Ketegangan antara Microsoft dan komunitas keamanan kini memanas setelah perusahaan itu mengancam akan menempuh jalur pidana terhadap pihak yang menyebarkan exploit code. Alih-alih membuat situasi mereda, langkah ini justru memicu kritik keras dari para peneliti dan tokoh keamanan yang menilai pendekatan Microsoft semakin menjauh dari praktik pelaporan celah yang sehat.
Sorotan terbesar tertuju pada peneliti yang dikenal sebagai Nightmare Eclipse. Ia mempublikasikan proof-of-concept yang sudah dipersenjatai untuk enam kerentanan Windows dalam rentang awal April hingga pertengahan Mei 2026 tanpa koordinasi dengan Microsoft, dan langkah itu langsung memicu polemik besar di komunitas keamanan.
Dari enam celah tersebut, tiga disebut sudah dieksploitasi dalam serangan langsung. Tiga lainnya masih belum ditambal, yaitu YellowKey, GreenPlasma, dan MiniPlasma, sehingga risiko teknisnya tetap dianggap aktif.
Microsoft menanggapi dengan blog resmi pada 28 Mei. Perusahaan menyebut pengungkapan seperti itu “never justifiable” dan menegaskan bahwa Digital Crimes Unit akan mengejar siapa pun yang membantu aktivitas kriminal lewat exploit code.
Perusahaan juga menuduh Nightmare Eclipse mengabaikan standar coordinated vulnerability disclosure. Namun peneliti itu membantah tuduhan tersebut dan mengklaim Microsoft justru menghapus akun Security Response Center yang ia pakai untuk melaporkan bug pada tahap awal.
Menurut Nightmare Eclipse, jalur komunikasi lanjutan juga ditutup oleh Microsoft. Ia bahkan menuliskan, “You literally deleted the Microsoft account I used to report bugs to you with, and I got zero pennies from doing so.”
Reaksi komunitas keamanan
Respons dari komunitas keamanan tidak berpihak pada Microsoft. Katie Moussouris, tokoh yang memelopori program bug bounty di Microsoft dan merumuskan framework coordinated disclosure yang dipakai perusahaan, mengecam keras sikap itu di Bluesky.
Ia menilai penggunaan istilah “responsible disclosure” sudah bermasalah sejak awal. Menurutnya, ancaman penuntutan dari Digital Crimes Unit hanya akan memperburuk keadaan dan membuat peneliti semakin menjauh dari kepercayaan terhadap Microsoft.
Kevin Beaumont, mantan engineer keamanan Microsoft, juga memberi kritik tajam. Ia menyebut kondisi ini sebagai “a dumpster fire of their own making” dan mengingatkan bahwa Microsoft pernah mempekerjakan SandboxEscaper setelah peneliti itu mempublikasikan exploit code zero-day tanpa peringatan.
Peringatan itu menjadi menarik karena perilaku yang dulu pernah ditoleransi kini justru diposisikan Microsoft sebagai tindakan kriminal. Hal tersebut membuat banyak pihak mempertanyakan konsistensi perusahaan dalam menangani peneliti yang menemukan celah serius di Windows.
Risiko yang belum hilang
Di sisi teknis, Nightmare Eclipse sudah diblokir dari GitHub sekitar 23 Mei dan dari GitLab pada 26-27 Mei. Saat ini ia mempublikasikan temuan dan kodenya melalui blog pribadi, sehingga perhatian terhadap exploit yang ia rilis belum benar-benar hilang.
Ada juga peringatan mengenai rilis exploit pada 14 Juli yang menargetkan Patch Tuesday bulan Juli. Eksploit tersebut disebut masih berpotensi berkembang menjadi kerentanan remote code execution, sehingga administrator sistem diminta tetap waspada.
Untuk saat ini, YellowKey, GreenPlasma, dan MiniPlasma diperlakukan sebagai risiko aktif. Microsoft juga menyebut mitigasi untuk YellowKey mengharuskan pengeditan manual pada offline WinRE registry hive dan penghapusan autofstx.exe dari nilai BootExecute.
Selain itu, Microsoft menilai konfigurasi TPM+PIN pada tahap pre-boot dapat memutus sepenuhnya jalur ekstraksi fisik. Untuk RedSun dan UnDefend, Defender Engine versi 1.1.26040.8 atau yang lebih baru sudah menangani ancamannya, sehingga pembaruan tidak disarankan menunggu jadwal maintenance berikutnya.
Di tengah semua itu, Microsoft menghadapi tekanan dari dua arah sekaligus. Perusahaan ingin menekan penyebaran exploit code, tetapi respons kerasnya malah memperlebar jarak dengan peneliti dan praktisi keamanan yang selama ini berperan penting dalam pelaporan celah.
Source: www.notebookcheck.net
