Drama Microsoft vs Nightmare Eclipse: 6 Zero-Day Windows Dibongkar ke Publik

Konflik antara Microsoft dan peneliti keamanan yang dikenal sebagai Nightmare Eclipse (juga menggunakan nama Chaotic Eclipse) telah mencapai titik panas. Peneliti yang sejauh ini telah merilis enam zero-day Windows ini baru-baru ini mengancam akan melakukan dump eksploit yang lebih besar pada 14 Juli 2026. Menurut laporan The Register, perseteruan ini menggarisbawahi kegagalan koordinasi dalam vulnerability disclosure.

Microsoft akhirnya merespons dengan sebuah blog post tentang uncoordinated vulnerability disclosure mengenai bug yang kini publik: RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), BlueHammer (CVE-2026-33825), YellowKey (CVE-2026-45585), GreenPlasma, dan MiniPlasma. Redmond menyatakan bahwa tidak satupun dari kerentanan ini dilaporkan melalui channel resmi sebelum dipublikasikan.

Penyerang mulai mengeksploitasi tiga dari enam kerentanan tersebut - BlueHammer, RedSun, dan UnDefend - tak lama setelah Nightmare mempublikasikan kode proof-of-concept yang bekerja di akun GitHub dan GitLab yang kini telah dibanned. Tiga kerentanan lainnya, YellowKey, GreenPlasma, dan MiniPlasma, masih belum memiliki patch. Microsoft menilai eksploitasi untuk YellowKey lebih mungkin terjadi.

Tanggapan Microsoft yang Kontroversial

Dalam blog post-nya, Microsoft menulis bahwa mereka tetap menentang tindakan pengungkapan di luar koordinasi yang tepat, dan menyebutkan bahwa Digital Crimes Unit mereka akan terus mengajukan kasus terhadap aktor yang merugikan. Bahasanya dianggap sejumlah pihak sebagai ancaman hukum yang samar-samar.

Katie Moussouris, CEO Luta Security dan perintis program bug bounty Microsoft, mengkritik tanggapan Redmond sebagai mixed messages. Ia menunjukkan bahwa Microsoft mengklaim program mereka menjamin kompensasi dan pengakuan publik, padahal peneliti mengaku tidak mendapatkan keduanya. Penggunaan istilah responsible disclosure yang sudah usang, ditambah penyebutan Digital Crimes Unit, membuat post tersebut terasa mengancam.

Kevin Beaumont, mantan karyawan Microsoft, menyebut situasi ini dumpster fire buatan Microsoft sendiri. Ia mengingatkan bahwa Microsoft pernah mempekerjakan hacker SandboxEscaper setelah ia merilis zero-day POC untuk produk Microsoft - sebuah fakta yang kontras dengan posisi Redmond saat ini yang menyiratkan tindakan tersebut kriminal.

Dampak Nyata ke Enterprise

Dustin Childs dari Zero Day Initiative, yang pernah bekerja di Microsoft selama tujuh tahun, mengingatkan bahwa coordinated vulnerability disclosure adalah jalan dua arah. Vendor memiliki tanggung jawab juga. Ia menyebut Microsoft sebagai vendor yang sulit diajak bekerja sama, terutama untuk bug dengan severity Moderate.

Muhammad Qasim Shahzad, seorang systems engineer, menyatakan di LinkedIn bahwa satu orang ini menyebabkan lebih banyak kerusakan enterprise dalam enam minggu daripada kebanyakan grup APT dalam setahun. Gap antara pengungkapan dan weaponization kini diukur dalam jam, bukan hari. Jendela patching semakin menyusut.

Moussouris menambahkan bahwa ini adalah dinamika David vs Goliath yang tidak ingin kita lihat terjadi, terutama karena pengguna yang kalah ketika negosiasi koordinasi gagal. Bug tetaplah milik Microsoft. Mereka yang menulis kode dan mereka yang memiliki risiko kepada pelanggan.