Ancaman Microsoft untuk menempuh jalur pidana terhadap peneliti di balik enam pengungkapan zero-day Windows justru memicu gelombang kritik dari komunitas keamanan. Bagi banyak praktisi, persoalan ini bukan lagi sekadar sengketa kerentanan, melainkan ujian atas cara Microsoft memperlakukan peneliti keamanan yang menemukan celah serius.
Sorotan utama tertuju pada peneliti yang dikenal sebagai Nightmare Eclipse. Ia merilis proof-of-concept yang sudah dipersenjatai untuk enam kerentanan Windows antara awal April hingga pertengahan Mei 2026 tanpa koordinasi dengan Microsoft.
Kritik atas pendekatan Microsoft
Dari enam celah itu, tiga di antaranya, yaitu BlueHammer, RedSun, dan UnDefend, sudah dieksploitasi dalam serangan langsung. Tiga lainnya, YellowKey, GreenPlasma, dan MiniPlasma, masih belum ditambal.
Microsoft menanggapi dengan blog resmi pada 28 Mei. Perusahaan menyebut pengungkapan tersebut “never justifiable” dan memperingatkan bahwa Digital Crimes Unit akan mengejar kasus terhadap siapa pun yang membantu aktivitas kriminal lewat exploit code.
Perusahaan juga menuduh peneliti tersebut mengabaikan standar coordinated vulnerability disclosure. Namun Nightmare Eclipse membantah narasi itu dan menyatakan Microsoft menghapus akun Security Response Center yang dipakai untuk melaporkan bug awal.
Menurut klaim peneliti itu, Microsoft juga menutup jalur komunikasi lanjutan. Ia bahkan menulis, “You literally deleted the Microsoft account I used to report bugs to you with, and I got zero pennies from doing so.”
Komunitas keamanan tidak sejalan
Reaksi dari industri keamanan justru lebih keras terhadap Microsoft. Katie Moussouris, sosok yang memelopori program bug bounty di Microsoft dan merumuskan framework coordinated disclosure yang kini dipakai perusahaan, mengkritik keras blog post tersebut di Bluesky.
Ia menilai penggunaan istilah “responsible disclosure” sudah menjadi masalah pertama. Menurutnya, ancaman penuntutan dari Digital Crimes Unit hanya akan memperburuk keadaan dan mendorong peneliti menjauh dari kepercayaan terhadap Microsoft.
Kevin Beaumont, mantan engineer keamanan Microsoft, juga menilai situasi ini sebagai “a dumpster fire of their own making.” Ia mengingatkan bahwa Microsoft pernah mempekerjakan SandboxEscaper setelah peneliti itu mempublikasikan exploit code zero-day tanpa peringatan, meski perilaku seperti itu kini disebut Microsoft sebagai tindakan kriminal.
Risiko teknis masih berlanjut
Di sisi lain, Nightmare Eclipse kini sudah diblokir dari GitHub sekitar 23 Mei dan dari GitLab pada 26-27 Mei. Saat ini ia mempublikasikan temuan dan kodenya lewat blog pribadi.
Masalahnya belum berhenti di sana. Ada peringatan bahwa rilis exploit pada 14 Juli yang menargetkan Patch Tuesday bulan Juli masih menjadi ancaman, dengan kemungkinan eskalasi ke kerentanan remote code execution.
Administrator sistem diminta memperlakukan YellowKey, GreenPlasma, dan MiniPlasma sebagai risiko aktif. Untuk YellowKey, mitigasi dari Microsoft mengharuskan pengeditan manual pada offline WinRE registry hive dan penghapusan autofstx.exe dari nilai BootExecute.
Microsoft juga menilai konfigurasi TPM+PIN pada tahap pre-boot bisa memutus sepenuhnya jalur ekstraksi fisik. Sementara itu, Defender Engine versi 1.1.26040.8 atau yang lebih baru sudah menangani RedSun dan UnDefend, dan pembaruan ini sebaiknya tidak menunggu jadwal maintenance berikutnya.
