Sicherheitsproblem: Microsoft wegen Nightmare Eclipse in der Kritik

Microsofts öffentliche Drohung, strafrechtlich gegen den Forscher hinter der Offenlegung von sechs Windows-Zero-Day-Schwachstellen vorzugehen, hat einen Streit über Sicherheitslücken in eine umfassende Gegenreaktion der IT-Sicherheitscommunity verwandelt.

Der Forscher, der unter dem Namen Nightmare Eclipse bekannt ist, veröffentlichte zwischen Anfang April und Mitte Mai 2026 funktionsfähigen Proof-of-Concept-Code für sechs Windows-Schwachstellen, ohne dies zuvor mit Microsoft abzustimmen. Drei der Sicherheitslücken – BlueHammer, RedSun und UnDefend – wurden bereits bei realen Angriffen ausgenutzt. YellowKey, GreenPlasma und MiniPlasma sind weiterhin ungepatcht.

Microsoft schlägt zurück

Microsoft veröffentlichte am 28. Mai einen offiziellen Blogbeitrag, in dem die Veröffentlichungen als „unter keinen Umständen gerechtfertigt“ bezeichnet wurden. Das Unternehmen warnt zudem, dass seine Digital Crimes Unit gegen Personen vorgehen werde, die durch die Veröffentlichung von Exploit-Code kriminelle Aktivitäten ermöglichen. Microsoft wirft dem Forscher vor, die Standards der koordinierten Offenlegung von Sicherheitslücken umgangen zu haben.

Nightmare Eclipse weist diese Darstellung zurück. Nach Angaben des Forschers habe Microsoft das Konto des Security Response Centers gelöscht, das ursprünglich zur Meldung der Schwachstellen genutzt wurde, und anschließend jeglichen weiteren Kontakt verweigert. „Ihr habt buchstäblich das Microsoft-Konto gelöscht, das ich genutzt habe, um euch die Sicherheitslücken zu melden, und ich habe dafür keinen einzigen Cent bekommen“, schrieb der Forscher.

Gegenwind aus der Sicherheitsbranche

Die Sicherheitsbranche stellt sich in diesem Fall nicht auf die Seite Microsofts. Katie Moussouris, die bei Microsoft maßgeblich an der Einführung von Bug-Bounty-Programmen beteiligt war und das Konzept der koordinierten Offenlegung mitentwickelte, auf das sich Microsoft heute beruft, kritisiert den Blogbeitrag öffentlich auf Bluesky. Bereits die Berufung auf „Responsible Disclosure“ sei problematisch gewesen, schreibt sie. Die zusätzliche Drohung mit strafrechtlicher Verfolgung durch die Digital Crimes Unit verschärfe die Situation weiter und werde Forscher davon abhalten, Microsoft künftig zu vertrauen.

Auch der ehemalige Microsoft-Sicherheitsingenieur Kevin Beaumont kritisiert den Umgang des Unternehmens mit dem Vorfall. Er bezeichnet die Situation als „ein selbst verursachtes Desaster“ und verweist darauf, dass Microsoft in der Vergangenheit sogar die Sicherheitsforscherin SandboxEscaper eingestellt habe, obwohl sie ebenfalls Zero-Day-Exploits ohne Vorwarnung veröffentlicht hatte – ein Verhalten, das Microsoft heute als kriminell darstelle.

Welche Schwachstellen noch offen sind und wie es weitergeht

Nightmare Eclipse wurde um den 23. Mai von GitHub und zwischen dem 26. und 27. Mai von GitLab ausgeschlossen. Seitdem veröffentlicht der Forscher seine Inhalte über einen persönlichen Blog. Zudem besteht weiterhin die Gefahr einer für den 14. Juli angekündigten Exploit-Veröffentlichung, die sich gegen den Patch Tuesday im Juli richten soll. Dabei wurde bereits eine Eskalation hin zu Schwachstellen für Remote Code Execution in Aussicht gestellt.

Administratoren sollten YellowKey, GreenPlasma und MiniPlasma daher als aktive Bedrohungen behandeln. Für YellowKey empfiehlt Microsoft als Gegenmaßnahme, die Offline-Registry von WinRE manuell zu bearbeiten und „autofstx.exe“ aus dem BootExecute-Wert zu entfernen.

Eine TPM- und PIN-basierte Pre-Boot-Konfiguration verhindert den physischen Angriffsweg vollständig. Gegen RedSun und UnDefend schützt die Defender-Engine ab Version 1.1.26040.8. Die Installation dieses Updates sollte nicht bis zum nächsten regulären Wartungsfenster aufgeschoben werden.