GitHub und GitLab sperren Nightmare Eclipse nach angekündigtem Angriff am 14. Juli

Der Sicherheitsforscher, der innerhalb von sechs Wochen sechs Windows-Zero-Day-Schwachstellen aufgedeckt hat, wurde innerhalb weniger Tage sowohl von GitHub als auch von GitLab entfernt und ist nun ausschließlich über einen persönlichen Blog aktiv. Der Forscher, der unter den Pseudonymen Nightmare-Eclipse, Chaotic Eclipse und Dead Eclipse bekannt ist, reagierte mit einer konkreten Drohung für den 14. Juli, den Patch-Dienstag des nächsten Monats. 

Microsoft wurde vorgeworfen, die GitHub-Repositories um den 23. Mai 2026 herum markiert und gelöscht zu haben. Der Forscher wechselte daraufhin zu GitLab, wo sein Konto jedoch am 26./27. Mai wegen der Veröffentlichung von präpariertem Zero-Day-Exploit-Code gesperrt wurde. Da beide großen Code-Hosting-Plattformen nun nicht mehr verfügbar sind, veröffentlicht der Forscher seine Inhalte direkt über einen Blog und hat signalisiert, dass die Maßnahmen seine Pläne nicht verändern.

Sechs Zero-Day-Schwachstellen in sechs Wochen

Seit Anfang April 2026 hat Nightmare Eclipse öffentlich ausgenutzte Proof-of-Concept-Versionen von sechs Windows-Schwachstellen veröffentlicht: BlueHammer, RedSun, UnDefend, YellowKey, Green Plasma und MiniPlasma. Keine dieser Schwachstellen wurde vorab über koordinierte Disclosure-Kanäle gemeldet. Alle sechs betroffenen Komponenten befinden sich auf oder unterhalb der Endpunktsicherheitsebene.

Microsoft hat inzwischen drei der sechs Schwachstellen behoben. BlueHammer erhielt die CVE-Nummer CVE-2026-33825 und wurde mit dem Patch-Dienstag am 14. April geschlossen. RedSun und UnDefend wurden am 21. Mai außerplanmäßig mit den Nummern CVE-2026-41091 bzw. CVE-2026-45498 behoben, nachdem Huntress die aktive Ausnutzung aller drei Schwachstellen in realen Angriffen bestätigt hatte. CISA hat alle drei Schwachstellen in den Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. Bundesbehörden sind verpflichtet, CVE-2026-41091 und CVE-2026-45498 bis zum 3. Juni zu patchen.

YellowKey, GreenPlasma und MiniPlasma sind zum Zeitpunkt der Veröffentlichung noch nicht behoben. MiniPlasma zielt auf den Windows-Cloud-Filtertreiber ab und kann auf vollständig gepatchten Windows-11-Systemen mit den neuesten Mai-2026-Updates aus einem Standardbenutzerkonto heraus Systemrechte erlangen. BleepingComputer und mehrere unabhängige Forscher bestätigten, dass der Exploit ohne Modifikationen funktioniert. 

Was könnte der 14. Juli bedeuten?

In einem signierten Beitrag wandte sich der Forscher direkt an Microsoft: „Merkt euch diesen Tag, den 14. Juli. Ich werde dafür sorgen, dass ihr an diesem Tag eure Knochen bricht.“ Er gab an, dass für Juni keine weiteren Veröffentlichungen geplant seien, behielt sich aber vor, seine Vorgehensweise zu ändern. In früheren Beiträgen wurde vor der Absicht gewarnt, die Sicherheitslücken auf Remote-Code-Ausführung auszuweiten, falls Microsoft die Berichte weiterhin ignorieren sollte.

Die Entfernung von GitHub and GitLab beseitigt die einfachsten Verteilwege für kompilierte Binärdateien und Quellcode. Ein persönlicher Blog mit direkten Downloads erzielt jedoch für jeden Forscher, der ihn pflegt, vergleichbare Reichweite. Sicherheitsanalysten von Barracuda Networks haben festgestellt, dass die Exploit-Kette „Nightmare Eclipse“, die Privilegienerweiterung über BlueHammer, RedSun oder MiniPlasma mit der Unterdrückung von Defender-Schutz durch UnDefend kombiniert, bereits in bestätigten Netzwerkangriffen eingesetzt wurde. Es bleibt abzuwarten, ob am 14. Juli neues Material als Proof-of-Concept, als Remote-Code-Execution-Variante oder in anderer Form veröffentlicht wird. Dieser Forscher hat sämtliche Warnungen ausgesprochen, bevor er die Informationen tatsächlich publizierte.