Ein Sicherheitsforscher, der unter dem Alias Chaotic Eclipse oder Nightmare Eclipse auftritt, führt derzeit Microsoft (berechtigt) mit veröffentlichten 0-day-Schwachstellen vor. Derzeit gilt "Nach dem Patch ist vor dem Patch". Microsoft, wegen des praktizierten AI-Slop auch als Microslop verballhornt, ist natürlich "not amused", kommen die doch mit dem "flicken" nicht mehr hinterher. Also wollte man Nightmare Eclipse am Zeug flicken und den "schwarzen Peter" zuschieben. Hätte Microslop mal lassen sollen …
Um was es geht …
Chaotic Eclipse oder Nightmare Eclipse ist ein Sicherheitsforscher, der Microsoft in den letzten Wochen durch Offenlegung ungepatchter Schwachstellen vorführt. Los ging es mit BlueHammer, einer Schwachstelle im Defender. Der Exploit des Sicherheitsforschers zielt auf den internen Mechanismus zur Signaturaktualisierung des in Windows enthaltenen Microsoft Defender ab, um eine lokale Rechteausweitung zu erreichen.
Danach folgten 0-day-Schwachstellen mit Namen wie RedSun, YellowKey, GreenPlasma, etc., siehe Artikellinks am Beitragsende. Und jedes Mal wurde gleich ein Proof of Concept (PoC) mit veröffentlicht. Hintergrund ist wohl, dass der Sicherheitsforscher bei einer gemeldeten Schwachstelle bei Microsoft "abgeblitzt ist" – deren Sicherheitsteam meinte, es sei keine Schwachstelle. Er fühlt sich wohl auch um die Bug-Bounty-Prämie geprellt.
Schwarze Peter-Spiel von Microsoft geht schief
Nach der letzten veröffentlichten Schwachstelle (YellowKey) veröffentlichte Microsoft einen Workaround zum Abschwächen des Problems (siehe Windows-Bitlocker-Splitter: Patches, YellowKeys-CVE, Mitigations und Ungereimtheiten – Teil 1). Gleichzeitig kritisiert Redmond Nightmare Eclipse öffentlich und warf ihm vor, durch die Veröffentlichung eines öffentlichen Proof-of-Concept gegen bewährte Verfahren zum Melden von Sicherheitslücken verstoßen zu haben. Konkret geht es um die Passage:
Microsoft is aware of a security feature bypass vulnerability in Windows publicly referred to as "YellowKey". The proof of concept for this vulnerability has been made public violating coordinated vulnerability best practices.
in Microsofts Supportartikel zu CVE-2026-45585, wo Nightmare Eclipse zwar nicht genannt wurde, aber jeder weiß, um was und wen es geht.
War vielleicht nicht der klügste "Move" aus Redmond, denn Nightmare Eclipse hat dann zum öffentlichen Gegenschlag ausgeholt und den schwarzen Peter an Microsoft zurück gespielt. In einem Blog-Post schreibt er:
So let me get this straight, when I actively asked you to communicate with me, you refused, humiliated me and made sure to insult me in front of people.
You defame me in public with your CVE-2026-45585 advisory even though you literally deleted the Microsoft account I used to report bugs to you with and I got zero pennies from doing so and I still happily did like an idiot. […]
Ich zitiere mal den übersetzten Text:
Lass mich das mal klarstellen: Als ich dich [Microsoft] ausdrücklich gebeten habe, mit mir zu kommunizieren, hast du dich geweigert, mich gedemütigt und darauf geachtet, mich vor anderen Leuten zu beleidigen.
Du diffamierst mich öffentlich mit deinem CVE-2026-45585-Hinweis, obwohl du buchstäblich das Microsoft-Konto gelöscht hast, über das ich dir Fehler gemeldet habe, und ich dafür keinen Cent bekommen habe – und ich habe es trotzdem wie ein Idiot gerne getan.
Und jetzt erlaubst du dir, mein GitHub-Konto zu markieren und es einfach so aus der Öffentlichkeit zu löschen? Du beweist damit allen, dass du diesen Konflikt aktiv eskalieren lässt, aber ich habe es satt, dich anzuflehen.
Der Sicherheitsforscher schreibt, dass er wie ein verrückter Idiot klinge, der nur herumjammert. Aber er habe Beweise für jede einzelne Behauptung, können sie aber noch nicht veröffentlichen. Warum? Weil Microsoft ihn immer noch "in den Fängen hält". Das sei schon seit Jahren so, und er kann einfach nicht mehr schweigen. Nightmare Eclipse hofft, das er die Dokumente bald veröffentlichen könne.
Platzt die Bombe am 14. Juli 2026?
Und dann kommen zwei konkrete weitere Ankündigungen bzw. Informationen. Zum Datum 14. Juli 2026 will Nightmare Eclipse dafür sorgen, dass den "Microsoft-Leuten an diesem Tag 'die Knochen gebrochen werden'". Im Juni werde nichts veröffentlicht (oder vielleicht veröffentlicht er doch etwas, je nach den Umständen, hier bleibt er vage). Gleichzeitig weist er auf die Schwachstellen CVE-2026-45498 (UnDefend) und CVE-2026-41091 (RedSun) hin, die er ebenfalls offen gelegt hat.
Dann gab Nightmare Eclipse noch bekannt, dass er von GitHub, das ja zu Microsoft gehört und momentan so etwas wie einen "Todestaumel" mit Ausfällen und Hacks erlebt, weg sei. Er hat nun ein Benutzerkonto auf GitLab angelegt, auf dem er künftig seine Veröffentlichungen publizieren will. Ich habe inzwischen in den nachfolgenden Artikel die Links von den GitHub-Seiten mit den Exploits und Erklärungen, die von Microsoft ja gesperrt wurden, auf die GitLab-Pendants korrigiert.
Sieht mir definitiv so aus, dass zwischen Microsoft und Nightmare Eclipse "das Tischtuch zerschnitten" ist. Kommt mir etwas wie Rezzo und die "Zerstörung der CDU" vor.
Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams
Nightmare Eclipse veröffentlicht MiniPlasma-Schwachstelle CVE-2020-17103
MVP: 2013 – 2016
