Ein Sicherheitsforscher, der unter dem Alias Chaotic Eclipse oder Nightmare Eclipse auftritt, führt derzeit Microsoft (berechtigt) mit veröffentlichten 0-day-Schwachstellen vor. Derzeit gilt "Nach dem Patch ist vor dem Patch". Microsoft, wegen des praktizierten AI-Slop auch als Microslop verballhornt, ist natürlich "not amused", kommen die doch mit dem "flicken" nicht mehr hinterher. Also wollte man Nightmare Eclipse am Zeug flicken und den "schwarzen Peter" zuschieben. Hätte Microslop mal lassen sollen …
Um was es geht …
Chaotic Eclipse oder Nightmare Eclipse ist ein Sicherheitsforscher, der Microsoft in den letzten Wochen durch Offenlegung ungepatchter Schwachstellen vorführt. Los ging es mit BlueHammer, einer Schwachstelle im Defender. Der Exploit des Sicherheitsforschers zielt auf den internen Mechanismus zur Signaturaktualisierung des in Windows enthaltenen Microsoft Defender ab, um eine lokale Rechteausweitung zu erreichen.
Danach folgten 0-day-Schwachstellen mit Namen wie RedSun, YellowKey, GreenPlasma, etc., siehe Artikellinks am Beitragsende. Und jedes Mal wurde gleich ein Proof of Concept (PoC) mit veröffentlicht. Hintergrund ist wohl, dass der Sicherheitsforscher bei einer gemeldeten Schwachstelle bei Microsoft "abgeblitzt ist" – deren Sicherheitsteam meinte, es sei keine Schwachstelle. Er fühlt sich wohl auch um die Bug-Bounty-Prämie geprellt.
Schwarze Peter-Spiel von Microsoft geht schief
Nach der letzten veröffentlichten Schwachstelle (YellowKey) veröffentlichte Microsoft einen Workaround zum Abschwächen des Problems (siehe Windows-Bitlocker-Splitter: Patches, YellowKeys-CVE, Mitigations und Ungereimtheiten – Teil 1). Gleichzeitig kritisiert Redmond Nightmare Eclipse öffentlich und warf ihm vor, durch die Veröffentlichung eines öffentlichen Proof-of-Concept gegen bewährte Verfahren zum Melden von Sicherheitslücken verstoßen zu haben. Konkret geht es um die Passage:
Microsoft is aware of a security feature bypass vulnerability in Windows publicly referred to as "YellowKey". The proof of concept for this vulnerability has been made public violating coordinated vulnerability best practices.
in Microsofts Supportartikel zu CVE-2026-45585, wo Nightmare Eclipse zwar nicht genannt wurde, aber jeder weiß, um was und wen es geht.
War vielleicht nicht der klügste "Move" aus Redmond, denn Nightmare Eclipse hat dann zum öffentlichen Gegenschlag ausgeholt und den schwarzen Peter an Microsoft zurück gespielt. In einem Blog-Post schreibt er:
So let me get this straight, when I actively asked you to communicate with me, you refused, humiliated me and made sure to insult me in front of people.
You defame me in public with your CVE-2026-45585 advisory even though you literally deleted the Microsoft account I used to report bugs to you with and I got zero pennies from doing so and I still happily did like an idiot. […]
Ich zitiere mal den übersetzten Text:
Lass mich das mal klarstellen: Als ich dich [Microsoft] ausdrücklich gebeten habe, mit mir zu kommunizieren, hast du dich geweigert, mich gedemütigt und darauf geachtet, mich vor anderen Leuten zu beleidigen.
Du diffamierst mich öffentlich mit deinem CVE-2026-45585-Hinweis, obwohl du buchstäblich das Microsoft-Konto gelöscht hast, über das ich dir Fehler gemeldet habe, und ich dafür keinen Cent bekommen habe – und ich habe es trotzdem wie ein Idiot gerne getan.
Und jetzt erlaubst du dir, mein GitHub-Konto zu markieren und es einfach so aus der Öffentlichkeit zu löschen? Du beweist damit allen, dass du diesen Konflikt aktiv eskalieren lässt, aber ich habe es satt, dich anzuflehen.
Der Sicherheitsforscher schreibt, dass er wie ein verrückter Idiot klinge, der nur herumjammert. Aber er habe Beweise für jede einzelne Behauptung, können sie aber noch nicht veröffentlichen. Warum? Weil Microsoft ihn immer noch "in den Fängen hält". Das sei schon seit Jahren so, und er kann einfach nicht mehr schweigen. Nightmare Eclipse hofft, das er die Dokumente bald veröffentlichen könne.
Platzt die Bombe am 14. Juli 2026?
Und dann kommen zwei konkrete weitere Ankündigungen bzw. Informationen. Zum Datum 14. Juli 2026 will Nightmare Eclipse dafür sorgen, dass den "Microsoft-Leuten an diesem Tag 'die Knochen gebrochen werden'". Im Juni werde nichts veröffentlicht (oder vielleicht veröffentlicht er doch etwas, je nach den Umständen, hier bleibt er vage). Gleichzeitig weist er auf die Schwachstellen CVE-2026-45498 (UnDefend) und CVE-2026-41091 (RedSun) hin, die er ebenfalls offen gelegt hat.
Dann gab Nightmare Eclipse noch bekannt, dass er von GitHub, das ja zu Microsoft gehört und momentan so etwas wie einen "Todestaumel" mit Ausfällen und Hacks erlebt, weg sei. Er hat nun ein Benutzerkonto auf GitLab angelegt, auf dem er künftig seine Veröffentlichungen publizieren will. Ich habe inzwischen in den nachfolgenden Artikel die Links von den GitHub-Seiten mit den Exploits und Erklärungen, die von Microsoft ja gesperrt wurden, auf die GitLab-Pendants korrigiert.
Sieht mir definitiv so aus, dass zwischen Microsoft und Nightmare Eclipse "das Tischtuch zerschnitten" ist. Kommt mir etwas wie Rezzo und die "Zerstörung der CDU" vor.
Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams
Nightmare Eclipse veröffentlicht MiniPlasma-Schwachstelle CVE-2020-17103
MVP: 2013 – 2016
Hauptsache er hält auch bis Juli durch.
👍
Auch wenn sie freundlich darauf hingewiesen werden und alles vorgekaut ist
https://www.huntress.com/blog/dmsa-ouroboros-credential-extraction-windows-server-2025
sie verstehen es einfach nicht
Oder die KI-Analyse der Fehlermeldung meinte… ne-ne… hier ist alles in Butter🤐
—Grüße—
Darauf würde ich auch tippen – hatte auch schon massive Probleme bei MS einen Menschen zu erreichen. Erst über Bande (durch ein MS-Partnerunternehmen) hats dann leidlich funktioniert.
Ich bin nicht unbedingt happy darüber, kann ihn aber verstehen. Irgendwann ist mal gut mit dem hinter der Hotline verstecken.
Ist der Einsatz von Huntress sinnvoll?
Warum hat der Überhaupt noch ein Github Konto gehabt, nachdem Microsoft zu ihm so nett war und hat dort alles veröffentlicht?
Ich gehe mal von Faulheit aus. Wechseln ist ja immer mit so viel arbeit verbunden.
Klingt ein wenig nach "David gegen Goliath". Und wie dies damals ausgegangen ist, wissen wir alle.
Also, normalerweise würde man hier denken: guter Mann, der kann was,
den holen wir uns, der bekommt einen
ordentlichen Job bei uns. Stattdessen
schlüpft MS in die Rolle des Wildwest-
Machos und will sich lieber den eigenen
Untergang vom Sofa aus ansehen…
14. Juli, französischer Nationalfeiertag,
wer weiß, ob das nur ein Zufall ist.
In seinem Blog in der URL ist alles auf französisch. Also entweder Franzose, Belgier oder Franco-Kanadier.
Beim Blogger Link ist alles englisch.
Welcher Blog soll das sein?
Seine GPG signierten Beiträge sind alle englisch.
Der 14. Juli ist der zweite Dienstag im Juli. Also der übernächste Patchtag.
Nicht mehr aber auch nicht weniger.
Möge MSFT bis dahin in die Hufe kommen und die eigentlichen Bugs in den betroffenen File Systems abstellen, statt wie derzeit an den oberflächlichen Symtomen rumzudoktern.
Nur Eclipse mundtot machen wird MSFT nicht weiterhelfen. Da dürften mittlerweile auch andere den Braten gerochen haben und dran sein. Böse wie Gute.
Plot Twist: Die "Guten" haben den Braten in die Röhre geschoben.
Ich konnte zwar noch keinen französchen Blog finden, aber er scheint kein native english speaker zu sein und er trennt typisch französisch das Fragezeichen per Plenk/blank ab:
https://de.wikipedia.org/wiki/Plenk
Na ich frag mich wann der Herr frühmorgens Besuch von einem Dienst mit 3 Buchstaben bekommt … so á la Gefärdung der nationalen Sicherheit ;-P
Der französische Geheimdienst (so er denn Franzose ist) hat aber vier Buchstaben als Abkürzung ->
https://de.wikipedia.org/wiki/Direction_g%C3%A9n%C3%A9rale_de_la_s%C3%A9curit%C3%A9_int%C3%A9rieure
Für mich liest sich das ganze wie ein wenig Kinderei auf beiden Seiten.
Der Typ hat imho echt couilles aka cojones!
https://de.wikipedia.org/wiki/Sturm_auf_die_Bastille?wprov=sfla1
Auflösung zum Datum 14. Juli 1789
Wäre eine Möglichkeit. Gab aber noch ein paar andere geschichtliche Ereignisse am 14. Juli, vom Todestag von Philipp II. im Jahre 1223 bis hin zum Anschlag in Nizza im Jahre 2016.
Das neue gitlab Konto ist aber mittlerweile gesperrt, heute früh hat es aber noch funktioniert, wenn ich mich richtig erinnere.
Bin gespannt wie es jetzt weiter geht.