Kontroversi di sekitar Microsoft kini melebar dari soal celah Windows menjadi persoalan hubungan perusahaan dengan komunitas keamanan. Ancaman untuk menempuh jalur pidana terhadap pihak yang membagikan exploit code justru memicu reaksi keras, dan banyak peneliti menilai langkah itu berisiko merusak kepercayaan yang sudah lama dibangun dalam pelaporan kerentanan.
Sorotan terbesar tertuju pada peneliti yang dikenal sebagai Nightmare Eclipse. Ia merilis proof-of-concept yang sudah dipersenjatai untuk enam kerentanan Windows antara awal April hingga pertengahan Mei 2026, tanpa koordinasi dengan Microsoft.
Dari enam celah itu, tiga sudah dipakai dalam serangan langsung. Tiga lainnya, yaitu YellowKey, GreenPlasma, dan MiniPlasma, masih belum ditambal saat kontroversi ini memuncak.
Microsoft merespons lewat blog resmi pada 28 Mei. Perusahaan menyebut pengungkapan semacam itu “never justifiable” dan menegaskan bahwa Digital Crimes Unit akan mengejar siapa pun yang membantu aktivitas kriminal melalui exploit code.
Perusahaan juga menuduh Nightmare Eclipse mengabaikan standar coordinated vulnerability disclosure. Namun, peneliti tersebut membantah tuduhan itu dan mengatakan Microsoft menghapus akun Security Response Center yang ia gunakan untuk melaporkan bug lebih awal.
Menurut Nightmare Eclipse, akses komunikasi lanjutan juga ditutup. Ia bahkan menulis bahwa akun Microsoft yang dipakainya untuk melapor telah dihapus, sementara ia tidak mendapat apa pun dari langkah tersebut.
Reaksi keras tidak berhenti di sisi peneliti. Komunitas keamanan justru melihat respons Microsoft sebagai langkah yang memperburuk keadaan dan menjauhkan para peneliti dari jalur pelaporan resmi.
Katie Moussouris, tokoh yang memelopori program bug bounty di Microsoft dan merumuskan framework coordinated disclosure yang kini dipakai perusahaan, mengecam pernyataan itu di Bluesky. Ia menilai penggunaan istilah “responsible disclosure” sudah bermasalah sejak awal.
Moussouris juga menilai ancaman penuntutan dari Digital Crimes Unit hanya akan memperlebar jarak antara Microsoft dan para peneliti. Menurut dia, pendekatan seperti itu justru mendorong hilangnya kepercayaan di kalangan yang selama ini membantu menemukan celah keamanan.
Nada serupa datang dari Kevin Beaumont, mantan engineer keamanan Microsoft. Ia menyebut situasi ini sebagai “a dumpster fire of their own making” dan mengingatkan bahwa Microsoft pernah mempekerjakan SandboxEscaper setelah peneliti itu memublikasikan exploit code zero-day tanpa peringatan.
Di sisi teknis, masalahnya belum selesai. Nightmare Eclipse disebut sudah diblokir dari GitHub sekitar 23 Mei dan dari GitLab pada 26-27 Mei, sehingga kini ia memublikasikan temuan dan kodenya lewat blog pribadi.
Ada pula peringatan bahwa rilis exploit pada 14 Juli yang menargetkan Patch Tuesday bulan Juli masih menjadi ancaman. Potensinya disebut dapat berkembang menjadi kerentanan remote code execution, sehingga administrator sistem diminta memperlakukan YellowKey, GreenPlasma, dan MiniPlasma sebagai risiko aktif.
Untuk YellowKey, Microsoft meminta mitigasi manual melalui pengeditan offline WinRE registry hive dan penghapusan autofstx.exe dari nilai BootExecute. Microsoft juga menilai konfigurasi TPM+PIN pada tahap pre-boot dapat memutus sepenuhnya jalur ekstraksi fisik.
Di sisi lain, Defender Engine versi 1.1.26040.8 atau yang lebih baru sudah menangani RedSun dan UnDefend. Karena itu, pembaruan disarankan tidak menunggu jadwal maintenance berikutnya, terutama ketika tiga celah lain masih belum ditambal.
Source: www.notebookcheck.net
