHammer, RedSun และ Undefend กำลังถูกนำไปใช้โจมตีอย่างจริงจังในสภาพแวดล้อมจริงแล้ว {p:50}
ไมโครซอฟท์ระบุว่าบริษัท "คัดค้านอย่างหนักแน่น" ต่อการเปิดเผยช่องโหว่โดยไม่มีการประสานงานเช่นนี้ พร้อมเตือนว่าหากโค้ดพิสูจน์แนวคิด (PoC) ของช่องโหว่ที่ยังไม่ได้แพตช์ตกไปอยู่ในมือของผู้ไม่หวังดี อาจนำไปสู่ "ผลกระทบร้ายแรงในโลกความเป็นจริง" นอกจากนี้บริษัทยังระบุว่า "เรายินดีรับฟังมุมมองที่หลากหลายเพื่อให้ชุมชนความปลอดภัยสามารถร่วมมือกันปกป้องทุกคนได้ แม้เราอาจไม่เห็นตรงกันในทุกเรื่องเสมอไป แต่เราสัญญาว่าจะรักษาความโปร่งใสและเดินหน้าสร้างโอกาสในการพูดคุยต่อไป" และย้ำว่า "บทสนทนาเหล่านี้เกิดขึ้นผ่านงานขอบคุณนักวิจัย งานประชุมด้านความปลอดภัย และการทำงานร่วมกันทุกวันเพื่อทำความเข้าใจและแก้ไขช่องโหว่"
จากผลกระทบของการเปิดเผยโดยไม่ได้รับอนุญาตนี้ มีรายงานว่า GitHub ได้ปิดบัญชีของนักวิจัยรายดังกล่าวเมื่อสัปดาห์ที่แล้ว หลังจากนั้นโค้ด exploit สำหรับช่องโหว่ทั้ง 6 รายการถูกอัปโหลดขึ้น GitLab อีกครั้ง แต่บัญชี GitLab ที่สร้างใหม่ก็มาถูกบล็อกเช่นกันในตอนนี้
นักวิจัยรายนี้ยังอ้างในโพสต์เมื่อสุดสัปดาห์ว่า "สรุปก็คือ ตอนที่ผมพยายามขอสื่อสารอย่างจริงจัง พวกเขาปฏิเสธ ดูหมิ่นผม และทำให้ผมขายหน้าอย่างเปิดเผยต่อหน้าคนอื่น" พร้อมกล่าวต่อว่า "พวกคุณลบบัญชีไมโครซอฟท์ที่ผมใช้รายงานบั๊กทิ้งไปทั้งหมด แล้วก็ยังทำลายชื่อเสียงของผมต่อสาธารณะผ่านประกาศความปลอดภัย CVE-2026-45585 อีก ผมทำงานให้อย่างเต็มใจเหมือนคนโง่โดยไม่ได้รับเงินสักแดง แล้วตอนนี้ยังจะได้อภิสิทธิ์ลบบัญชี GitHub ของผมให้หายไปต่อหน้าสาธารณะอีกงั้นหรือ? พวกคุณกำลังพิสูจน์ให้ทุกคนเห็นว่ากำลังยกระดับความขัดแย้งนี้อย่างแข็งขัน แต่ตอนนี้ผมเลิกอ้อนวอนแล้ว"
นักวิจัยรายนี้ยังประกาศด้วยว่าจะเปิดเผยบางอย่างในวันที่ 14 กรกฎาคม 2026 และกล่าวว่า "วันนั้นผมจะทำให้กระดูกของไมโครซอฟท์แตกเป็นเสี่ยง ๆ"
หนึ่งบรรทัดจากผู้เขียน
ดูเหมือนไมโครซอฟท์จะไม่ใช่บริษัทที่เป็นมิตรอีกต่อไปแล้ว
7 ความคิดเห็น
ถึงแม้ว่าช่วงนี้ Microsoft จะมีหลายเรื่องที่สมควรถูกวิจารณ์ก็ตาม แต่ผมก็รู้สึกว่าวิธีการกระทำของนักวิจัยคนนั้นเองก็รุนแรงและขาดความรับผิดชอบเกินไปหรือไม่เช่นกัน
โดยเฉพาะในเรื่องที่เกี่ยวกับความมั่นคงปลอดภัยของข้อมูล ไม่ว่าช่องโหว่ใดจะเร่งด่วนและร้ายแรงเพียงใด สุดท้ายมันก็เป็นประเด็นอ่อนไหวที่หากจัดการผิดพลาดก็อาจถูกนำไปใช้โจมตีแบบ zero-day ได้ในทันที ดังนั้นจึงจำเป็นต้องปฏิบัติตามหลักการและบรรทัดฐานที่วางไว้เกี่ยวกับเรื่องนี้อย่างเคร่งครัด และเมื่อพิจารณาว่าเขาได้ทำลายหลักการและบรรทัดฐานเหล่านั้นอย่างร้ายแรง ผมจึงคิดว่ายากที่จะให้การปกป้องหรือสนับสนุนเขาได้
ทั้งที่แจ้งช่องโหว่ไปแล้วแท้ๆ ก็ยังไม่ยอมแก้ไข.. Microsoft นี่สุดยอดจริงๆ ถึงขั้นทำให้นึกเลยว่าหรือกำลังปกป้องมันไว้เพื่อจะใช้ช่องโหว่นี้โจมตีเองกันแน่ ความคิดที่อยากย้ายไป Linux พุ่งขึ้นมาอย่างแรงเลย ถ้าไม่มีความสามารถพอจะแก้ไข ก็ควรขอความช่วยเหลือสิ ถ้าไม่อยากจ่ายเงินก็ต้องโดนถล่มบ้างแหละ.. ยังจะพยายามทำตัวเป็นผู้เสียเปรียบอีก
ผมเป็นแค่มือสมัครเล่นครับ ก็แค่ทำสิ่งที่ผมต้องใช้ขึ้นมาแบบพอเหมาะพอควรในแต่ละตอนแล้วใช้งาน
ตั้งแต่แรก Microsoft ถึงจะสนับสนุนสภาพแวดล้อมสำหรับนักพัฒนาอย่างมาก (รวมถึงเอกสารด้วย) แต่ก็ไม่ได้เป็นมิตรกับโอเพนซอร์สนัก
หลังจาก Satya Nadella ขึ้นเป็น CEO ก็เริ่มมีท่าทีที่เป็นมิตรกับโอเพนซอร์สมากขึ้น เลยทำให้ผมชอบมากขึ้นด้วย หนึ่งในนั้นก็คือ WSL
ผมเห็นด้วยว่า Microsoft ตอนนี้กำลังไปได้ไม่ดีนักในฝั่ง AI ไม่ว่าจะเป็น GitHub Copilot หรือ Copilot ที่รวมเข้ากับ OS ก็ตาม
ไม่ว่าด้วยเหตุผลใดก็ตาม การเปิดเผยช่องโหว่ zero-day ทั้งที่ยังไม่มีการเตรียมการรับมือกับช่องโหว่นั้น ผมมองว่าคนที่เปิดเผยคือแฮ็กเกอร์ที่มีเจตนาร้าย การแฮ็กนั้นก็แค่หาช่องโหว่ให้เจอและใช้ประโยชน์จากมันได้ยากเท่านั้น แต่ถ้าโปรแกรมที่ผมสร้างถูกติดตั้งและรันโดยมีสิทธิ์ทั้งหมด ใคร ๆ ก็สามารถสร้างโปรแกรมอันตรายได้
ก่อนจะไปเถียงกันว่า Microsoft รับมือได้ดีหรือไม่ดี การเปิดเผยเรื่องนี้ทั้งที่ยังรับมือกับช่องโหว่ไม่ได้ ก็เป็นเพียงการก่อการร้ายทางไซเบอร์เท่านั้น
สำหรับผม ท่าทีของนักวิจัยท่านนี้ให้ความรู้สึกประมาณว่า
ช่องโหว่ที่ฉันค้นพบมันอันตรายขนาดไหนกัน แน่นอนว่าก็ควรระดมศักยภาพทั้งองค์กรมาเร่งจัดการเป็นลำดับแรกไม่ใช่เหรอ? ฟึดฟัดฟึดฟัด
อะไรทำนองนั้นนะ
ถ้าได้รับรายงานไปแล้วดองไว้เป็นปีโดยไม่ชี้แจง แบบนั้นก็เป็นปัญหาฝั่ง Microsoft เอง
แต่เพราะตอบสนองไม่เร็วอย่างที่ตัวเองพอใจเลยจะเปิดเผยช่องโหว่ใหม่ออกมาเสียเลย แบบนี้ดูใกล้เคียงกับ black hat มากกว่า white hat นะครับ
ประท้วงได้แบบชวนให้โดนด่าเสียจริงนะคุณนักวิจัยท่านนี้
ผมเองก็รู้สึกเสียดายกับความเคลื่อนไหวล่าสุดของ Microsoft เช่นกัน
แต่ก็คิดว่าการกระทำของนักวิจัยก็เป็นปัญหาเหมือนกัน
โดยทั่วไปแล้ว สำหรับช่องโหว่ด้านความปลอดภัย มีธรรมเนียมว่านักวิจัยจะเปิดเผยได้หลังจากแจ้งให้ผู้ขายทราบแล้วครบ 90 วัน
อย่างที่นักพัฒนาหลายท่านคงทราบดีว่า แพตช์ความปลอดภัยที่เพิ่มเข้ามานอกเหนือจากงานเดิมย่อมต้องใช้เวลา
ดังนั้นจึงมีช่วงเวลาหน่วงการเปิดเผย 90 วันตามธรรมเนียม เพื่อให้สามารถประเมินความเสี่ยงและความสำคัญในช่วงเวลานั้น แล้วจัดการตามลำดับได้
ผมคิดว่าการเปิดเผยแบบไร้ความรับผิดชอบเช่นนี้ เป็นการทำให้ผู้ใช้จริงต้องเผชิญกับการโจมตีโดยไม่มีการป้องกัน มากกว่าจะเป็นการเล่นงาน Microsoft
ควรแยกแยะระหว่างการแสวงหาผลประโยชน์ส่วนตนกับการประชาสัมพันธ์เพื่อประโยชน์สาธารณะ หากใช้กลยุทธ์การตลาดที่อ้างประโยชน์สาธารณะ แต่ไม่ยอมรับผิดชอบต่อสาธารณะในระดับที่สมน้ำสมเนื้อ นั่นก็เท่ากับเป็นการหลอกล้อผู้ใช้
Master Bang-i