Ein Sicherheitsforscher mit dem Alias Nightmare Eclipse (oder Chaotic Eclipse) veröffentlichte in den letzten 2 Monaten mehrere 0-Day-Schwachstellen mit Exploits. Nachdem das GitHub-Konto des Sicherheitsforschers deaktiviert wurde, zog er zu GitLab um. Das Konto wurde nun auch deaktiviert. Microsoft hat sich zudem nun zum Fall geäußert, und gießt in meinen Augen weiter Öl ins Feuer. Security by Obscurity scheint die Devise, so mein Eindruck. Ergänzung: Der Streisand-Effekt wirkt und so etwas wie ein Shitstorm bricht erwartungsgemäß über Microsoft herein.
Rückblick die Nightmare Eclipse-Veröffentlichungen
Chaotic Eclipse oder Nightmare Eclipse ist ein Sicherheitsforscher, der Microsoft in den letzten Wochen durch Offenlegung ungepatchter Schwachstellen vorführt. Los ging es mit BlueHammer, einer Schwachstelle im Defender. Der Exploit des Sicherheitsforschers zielt auf den internen Mechanismus zur Signaturaktualisierung des in Windows enthaltenen Microsoft Defender ab, um eine lokale Rechteausweitung zu erreichen.
Danach folgten 0-day-Schwachstellen mit Namen wie RedSun, YellowKey, GreenPlasma, etc., siehe Artikellinks am Beitragsende. Und jedes Mal wurde gleich ein Proof of Concept (PoC) mit veröffentlicht. Hintergrund ist wohl, dass der Sicherheitsforscher bei einer gemeldeten Schwachstelle bei Microsoft "abgeblitzt ist" – deren Sicherheitsteam meinte, es sei keine Schwachstelle. Er fühlt sich wohl auch um die Bug-Bounty-Prämie geprellt.
Die Situation eskaliert; GitLab-Konto deaktiviert
Nach der letzten veröffentlichten Schwachstelle (YellowKey) veröffentlichte Microsoft einen Workaround zum Abschwächen des Problems (siehe Windows-Bitlocker-Splitter: Patches, YellowKeys-CVE, Mitigations und Ungereimtheiten – Teil 1). Gleichzeitig kritisiert Redmond Nightmare Eclipse öffentlich und warf ihm vor, durch die Veröffentlichung eines öffentlichen Proof-of-Concept gegen bewährte Verfahren zum Melden von Sicherheitslücken verstoßen zu haben. Konkret geht es um die Passage:
Microsoft is aware of a security feature bypass vulnerability in Windows publicly referred to as "YellowKey". The proof of concept for this vulnerability has been made public violating coordinated vulnerability best practices.
Darüber hinaus wurde das GitHub-Konto von Nightmare Eclipse zum 23. Mai 2026 geschlossen (GitHub gehört ja Microsoft). Der Sicherheitsforscher hat darauf eine gepfefferte Stellungnahme veröffentlichte. Er warf Microsoft vor, "Öl ins Feuer zu gießen" und die Situation zu eskalieren. Gleichzeitig eröffnete die Person ein neues Konto auf GitLab, wo dann die Exploits beschrieben wurden. Ich hatte im Blog-Beitrag Zoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse auf diese Entwicklung hingewiesen.
Vorgestern merkte ein Blog-Leser in diesem Kommentar an, dass das GitLab-Konto von Nightmare Eclipse zum 26. Mai 2026 ebenfalls gesperrt wurde. Obiger Tweet greift das Ganze entsprechend auf. Kann man so machen, ob es klug ist, steht auf einem anderen Blatt – und die Schwachstellen gehen davon ja nicht weg. Cyber Security News hat in diesem Artikel noch einige Stimmen eingefangen – eine Stimme meinte "Zeit, mehr auf dezentrale Strukturen zu setzen" und den Abschied von den Monokulturen einzuleiten.
Microsoft nimmt Stellung
Ich hatte den obigen Sachverhalt und die Entwicklung mitbekommen, wollte aber keinen separaten Blog-Beitrag drüber machen (zumal die Kontensperre ja in einem Leserkommentar angesprochen wurde).
Heute morgen ist mir dann obigen Tweet untergekommen. Microsoft hat sich dazu verstiegen, am 27. Mai 2026 den Beitrag A shared responsibility: Protecting customers through Coordinated Vulnerability Disclosure zu publizieren. Der erneute Vorwurf lautet, dass die als RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma und MiniPlasma bekannten Sicherheitslücken nicht verantwortungsbewusst offengelegt worden seien.
Es heißt, dass man diese Vorgehensweisen sowie jegliche Offenlegung außerhalb einer ordnungsgemäßen Abstimmung weiterhin entschieden ablehne. Unkoordinierte Offenlegungen, die Proof-of-Concept-Code für ungepatchte Sicherheitslücken in die Hände von Angreifern geben, seien niemals zu rechtfertigen und hätten reale Konsequenzen.
Dann folgt die Drohung, dass Microsofts Digital Crimes Unit weiterhin Verfahren gegen diese Akteure und diejenigen einleiten werde, die ihre kriminellen Aktivitäten ermöglichen – und dabei bei Bedarf mit Strafverfolgungsbehörden auf der ganzen Welt zusammenzuarbeiten. Und das nach der Vorgeschichte, die ich ja skizziert habe! Ein kluger Kopf bei Microsoft hätte vor 6 Wochen reagieren können und müssen …
Einige Gedanken dazu
Hätten die Leute bei Microsoft mal für eine Minute nachgedacht, deeskaliert und geschrieben "Ok, ist doof gelaufen, uns ist bei der Einschätzung von BlueHammer ein Fehler unterlaufen. Wir laden Nightmare Eclipse ein, verantwortungsvolle Offenlegungen, auch im Rahmen eines Bug Bounty-Programms, an uns zu melden", wäre vermutlich viel Luft raus. Microsoft ist ein Unternehmen, was pro Quartal Milliarden Gewinn macht und wie ein Kleinkrämer um Bug Bounty-Prämien feilscht. Fehler können (auch beim Microsoft Security Response Team, MSRT) passieren. Spätestens beim BlueHammer-Exploit hätte Redmond reagieren müssen, auf den Sicherheitsforscher zugehen und die Situation deeskalieren sollen. Zumindest hätte Microsoft dann den Schwarzen Peter nicht mehr.
Aber ich vergesse immer wieder, dass Microsoft ein Großunternehmen ist. Das erinnert mich an meinen letzten Arbeitgeber, den ich 1993 verlassen habe. 90 % meiner Arbeitszeit habe ich darauf verwandt, damit meine Mitarbeiter, trotz der vielen internen Regularien und Bürokratie, arbeitsfähig waren.
Statt zu deeskalieren, holt Microsoft die große Keule raus und droht, so lese ich die Stellungnahme aus Redmond, mit Strafverfolgung. Kann man so machen, aber "mehr Öl kannst Du nicht mehr ins Feuer gießen". Mich erinnert das Ganze an den Modern Solutions Fall (ist in voller Glorie im Beitrag Modern Solutions ist wohl insolvent verlinkt) und den deutschen Hackerparagraphen.
Jetzt könnte man noch postulieren: "Ok, Nightmare Eclipse ist schon eine schräge Type, und will Microsoft am Zeug flicken". Aber ich war hier über Jahre beim Mail-Verkehr auf cc, wenn Stefan Kanthak Probleme an das Microsoft Security Response Team (MSRT) gemeldet hat. Bei manchen MSRT-Antworten konntest Du dich nur an den Kopf fassen und ich habe Kanthak insgeheim ob seiner Geduld bewundert, zu antworten und auf die Denkfehler der Sicherheitsexperten einzugehen. Aus dieser Erfahrung kann ich mir gut vorstellen, dass es bei Nightmare Eclipse ähnlich abgelaufen ist.
Ich stelle an dieser Stelle daher mal die Gretchenfrage: Kann das Microsoft Eco-System noch kaputter werden? Die Schwachstellen sind ja nicht weg, indem ich jemanden, der genauer hin schaut, mundtot mache und diesem Strafverfolger auf den Hals hetze (wobei nicht mal gesagt ist, dass die Offenlegung strafbar ist).
In meinen Augen hat Microsoft der Sicherheitskultur mit dem oben skizzierten Verhalten einen Bärendienst erwiesen. Wer hindert den Entdecker einer Schwachstelle denn, deren Beschreibung samt Proof of Concept (PoC) in Untergrundforen zu veröffentlichen? Wir lesen täglich, wie viele Schwachstellen per KI gerade aufgedeckt werden. Und im Open Source-Bereich werden regelmäßig 0-day-Schwachstellen bekannt, die dann zeitnah gepatcht werden. Dort habe ich bisher noch nichts wie die oben erwähnte Verlautbarung von Microsoft vernommen. Dort herrscht imho die Einschätzung vor: "Eine bekannt gewordene Schwachstelle können wir schnellstmöglich beheben, immer noch besser, als das die nicht öffentlich bleibt und wird das erst mitbekommen, wenn diese ausgenutzt wird". Hier ist höchstens AI-Slop das Problem, also die Menge der per AI vermeintlich gefundenen Schwachstellen, die am Ende des Tages aber keine ausnutzbaren Schwachstellen sind.
Keine Ahnung, wie dieser Clinch zwischen Microsoft und Nightmare Eclipse ausgeht. Aus meiner Sicht ist das Microsoft Software-System schlicht kaputt und jeder tut gut daran, die Angriffsfläche zu reduzieren und überall, wo es möglich ist, auf Alternativen zu setzen. Ich muss mal schauen, ob ich die Tage Zeit finde, noch zwei Geschichten aus dem Nähkästchen heraus zu kramen und hier im Blog einzustellen.
Ergänzung: Ich war mit meinem Blog-Beitrag wohl recht früh. Der von mir erwartete Shitstorm bricht über Microsoft herein. Letztendlich hat Microsoft alle Sicherheitsforscher als Kriminelle abgestempelt, die nicht gefügig Sicherheitslücken melden, auch wenn sie drei Mal über den Löffel balbiert wurden. Auf X mehren sich die Stimmen von Leuten, die sich von Microsoft über den Tisch gezogen und geprellt fühlen (z.B. Rückmeldungen, dass eine Schwachstelle nicht gefixt werde, und dann einen Monat später in einer Insider-Preview behoben wurde – es gab nicht nur keine Bug Bounty Prämie, sondern auch keine CVE und keine Erwähnung der Sicherheitsforscher). Der "Streisand-Effekt schlägt zu.
Obiger Tweet fasst die Lage ganz gut zusammen. The Register hat inzwischen in diesem Artikel einige Stimmen eingefangen. Da sind eine Menge Leute irgendwie "angepisst" und keiner verteidigt Microsoft. Sicherheitsexperte Kevin Beaumont spricht von einem "dumster fire", verursacht durch Microsoft. Dumster fire ist eigentlich ein brennender Mülleimer, stinkt fürchterlich und ist kaum zu löschen. Im Englischen eine Situation, die komplett aus dem Ruder gelaufen und total verkorkst ist.
Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams
Nightmare Eclipse veröffentlicht MiniPlasma-Schwachstelle CVE-2020-17103
Zoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse
MVP: 2013 – 2016
Es wird immer wahrscheinlicher, dass der Forscher hier eine/mehrere Backdoor(s) entdeckt hat, die von den "Guten" aktiv genutzt wird/werden und für die erst Alternativen oder verstecktere Auslösewege entwickelt und eingebaut werden müssen. Dann wäre das aktuelle Verhalten von MS überall um das Problem herum sehr viel leichter erklärbar.
Wenn ein Sicherheitsforscher (mit KI) in so kurzer Zeit so viele und so krasse Sicherheitslücken findet, dann ist nahezu gewiss, dass die Lücken auch der bösen Seite bereits bekannt sind.
Unter den Umständen, dass das Finden und Ausnutzen von Sicherheitslücken 99% weniger Zeit kostet als noch vor 2 Jahren, hat aus meiner Sicht Responsible Disclosure schlicht keine Daseinsberechtigung mehr.
Wenn jeder Bösewicht, der eine Sicherheitslücke 'braucht' mit nahezu keinem Zeitaufwand für sehr wenig Geld mit KI Hilfe auch eine passende findet und ausnutzbar machen kann, dann kehrt sich Responsible Disclosure von einem Mehrwert für die Nutzer in einen Nachteil.
Wir erinnern uns: Sinn von Responsible Disclosure ist, dass Nutzer geschützt sind, weil nur die Gute Seite und der Hersteller die Lücke kennen und dem Hersteller genügend Zeit eingeräumt wird, diese zu fixen.
Ich würde davon ausgehen, dass böse Akteure einen großen Wissensvorsprung haben und deshalb dank KI nun über einen sehr großen Fundus an Sicherheitslücken verfügen, weil Sie Geld mit der Lücke verdienen und entsprechend Ressourcen zum Auffinden hineinstecken können. Geld, um welches der Bug Bounty Finder hier auch noch geprellt wird.
Der Mehrwert für den Bösewicht ist gering: Ob er nun die KI nach einer neuen Lücke befragt oder sie sich aus den hier gemachten Veröffentlichungen zieht macht vermutlich einen Unterschied von einem Tag arbeit. Früher wäre es ein ganzes Jahr gewesen.
Ganz davon ab: Wie du schon schreibst sehen einige Sicherheitslücken sehr stark nach staatlicher Backdoor aus. Für offensichtlich absichtliche Sicherheitslücken sollte es sowieso kein Responsible Disclosure geben, denn es gehört im Rahmen der Pressefreiheit in die Öffentlichkeit, wenn Hersteller so etwas einbauen. Die Schuld trägt bei Vorsatz ganz sicher nicht der Bote.
Bei Microsoft ist es wie überall (ob große oder kleine Firmen): Es sitzen überall nur noch kleinkarierte, kleingeistige Egomanen, die jede noch so sachliche und selbst behutsam vorgebrachte Kritik persönlich nehmen und sich in ihrer Schwanzlänge – pardon: in ihrem Ego – gekränkt und verletzt fühlen. Und anstatt in der bzw. für die Sache zu entscheiden (hier: an der Fehlerbehebung arbeiten), wird der "Bote geköpft".
Daran krankt mittlerweile fast die gesamte Wirtschaft, Politik und auch die Gesellschaft.
Ganz schön harte Unterstellungen insbesondere wenn man bedenkt wer hier wie genau reagiert hat. Da könnte man eher zu gegenteiliger Ansicht kommen.
Habe vor kurzem übrigens was ähnliches wenn auch nicht ganz so direkt geschrieben. Wurde nicht veröffentlicht. Gut, ging um Pinguine und Äpfel aber man will wohl das Klientel nicht verschrecken weil man damit Kohle verdient.
Warum hier GitLab mit Microsoft, tschuldigung Slop, zusammengeworfen wird ergibt auch nicht wirklich Sinn. Erstere scheinen solches Verhalten wohl auch nicht so ganz gutzuheißen.
Microsoft bekam Kritik wegen des GitHub-Löschens, nicht wegen GitLab.
Sicherlich hat MS da einiges verbockt aber hätte "Nightmare Eclipse" nicht einfach trotzdem MS über die Lücke kurz informieren können, mit dem Hinweis dass, die ohne wenn und aber, nach 90 Tagen veröffentlich wird, egal was MS antwortet, egal ob die es bis dahin geschafft haben (oder überhaupt wollten) die Lücke zu patchen?
Es gibt kein "müssen" und erst Recht keine 90 Tage, die irgendwo festgeschrieben sind (imho). Es war bisher Usus, dass White Hat-Sicherheitsforscher so vorgingen. Wenn Du aber eine Schwachstelle an das MSRT meldest, dann aber mitgeteilt bekommst, dass es keine Schwachstelle sei und Du auch kein Bug-Bounty bekommst, wird es schwierig. Nightmare Eclipse hat dann BlueHammer offen gelegt. Spätestens da hätte bei Microsoft jemand die Reißleine ziehen und deeskalieren müssen. Eine kurze Meldung: "Sorry, wir haben uns geirrt, wir gewähren die Bug Bounty-Prämie, halte mit uns weiter Kontakt", und das Thema wäre imho vom Tisch gewesen.
Nochmals: In meinen Augen brauchen Firmen und auch Open Source-Entwickler alle Ressourcen/Kanäle, die sie bezüglich Offenlegung bekommen können. Da ist ein solches Gehabe, wie Microsoft gerade an den Tag legt, nicht nur dämlich, sondern sau dämlich – Microsoft hat imho ziemlich viele Leichen im Keller. Ich kann mir das Verhalten nur durch die Monopolstellung eines Großunternehmens erklären.
Bezüglich der "90-Tage Frist" habe ich letztens einen Artikel auf einem Blog gelesen, dass diese freiwillige Regelung dank KI faktisch tot ist. https://blog.himanshuanand.com/2026/05/the-90-day-disclosure-policy-is-dead/
Man kann halt nicht mehr davon ausgehen, in dem Zeitraum der einzige zu sein, der eine Lücke findet.
Diese Einschätzung habe ich ebenfalls vernommen und teile diese.
Ist halt so, das MicroSlop meint: *Wir sind die die Größten, die Besten.* Wir machen *KEINE* Fehler, Das sind Features.
Aber Hochmut kommt vor dem Fall. Und möglicherweise kommt Nightmare Eclipse nun mit (mehreren) eklatante Lücken, um die Ecken, welche MicroSlop das Genick brechen.
Nightmare Eclipse hat da nix verbockt. Suche nach einem der vielen Forks auf github, und ließ nach. Er war in Kontakt mit dem inzwischen komplett inkompetenten MSRC team, die hatten seine Meldung nicht anerkannt, mit dem Hinweis er muss zuerst ein Video aufnehmen, um den Exploit vorzuführen. Den Exploit wie beschrieben auszuführen war ihnen nicht genug. Das kann jede Hausfrau.
Das hat ihm gereicht, und er hat veröffentlicht.
*****************************************
mundtot mache und diesem Strafverfolger auf den Hals hetze (wobei nicht mal gesagt ist, dass die Offenlegung strafbar ist).
*****************************************
in den USA? Immer! Da zieht ganz einfach "Gefährdung der nationalen Sicherheit"… da kriegst du jeden dran wenn du willst. Die Konsequenzen können da auch existenzvernichtend sein… bis hin zu Guantanamo.
Wenn dort jetzt schon KI- bzw. Rechenzentren-Gegner Extremisten sind:
https://www.telepolis.de/article/Wer-KI-kritisiert-ist-jetzt-Extremist-11308872.html
Es gab schon immer autokratische/diktatorische/dumme Menschen, aber noch nie so saudumme in diesem Ausmaß seit Beginn der 2000er. Eigentlich hat es diese Spezies mehr als verdient, endlich mit Stumpf und Stiel (Stil hat sie ja nicht mehr) unterzugehen…
Wenn BlueHammer lt. MSRT keine Schwachstelle ist, dann ist diese Lücke per Design vorhanden und dann muss man das Design der Software ändern.
Microsoft geht imho ziemlich nachlässig mit Sicherheitslücken um, wie man auch bei Softwarekomponenten von Drittherstellern, die in Windows verwendet werden, sieht.
Die 7Z.dll im Defender ist nur ein Beispiel dafür.
Die stammt vom August 2025, inzwischen gabs schon 2 Sicherheitsupdates vom Entwickler von 7Zip. Nur Microsoft schläft tief und fest und übernimmt die nicht.
Auch andere Drittanbieterkomponenten sind nicht aktuell.
Beispielsweise die curl.exe ist auch uralt.
In Windows steckt die 8.13 (kam im April 2025), aktuell ist die 8.20.
Es gibt satte 23 bekannte Sicherheitslücken in der 8.13.
Und in der 8.20 wurden gegenüber der 8.19 auch schon 8 Sicherheitslücken geschlossen.
Komponenten von Drittanbietern gehören ebenso am Patchday gepatcht, nicht nur alle Jubeljahre mal.
Dazu passt auch der Umgang von Microsoft mit Nightmare Eclipse.
Kein Wunder, das der sauer ist auf Microsoft.
Es ist jetzt die Pflicht von Microsoft, und nur von Microsoft, das Problem zu deeskalieren und auf Nightmare Eclipse zuzugehen.
werden sie nicht tun. Und das bei M$ der Fokus klar auf Vibecoding mit welchem "Assistenten" auch immer liegt dürfte inzwischen klar sein. Die Tatsache dass immer mehr der echten klugen Köpfe abgesägt werden spielt da noch mit rein und macht es eher schlimmer…
bezüglich M$ und der Verbreitung von Apps in deren Store: ich kann jedem nur abraten, echte Programme über den Store zu beziehen bzw. davon aktualisieren zu lassen… die Version auf Herstellerseite ist meist deutlich besser und sicherer weil aktueller.
Mit dem Vorgehen hier macht sich M$ jedenfalls keine Freude und vergrault die letzten echten Verbündeten die es noch hat… mit schlimmen Folgen für alle…
Gut, es ist halt auch die Frage WAS Chaotic Eclipse WANN konkret gemeldet hat. Das wird leider von vielen Sicherheitsforschern auch nie mal dargestellt. Obwohl das bei sowas eigentlich genau darum geht. Das zeigt auch wie amateurhaft die teilweise vorgehen müssen.
Wenn er das an Microsoft meldet und die sagen "Nö ist keine Vulnerability", trotz Proof-of-Concept. Dann darf er es aus meiner Sicht veröffentlichen. Vorrausgesetzt es ging an die richtige Stelle und er hat auch eine Frist gesetzt, wenn er es veröffentlicht hat.
Wenn er das an Microsoft meldet und die sagen "Nö ist keine Vulnerability" OHNE Proof-of-Concept zu schicken. Dann bin ich schon eher der Meinung, dann soll er denen kurz noch mal das Proof-of-Concept schicken und es dann veröffentlichen.
Das ist am Ende wie Kindergarten oder schwerhörigen Personen :-\ Wenn die unter sich klären wer die Woche Essen macht, dann muss diese Info auch beim Gegenüber ankommen und er muss die auch verstehen. Wenn das nicht gewährleistet ist.
Die Identität von Nigthmare-Eclipse wurde gestern auf X genannt und er ist ein bekannter und sehr fähiger Sicherheitsforscher.
Er wohnt in NRW in Deutschland.
Er benutzt als Nicknames auch "halov" , "halove23" (halove23. blogspot. com wurde inzwischen auch gelöscht) , "klinix5".
Er wurde auch von Kaspersky, Bitdefender, Fortinet, Google (Chrome) etc lobend erwähnt als Entdecker von zahlreichen Sicherheitslücken.
Bei Kaspersky stand er am 15.April 2026 ganz oben in Zeile 1 in einer Hall of Fame. Bestman.
In den Buglisten von Chrome steht halov mehrmals drin und er wurde für die gefundenen Lücken von Google und Kaspersky finanziell belohnt.
Man tippe mal in die Suchmaschine dieses BornCity-Blogs hier "halov" ein, öffne den ersten Treffer!
Belohnung $2000 für CVE-2022-2162 an halov und daneben steht eine relevante Info.
oder $1000 für CVE-2020-16007
Er ist Teil der "Trend Micro Zero Day Initiative" und sein Klarname wurde von Trend Micro ebenfalls audrücklich lobend und dankend erwähnt.
Vor 5 Jahren hatte er den Fehler CVE-2021-41379 im Windows Installer entdeckt und an Microsoft gemeldet. Microsoft hat den Fehler aber falsch gepacht und der Forscher veröffentlichte daraufhin einen PoC, um Microsoft zu beweisen, dass der Fehler weiterhin vorhanden ist.
Microsoft ist leider richtig ernsthaft bescheuert, wenn sie so jemanden so vor den Kopf stoßen, denn er kann wirklich sein Metier richtig gut und er hat jahrelang bewiesen, dass er entdeckte Lücken verantwortlich diskret an den jeweiligen Hersteller gemeldet hat.
Alle anderen Hersteller sind ihm dankbar gewesen, nur Microsoft hat ihn schlecht behandelt.
Was soll er im Fall Microsoft machen, wenn die ihn ignorieren oder sogar sein Microsoft-Researcher-Konto löschen (Screenshot dieses ehemaligen speziellen MS-Kontos gibt es auch auf X), die Lücken (Backdoors) bewusst offen lassen und Millionen Microsoft-Kunden Gefahren aussetzen?
Dann bekommt MS halt mal ein paar Denkzettel verpasst als Anreiz.
Sucht man mit dem Klarnamen, dann findet man zahlreiche von ihm entdeckte CVEs, nicht nur bei Microsoft-Produkten.
Wenn Microsoft auf diese Person "verzichtet" und statt dessen das FBI auf ihn hetzt, dann sollte man besser auf Microsoft verzichten und einen großen Bogen um diese […]Firma machen.
Wenn man sich jetzt mal die Liste derer ansieht, die vorauseilend alles mögliche von ihm Blocken oder Löschen, dann sieht es förmlich danach aus, dass Microsft bereits das ganz große Rad gedreht hat und in Kürze jemand vor seiner Tür stehen könnte oder gleich die Wohnung stürmt. Ich kann mir nicht vorstellen, dass er noch eine ruhige Minute verbringen kann, zumal er ja auch noch eine ganz große Überraschung angedroht hat. Wenn er das noch durchführen will, dann bleibt ihm meiner Meinung nach nicht mehr viel Zeit. Zumal auch gerade die deutsche Gesetzeslage einiges hergibt, um ihn einzukassieren.
Zitat:
"in Kürze jemand vor seiner Tür stehen könnte"
—
Das war eventuell bereits am Montag der Fall, denn er schrieb am Sonntag auf deadeclipse666[.]blogspot:
"tomorrow will be one of the hardest days in my life.
Wish me luck."
Das kann man so regeln, das auch, wenn man verhaftet wird, die Infos noch veröffentlicht werden.
Dazu braucht man nicht einmal eine dritte Person.
Man kann z.B. die Veröffentlichung auch automatisieren und da z.B. einen Totmannschalter einbauen, den man regelmäßig betätigen muss.
So lange man das macht, wird die Veröffentlichung zurückgehalten.
Betätigt man ihn dann nicht mehr, wird die Veröffentlichung gestartet.
Oder eine Retourkutsche starten und Microsoft anzeigen.
Da gibt es z.B. den Cyber Resilence Act.
Bei Verstößen drohen bis zu 2,5% des Welt-Jahresumsatzes und auch, das das Produkt vom Markt genommen werden muss.
Wenn die zuvor genannten Informationen stimmen, dann wird er Probleme bekommen, überhaupt nochmal irgend etwas zu veröffentlichen. Seine aktuellen Accounts scheinen ja bereits alle gesperrt oder gelöscht zu sein, solang Automatismen auf diese zugreifen, laufen sie ins Leere.
Ob er im Recht ist oder nicht — er hat sich mit einem übermächtigen Gegner angelegt, und der nagelt ihn jetzt fest, mit allen Mitteln die er hat, und das sind eine ganze Menge.
Wohin sowas im Extremfall führen kann, wissen wir seit Snowden.
Hoffen wir mal, dass er sich vorher ein paar einflussreiche Freunde gesucht hat. Ansonsten könnte das mit dem 14.07.2026 schwierig werden.
Mal unabhängig davon, ob man seine Vorgehensweise für richtig hält: Leute mundtot machen hilft selten weiter.
Kennst Du Edward Snowden und die Rahmenbedingungen, mit denen er sich umgeben musste, um zu überleben?
Leider noch nicht persönlich getroffen… Aber klar, ich habe das noch gut im Kopf.
Wobei man trotz allem sagen muss: Snowden wusste, worauf er sich einlässt. Er wusste, dass er damit dem mächtigsten Land auf der ganzen Welt in den Arsch trifft. Und trotzdem hat er die Sache vermutlich ein Stück unterschätzt. Hoffen wir mal, dass Nightmare Eclipse die Sache halbwegs richtig eingeschätzt und sich entsprechend darauf eingestellt hat.
Lassen wir die Information mal so stehen – in der Security Community wird die Verbindung (Identität oder sehr große Nähe) vermutet.
Man könnte fast meinen, dass jegliche gemeldete Sicherheitslücken bei MS nur noch von der KI bearbeitet und beantwortet werden.
Ich möchte hier den Philosophen Manousakis zitieren: "Einmal nicht mit Idioten." :-)
Vielleicht wurde es auch falsch verstanden oder es wurde sich falsch ausgedrückt oder einer hatte nen schlechten Tag oder es war ein Neuer.
Wenn man sich anschaut was für ein Verhalten in der IT teilweise an den Tag gelegt wird insbesondere scheinbar unter (angeblichen) Sicherheitsforschern.
Kluge Köpfe bei Microsoft?! Der war wirklich gut. Bei Microslop ist's inzwischen nur noch Sloppilot… zu mehr als Vibecoding sind die nicht mehr fähig… und das nun 0day Schwachstellen auftauchen (und auch in der Menge) wundert mich überhaupt nicht…
Wo ist dieser angebliche "Shitstorm"?
Eben um die Ecke gebogen ;-)
Ich habe diesen "responsible disclosure"-Unsinn noch nie verstanden.
Unter der Annahme, dass *nur* ein white hat einen bestimmten flaw entdeckt hat mag die Idee als solche ja *eventuell* noch einen Sinn ergeben.
In der Praxis dürfte aber in vielen Fällen das Problem in black hat-Kreisen schon die Runde gemacht haben.
D.h. der "verantwortungsvolle Umgang" führt dazu, dass eigentlich Betroffenen noch für (meist) längere Zeit dem jeweiligen Risiko ausgesetzt sind!
Ibs. da die "üblichen" Verdächtigen sich ja auch gerne mal sehr viel Zeit lassen, (kritische) Probleme zu beheben.
Wenn ich mir anschaue, wie die typischen Reaktionszeiten im Open-Source-Bereich im Vergleich aussehen (häufig eher Tage als Wochen), dann wird es richtig abstrus.
Warum sollte es sich herumsprechen wenn einer eine Sicherheitslücke findet? Werden solche Infos automatisch verteilt oder sind alle Hacker telepathisch miteinander verbunden?
Mache dir mal keine Illusionen – da braucht es keine Telepatie, nennt sich "informelle Infrastruktur" im Darknet und bei den "Five Eyes" & Co.
Da muss man gar nicht mit "Darknet" und "Five Eyes" anfangen.
Bei OS-Zeugs ist es schon länger Usus, sich die diffs bei neuen Versionen anzuschauen, sehr lehrreich häufig und bis entsprechend gepatchte Versionen ausgeliefert werden (ibs. wenn "Fix für RCE" nicht in den rel notes erwähnt ist.) kann das schon mal ein paar Tage dauern.
Im CS-Bereich ist mein Eindruck eher, dass die meisten flaws dort von der Form "die 90er haben angerufen und wollen ihre bugs zurück" sind. Da ist wenig dabei, wo der Angreifer erst komplexe, neue Analyseverfahren entwickeln musste.
Je nachdem, wie der Finder ethisch aufgestellt ist werden solche Informationen in entsprechenden Foren verteilt oder meistbietend verkauft.
Ja, auch staatliche und halbstaatliche (z.B. Palantir) Institutionen kaufen solche Lücken auf dem Schwarzmarkt.
Hier stört sich Microsoft im Wesentlichen daran, daß die Information ohne große Zugangshürden (lauffähiger PoC mitgeliefert) und öffentlich (github/lab) geteilt wurden.
Nightmare-Eclipse kündigt "Bitskrieg" an (Wortspiel mit "Blitzkrieg").
Jetzt haben andere Sicherheitsforscher mit Nichtmare-Eclipse Kontakt aufgenommen und ihm die von ihnen gefundenen Sicherheitslücken ausgehändigt, damit er mehr Munition gegen Microsoft hat.
Secure-Boot ist unsicher, Bitlocker ist vollständig ausgehebelt.
"Announcing Bitskrieg
Soooo, something extremely funny is happening.
After the recent events, multiple researchers reached out to me and some just literally gave me free vulnerabilities…"
[…]
"found a way to violate secure boot trust"
[…]
"compromise confidential virtual machines"
[…]
"it fully bypasses bitlocker"
*ttps://deadeclipse666.blogspot.com/2026/05/
Jeder denkende Mensch hat längst erkannt, dass Windows als strategische Waffe u.a. für die nationale Sicherheit der USA selbstverständlich voller Backdoors gerade in den elementarsten Sicherheitsebenen sein muss.
Jetzt fliegen eben mal ein paar dieser Backdoors auf. Puff.
Danke, ich habe es seit heute früh auf dem Radar, werde noch was zu schreiben – aber mutmaßlich nicht mehr heute.
Microsoft versus Nightmare Eclipse: Wir haben jetzt "Bitskrieg"