Der Clinch zwischen einem Sicherheitsforscher mit dem Alias Nightmare Eclipse, der seit März 2026 sechs 0-Day-Schwachstellen mit Exploits in Microsoft-Produkten veröffentlichte, und Redmond geht weiter. Wir haben jetzt "Bitskrieg" und eine Solidarisierung der Security-Szene mit dem Sicherheitsforscher.
Der Schuss Microsofts, der nach hinten los geht
Ich hatte hier im Blog über die Veröffentlichung von 0-day-Schwachstellen inklusive Proof of Concept (PoC) in Microsoft-Produkten (Windows, Bitlocker, Defender) durch einen Sicherheitsforscher mit dem Alias Nightmare Eclipse berichtet (siehe Links am Artikelende). Der Sicherheitsforscher fühlte sich mutmaßlich durch Microsoft über den Tisch gezogen, weil gemeldete Schwachstellen nicht anerkannt und Bug Bounty-Prämien nicht gezahlt wurden.
Microsoft musste als Folge Schwachstellen patchen und warf dem Sicherheitsforscher "Verantwortungslosigkeit" vor. Dann wurde erst das GitHub-Konto von Nightmare Eclipse, auf dem er die PoCs veröffentlicht hatte, gesperrt (GitHub gehört Microsoft). Ich hatte im Beitrag Zoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse erste Reaktionen des Sicherheitsforschers auf Microsofts Vorhaltungen reflektiert. Nachdem der Sicherheitsforscher die Exploits auf PoCs eingestellt hatte, wurde auch das GitLab-Konto gesperrt.
Statt frühzeitig zu deeskalieren, goss Microsoft noch mehr Öl ins Feuer und dem Sicherheitsforscher in einem Blog-Post öffentlich vor, die als RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma und MiniPlasma bekannten Sicherheitslücken nicht verantwortungsbewusst offengelegt zu haben. Gleichzeitig verstieg Microsoft sich zu der Drohung, dass Microsofts Digital Crimes Unit weiterhin Verfahren gegen "diese Akteure [Angreifer] und diejenigen, die kriminelle Aktivitäten ermöglichen", einleiten werde – und dabei bei Bedarf mit Strafverfolgungsbehörden auf der ganzen Welt zusammenarbeite.
Das muss im Kontext als Strafandrohung für Sicherheitsforscher interpretiert werden, die Schwachstellen unkoordiniert offen legen. Ich hatte bereits im Beitrag Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung ausgeführt, dass dieser Schritt Microsofts einfach nur dämlich war. Es gibt meines Wissens keine Gesetze, die eine "verantwortungsvolle Offenlegung" erzwingen.
Ich hatte im Beitrag auch in einem Nachtrag erwähnt, dass sich plötzlich immer mehr Leute auf Plattformen wie X melden, und ähnliche Erfahrungen wie Nightmare Eclipse mit Microsoft berichten. Also: Schwachstellen gemeldet, Monate hingehalten, dann gesagt bekommen, dass es keine Sicherheitslücke sei, oder nicht gepatcht werde. Bug Bounty-Prämien gab es auch keine. Dann haben die Leute im Nachgang festgestellt, dass Schwachstellen doch heimlich gepatcht wurden, etc.
Ich mag nicht ausschließen, dass der Algorithmus auf X besonders viele solcher Negativmeldungen in mein Profil spielt, weil ich darüber berichte. Aber der Tenor dessen, was ich im Internet so mitbekomme, ist, dass die Stimmung der Community der Sicherheitsforscher gegenüber Microsoft nicht die Beste ist. Florian Roth, Head of Research beim Sicherheitsanbieter Nextron, drückt in diesem Tweet aus, was mir quasi auch auf der Zunge lag.
Roth meint, dass er ja nicht wisse, was hinter verschlossenen Türen zwischen Microsoft und Nightmare Eclipse vorgefallen sei. Er wisse auch nicht, ob Microsoft oder der Sicherheitsforscher oder beide "unvernünftig" seien.
Aber Roth schreibt, dass er glaube, dass Microsoft diese Situation völlig falsch eingeschätzt habe. Wenn man der größte Softwareanbieter der Welt ist, dürfe man sich nicht "wie eine wütende Person" in einem Internetstreit verhalten. Repositories zu löschen, von strafrechtlichen Ermittlungen zu sprechen und die ganze Sache zu einem öffentlichen Streit zu machen, war ein Fehler Microsofts, so Roth. Der Schaden, der dadurch entstanden ist, gehe weit über diesen einen Sicherheitsforscher hinaus.
Roth schreibt, was ihn am meisten überrascht habe, sei die Beobachtung gewesen, wie schnell die Leute danach angefangen hätten, ihre eigenen Erfahrungen mit dem Microsoft Security Response Center (MSRC) öffentlich zu teilen. Dabei zieht sich laut Roth folgendes wie eine rote Linie durch die Posts:
- Monate ohne Antwort
- "Funktioniert wie vorgesehen" als Antwort
- Streitigkeiten um Bug Bounty-Prämien
- Meldungen, die ins Leere liefen
Roth meint, dass die Leute nicht plötzlich ohne Grund anfingen, solche Geschichten im Internet zu erzählen. Mich persönlich hat es nicht überrascht. Ich hatte in einem der am Beitragsende verlinkten Beiträge erwähnt, dass ich über Jahre bei Mails von Stefan Kanthak an das MSRT auf cc saß und die Microsoft-Antworten mit bekam. Roth schloss seinen Tweet mit den Worten: "Ich glaube, Microsoft hat hier viel Porzellan zerschlagen." Ich würde eher das Bild des Elefanten im bewussten Laden mit dem Porzellan bemühen wollen, dass die bei Microsoft für die Eskalation Verantwortlichen abgeben.
"Bitskrieg": Forscher teilen Schwachstellen
Der Versuch Microsofts, den Sicherheitsforscher zu "kriminalisieren" oder zumindest in die Ecke "der macht Illegales" zu rücken, ist gründlich misslungen. Die Community der Sicherheitsforscher solidarisiert sich mit Nightmare Eclipse.
Windows Central bringt es in obigem Tweet und in diesem Beitrag auf den Nenner. Die Cybersicherheitsbranche sei nach der obigen Entwicklung in Aufruhr, nachdem Microsoft damit gedroht habe, seine "Digital Crimes Unit" wegen der Offenlegung von Zero-Day-Schwachstellen einzuschalten. Nightmare Eclipse hatte bereits am 15. April 2026 in diesem Blog-Beitrag einige Hintergründe zu seinen Beweggründen, eine Schwachstelle direkt öffentlich zu machen, was ausgeführt und schreibt, "Sie haben mir persönlich gesagt, dass sie mein Leben ruinieren würden, und genau das haben sie getan".
Der sich aus dem Fall ergebende Aufruhr verdeutliche, so Windows Central, die wachsenden Spannungen zwischen Microsoft und der Sicherheitsgemeinschaft in einer für das Vertrauen entscheidenden Phase.
Noch deutlicher wird obiger Tweet, der die neuesten Entwicklungen darstellt und mir bereits am 30. Mai 2026 untergekommen ist. Nightmare-Eclipse berichtet, dass Sicherheitsforscher ihm nun Schwachstellen kostenlos zur Verfügung stellen. Dies sei offenbar sowohl ein Zeichen der Solidarität, aber auch eine Reaktion auf die Art und Weise, wie Microsoft mit Sicherheitsforschern umgeht.
Den Anfang macht die mit dem Namen "Bitskrieg" bezeichnete Schwachstelle, die die Secure-Boot-Vertrauenskette untergräbt und BitLocker vollständig umgeht. Bolko hatte es vor einigen Stunden in diesem Kommentar thematisiert. Nightmare Exclipse hatte es am späten Freitag, den 29. Mai 2026, im Blog-Beitrag Announcing Bitskrieg selbst bekannt gegeben. Ob und wann er diese Informationen öffentlich macht, wird man sehen müssen. Aber jedem halbwegs denkenden Zeitgenossen dürfte klar sein, dass bei Microsoft sozusagen "einige Sicherheitsleichen im Keller liegen". Von daher ist das Verhalten der Verantwortlichen aus Redmond doppelt kurzsichtig. Schwachstellen verschwinden ja nicht durch Zensur, das wird sich über kurz oder lang rächen.
Noch einige abschließende Bemerkungen. Auch wenn wir Deutschen den Begriff "Bitskrieg" sofort mit dem zweiten Weltkrieg assoziieren, bin ich mir diesbezüglich nicht so sicher, ob der Entdecker das im Hinterkopf hatte. Es gibt BITSkrieg: Der offizielle Cybersicherheits-Club des BITS Pilani K.K. Birla Goa Campus (Indien). Das ist eine Gruppe von Studierenden, die sich leidenschaftlich dafür interessieren, Softwaresysteme zu knacken, auszunutzen und abzusichern. Und es gibt das Buch "Bitskrieg: The New Challenge of Cyberwarfare", welches sich mit der neuen Herausforderung der Cyberkriegsführung befasst.Ich vermute, dass der obige Name für die Sicherheitslücke sich aus dieser Richtung ableitet.
Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams
Nightmare Eclipse veröffentlicht MiniPlasma-Schwachstelle CVE-2020-17103
Zoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse
Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung
MVP: 2013 – 2016
Na da lief wohl Einiges nicht so toll… von beiden Seiten!
Ein Sicherheitsforscher der aus gekränkten Ego und weil er keine Bug Bounty Prämie bekommen hat diese Lücken nun direkt verbreitet und somit Millionen von Usern gefährdet, kann ich allerdings auch keine Sympathie entgegenbringen! Das stelle ich auf eine Stufe wie wenn der die Systeme selbst hackt.
Sollte eine der veröffentlichen Lücken hier eine Vorfall auslösen, kriegt der nicht nur von den MS Anwälten Post!
MS ist halt MS, da erwartet man nichts anderes… Das fing schon unter Gates noch in der Garage an… MSDOS — DR DOS noch jemand im Hinterkopf?
Was wäre die Alternative, nachdem Micro$oft ja offensichtlich nichts gegen die Fehler unternehmen wollte – einfach totschweigen?
Ist halt die Frage, ob er MS wirklich mit Nachdruck informiert hat…
Bei jedem Vorfall hast du das Problem: Was haben die Sicherheitsforscher wann und wie gemeldet?
Wenn die wirklich nicht reagieren würde, dann könnte man ALLEIN die fehlende Reaktion das Unternehmen in Probleme bringen. Stell dir mal vor Jemand meldet einen "schwerwiegenden" Bug an MS, auch mehrmals, auf verschiedenen Wegen und mit Nachdruck und die reagieren nicht. Das Ganze wird dann veröffentlicht? Hast du schon mal sowas gesehen?
Du siehst es aktuell bei YellowKey usw.
Er wieder…
Was wäre deine Methode? weiter MS in den Allerwertesten kriechen vermutlich?
Man kann sowas auch öffentlich machen ohne gleich die Exploits zu veröffentlichen! Da schwingt eindeutig das Ego mit und klammert die Verantwortung aus.
Also so bei bei dir in quasi jedem Kommentar.
Sorry, musste sein ;-)
Sehe ich komplett anders!
Die Schuld dieser Eskalation liegt einzig und alleine bei MS!
Ich warte nur noch darauf, dass es einen Tag geben wird, wo eine Flut an Sicherheitslücken
veröffentlicht werden und somit Windows für einige Zeit gar nicht mehr benutzbar sein wird.
MS wird mit dem Stopfen dieser Lücken gar nicht mehr hinterherkommen, weil es ja keine
Programmierer mehr bei denen gibt, es flickt ja nur noch KI am System (Windowscode) herum.
Ich warte, Popkorn habe ich schon.
Verglichen mit früher haben wir schon eine Flut. Jedoch haben wir hier auch das "Frosch" im Kochtopf Prinzip. Man gewöhnt sich langsam dran, dass es immer wieder ein bisschen mehr wird. Stück für Stück wird die Temperatur hochgedreht und man gewöhnt sich jedes Mal wieder dran.
Vor 25 Jahren hat man sich aufgeregt, wenn mal ein paar hundert Kundendaten gehackt wurden oder ein Wurm (Nimda) sich selbst rasant ohne Zutun verbreiten konnte. Heutzutgage kräht kein Hahn mehr nach solchen Kleinigkeiten, da solche Dinge schon jeden Tag passieren. Sicherheitsupdates muss man teilweise schon täglich installieren, da so viele Lücken in allen Arten von Programmen und Betriebssystemen auftauchen. Selbst die Erpressungstrojaner schaffen es kaum noch in die News.
Ach, das gibt es doch schon.
Schau mal Google Chrome und die auf Chromium basierenden Browser wie z.B. den Edge an.
Die sind löchrig wie ein schweizer Käse.
Beim letzten Chrome-Update wurden satte 151 Sicherheitslücken gestopft. Und beim Edge kommen noch ein paar oben drauf.
Täter-Opfer-Umkehr?
Von wegen "von beiden Seiten" …
Microsoft lernt es einfach nicht seine Arroganz und Überheblichkeit im Zaun zu halten.
Wenn sich da jetzt wirklich eine Bewegung findet die systematisch auf MS losg geht wird das übel.
Warum wird das übel?
Das wird absolut klasse, weil das dann DAS Signal für alle sein wird,
endlich unabhängiger von so einem Moloch zu werden.
Und am Ende, wenn große Firmen sich endlich wieder um ihren eigenen Scheiß kümmern,
wird es auch wieder mehr Arbeitsplätze geben.
Firmen kümmern sich um Ihrern eigenen "Scheiß" aber beide Welten sind wichtig.
Echt jetzt? Da habe ich gegenteilige Erfahrungen gemacht. Knowhow und Expertise ist i. d. R. auf unterstem Niveau. Ausser Copilot können viele ITler nichts mehr und verstricken sich immer mehr in die undurchsichtigen M$ Apps, die alles andere als sicher sind. Die Leidtragenden sind die User. Ich kann nicht verstehen wie Unternehmen auf diese Weise furchtbar viel Geld verbrennen.
Warum überrascht mich das Gebahren nicht sonderlich. Es gab schon seit einigen Jahren Unmut, dass die besseren Köpfe bei MS im MSRC gegangen sind (oder wurden) und nur noch – sorry ist O-Ton- Verwaltungsdeppen – dort arbeiten. Und damit diese eine Schwachstelle besser bewerten konnten wurde für jede Einreichung zur Bedingung gemacht, diese in Videoform zu dokumentieren. WTF! Das ist vielen schon übel aufgestossen zusammen mit dem bereits genannten Abstreiten, Verneinen und Beschuldigen in "Modern Solutions Art".
Dass Konten einfach gelöscht werden – und sogar gedroht wurde "wir zerstören Dein (digitales) Leben" ist dabei geschenkt. Jeder, der sein digitales Leben von einem Account bei einem BigTech abhängig macht, sollte sich dessen bewusst sein. Es gibt gute Gründe seinen eigenen Gitea/Forgejo Git-Server bzw. Codeberg e.V. hier bei uns in Deutschland zu nutzen. Da lässt sich ein DCMA aus dem US-Recht nicht so schnell anwenden. Ich habe letztes Jahr so selbst ein Projekt gerrettet, das auf Github gelöscht wurde https://codeberg.org/tomas-jakobs/no-defender
Mit der morgentlichen Tasse Gelassenheit, schaue ich aus der Entfernung diesem Treiben zu. Nichts Neues im Westen. Und der Name "Bitskrieg" dürfte da schon eindeutig sein, da bedarf es keiner Interpretationen oder gar Hinzuzehen indischer Schulnamen. Schliesslich gab es die "Unix-Wars" in den 80ern und "Browser-Wars" in den 90ern. Da ist und war man schon immer etwas martialisch und Tel unserer unrühmlichen deutschen Geschichte war es nunmal, die Welt mit Krieg zu überziehen.
So eine "Androhung von Zerstörung des (digitales) Lebens" wird mit der mittelfristig verpflichtenden Einführung von EUid für alle so gar nicht geschenkt sondern massiv wirksam.
https://bmds.bund.de/themen/digitaler-staat/digitale-identitaeten/eudi-wallet
Blödsinn… vielleicht solltest Du selbst besser lesen, was Du so verlinkst:
"… während analoge Dienste weiterhin bestehen bleiben."
"Trolle bitte nicht füttern – Danke!"
Wer weiter als zwei Wochen denken möchte, erkennt sofort, dass die Nutzung analoger Dienste sukzessive erschwert, mit Wartezeiten belegt, anderweitig massiv madig gemacht werden wird, bis EUid eines Tages dann verpflichtend sein wird bzw. man ohne einfach essentielle Dinge des Alltags nicht mehr machen kann. EUid wird gadenloss flächendeckend durchgesetzt, man benötigt das, um den digitalen Euro auszurollen. Mit ID2020 hat es damals nicht geklappt, daraus hat man viel gelernt.
Bevor man andere durch Offenlegung und Gefährdung mit reißt ,sollte man lieber rechtliche Wege gehen. Wenn man nachweisen kann dass MS durch die Lücken andere gefährdet gibts sicher das ein oder andere Gericht die dem Streitwert der Bountyprämie dann entsprechend entscheiden aber da ist jemand wohl nicht erwachsen genug das so zu handhaben. Lieber schreibt man Exploits und reißt andere mit. Das ist doch viel schöner. Ich habe mit diesem "Sicherheitsforscher" kein Mitleid. Für mich isses n A***loch
Wenn es nur um Geld geht, verkauft man die Lücken besser auf dem Schwarzmarkt. Inbesondere das vollständige Brechen von Bitlocker (wenn ich es richtig verstehe nicht nur live, sondern auch auf forensisch gezogenen Images) dürfte auf großes Interesse stoßen.
Spätestens seit Snowden wissen wir, daß auch Geheimdienste diese 0days kaufen und durchaus fünfstellige Dollarbeträge dafür zahlen.
Naja, evtl. kann man Microsoft nur so zwingen, die Lücke(n) doch noch zu schließen.
In der Vergangenheit gabe es schon entsprechende Fälle, in denen Microsoft eine Lücke nicht schließen wollte, es dann aber auf Druck der Öffentlichkeit dann doch getan hat.
Es gab sogar schon Fälle, bei denen Microsoft sagte "Ja, das ist eine Sicherheitslücke, aber wir werden die NICHT schließen!"
Es ist eifach Arroganz und eine Frechheit sondergleichen, sich zu weigern, eine Sicherheitslücke trotz PoC nicht schließen zu wollen.
Und in der EU ist Microsoft lt. EU Cyber Resilience Act sogar zum Schließen der Sicherheitslücken gesetzlich verpflichtet.
Es kann natürlich sein, daß ein dritter, mächtiger Akteur diese, ihm längst bekannte, Lücke benötigt und nun windet sich Microsoft wie ein Aal in der Reuse.
Genau das denke ich auch. Blöd gelaufen.
Die Aussage ist deutlich drüber.
Was will man machen wenn ein ganzes System gegen einen spielt?
Rechtliche Wege gehen in einer Grauzone – Viel Spaß.
@Robert: Es gibt immer mehr als einen Weg und Gerichte entscheiden ob das Wohl der Mehrheit durch diese "Lücken" gefährdet ist. Bevor ich also Alle unbeteiligten einer Gefahr aussetze und mich dadurch erst recht Strafbar mache würde ich lieber erstmal so agieren und auf das Einsehen der Techs hoffen wenn sie gerichtlich dazu verdonnert werden. Als jemand der die Lücken gefunden, Dokumentiert und vielleicht sogar schon Lösungen dafür entwickelt hat ist die Argumentation ein leichtes. Und bevor wieder welche mit dem Aluhut und der NSA rumwedeln: Ja das kann ich verstehen. Aber nicht alle Menschen werden grundlos überwacht!
Ich versuche mich ja als Betreiber des Blogs in der Kommentierung zurück zu halten. Der Kommentar kann aber so nicht stehen bleiben.
– Natürlich kann und wird jeder selbst entscheiden müssen, wie er vorgeht, und ob er nach dem dritten Tritt gegen das Schienbein auch noch das andere Bein hin hält. Und ja, Microsoft ist ein mächtiger Gegner.
– Zu "Bevor ich also Alle unbeteiligten einer Gefahr aussetze …", das ist schlicht eine unzulässige Verkürzung, die den Sachverhalt schlicht versucht auf eine andere Ebene "Du bist schuld …" zu schieben und in Richtung MS-Argumentation läuft. Die Gefahr ist doch nicht dadurch, dass jemand was veröffentlicht entstanden, sondern dadurch, dass die Sicherheitslücke existiert – und mutmaßlich nicht (oder unvollständig) gepatcht wird. Wenn Dritte die Schwachstelle kennen – ist oft so, dass es binnen kurzer Zeit zwei, drei Entdecker gibt, ist so eine Haltung imho grob fahrlässig.
– Zu "… und mich dadurch erst recht Strafbar mache …", das ist Microsoft-Sprech und schlicht falsch – es gibt im deutschen Strafrecht m.W. keinen Paragraphen, der die Offenlegung einer Schwachstelle kriminalisiert. Es wird höchstens "mit nationaler Sicherheit" argumentiert, wenn was unter dem Deckel bleiben soll – zieht hier aber nicht, da Microsoft Monopolist ist und international eingesetzt wird.
Ja, es ist eine doofe Situation – aber die Relativierungen sind in meinen Augen nicht wirklich angebracht. Verkackt wurde es letztendlich durch Microsoft. Und nochmals, für Nightmare Eclipse hat die Sache – ist ja angesprochen – inzwischen existenzbedrohende Züge angenommen. Einfach drüber nachdenken, ob ein Microsoft so "der vertrauenswürdige Partner" sein kann, den man für seine IT bräuchte.
Spoiler: Ich habe die Nacht noch einen sehr interessanten Artikel eines Ex MVP-Kollegen bekommen. Hab gerade von ihm das OK bekommen, das als Gast-Artikel hier im Blog aufbereiten zu dürfen. Er hat mich daran erinnert, dass es um das Jahr 2000 bereits eine ähnliche Situation bei MS gab, und Bill Gates damals sicherheitstechnisch das Ruder herum gerissen hat. Geschichte wiederholt sich – meist aber als Farce.
"Wenn Dritte die Schwachstelle kennen – ist oft so, dass es binnen kurzer Zeit zwei, drei Entdecker gibt, ist so eine Haltung imho grob fahrlässig."
Dank KI vermutlich eher so 200-300 Entdecker heutzutage und davon mit Sicherheit genug, die die Lücke nicht an den Hersteller melden, sondern anderweitig verwenden. Wie ich in dem anderen Artikel ja schon geschrieben bzw. verlinkt hatte, das Thema mit der "90-Tage Frist" ist durch, so lange kann man nicht mehr warten, wenige Stunden können für das Patchen schon zu kurz sein. Hat man ja vor einiger Zeit recht deutlich bei den Lücken im Linux Kernel gesehen, der Patch war noch in Entwicklung und ein Dritter hat das Embargo gebrochen, was dazu führte das der meldende Entdecker in Absprache mit den Kernel-Entwicklern alles offengelegt hat.
@Günther: danke dass man mit dir gut diskutieren kann. ich bin alles andere als Microsoft Fan und finde deren gebahren alles andere als toll. Aber ein Sicherheitsforscher der aus getränkten Ego Expoits veröffentlicht ist kein whitehat mehr das geht schon fast in Richtung Terrorist. Es gibt gute Gründe warum man mal außerhalb normaler Möglichkeiten in ein System muss: da fange ich nur mal unschuldig bei Datenwiederherstellung an. natürlich haben auch Kriminaler oder andere Sicherheitsdienste Interesse das ganze nicht allzu schwer zu haben. das ist aber deren Belang und da will ich gar nicht erst Anfangen zu diskutieren. Es gibt viel zuviele Menschen die sich unsinnig verfolgt fühlen. es gibt aber auch Menschen die technisch garnicht groß bewandert sind und bei einem Datenverlust komplett aufgeschmissen sind. ich rate ja nicht umsonst jedem im Umkreis zu einem Backup. und jetzt müssen wir differenzieren wie wir was diskutieren. wollen wir ein sicheres System: Ja. wollen wir dass auch Polizei und Strafverfolger potenzielle Gefahren ausschalten: ja. wollen wir ausgespäht und bespitzelt werden: nein! wollen wir ungefragt KI in unserem System: nein! muss es sein dass funtionierende Technik obsolet gemacht wird: Nein…. der Sicherheitsforscher hat sich leider zu sehr aus dem Fenster gelehnt und jetzt liegt es auf der Nase und weint. jedes Skript Kiddie kann jetzt tolle Dinge mit den Expoits anstellen… finde ich das gut: nein! in jedem Land gibt es Verbände und Institutionen wie bei uns den CCC der genügend Hebelkraft für juristische Maßnahmen hätte. da muss man keinen Privatkrieg vom Zaun brechen.
Ist der Gastartikel schon online?
"jedes Skript Kiddie kann jetzt tolle Dinge mit den Exploits anstellen…"
Glaube mal daran das auch vor seiner Veröffentlichung genug Leute davon Kenntnis hatten. Lies mal diesen Blogpost, der aufzeigt, warum die 90-Tage Frist leider keinen wirklichen Sinn mehr hat: https://blog.himanshuanand.com/2026/05/the-90-day-disclosure-policy-is-dead/
Ein "Shoot the Messanger" nützt hier keinem was, die sollten stattdessen lieber mal schauen, dass die ihre Software in den Griff bekommen und das möglichst schnell.
MS hat Nightmare Eclipse Scheiße behandelt und ihn um sein Geld geprellt!
Stell Dich ruhig auf die Seite MS, aber in Zukunft werden solche gravierenden Lücken gar nicht mehr an MS gemeldet, sondern meistbietend im Darknet verkauft!
Wer hat nur bei diesem Käse gewonnen? Microsoft ganz sicher nicht.
Ich hoffe, dass es dem initial nicht nur um Ruhm, Ehre und Bug-Bounty-Geld geht, sondern tatsächlich um IT-Sicherheit.
Aber vielleicht bin ich da zu naiv und gutgläubig.
Arbeitest Du ohne Gegenleistung?
Anon, kommt drauf an, für dich wohl eher nicht, und sicher auch nicht Vollzeit, egal für wen. Und ich denke nicht, dass man von Bugbounty-Programmen alleine seinen Lebensunterhalt bestreiten kann. Man braucht ja nur mal bei den Release-Notes von Google Chrome schauen, wie klein die Beträge meistens sind und über wieviele Personen sich das monatlich verteilt.
naja hier in D sicher nicht, obwohl der Hackerparagraf da auch recht eindeutig ist. (Soweit mir bekannt ermittelt da die Staatsanwaltschaft aber auch erst auf Anzeige…)
in den USA gibt es aber den Begriff: Gefährdung der nationalen Sicherheit! Und da bist du dann richtig angepisst, da hast du ganz schnell gar kein Rechte mehr und verschwindest in so bekannte Camps!
Und Millionen potentiell gehackter Systeme sind eine Gefährdung!
Also keine rechtliche Handhabe stimmt so einfach nicht… bisher eher nur Glück gehabt nicht dem Falschen ans Bein gepisst zu haben!
Darüber nochmal nachdenken.
@anonym es ist genau so! ein System hat ein syslog um Fehler analysieren zu können dabei ist jedes System ein eigenes Biotop. Was klar sein muss ist dass jeder User sein System sinnvoll konfiguriert kann. sich aber verfolgt zu fühlen beim nutzen von systemen geht in Richtung Wahnvorstellung und dafür gibts hervorragende Doktoren um sich Hilfe zu holen!
ich rede hier nicht von metas neuen Wegen durch Zugriff auf Instagram DMs und Facebook Nachrichten besseres Werbetargeting zu machen. Selbst für einen Besuch des Bundestrojaners oder das anklopfen des BKA braucht es immernoch ein Beschluss.
In der Theorie braucht es für sowas einen Beschluss, ja.
also dafür reicht 1Pimmel … und die treten dir morgens um 5 die Bude ein ;-P
So ein Beschluß ist kein wirklliches Hindernis! Wie ich ja oben erwähnte: dem Falschen ans Bein gepisst!
und warum legt MS seine "Telemtrie" nicht zu 100% offen? Wenn da nix zu verbergen ist?
Vor Snowden waren auch alles nur ALU-Hutträger… mittlerweilen weis man es besser… und hat alles schon wieder vergessen oder unter den Teppich gekehrt!
Den BND Skandal scheinbar auch…
Ne gesunde Portion Paranoia gehört heute als Schutzfunktion zum Grundrepertiore.
"und warum legt MS seine "Telemtrie" nicht zu 100% offen? Wenn da nix zu verbergen ist?"
Das kann ich dir sagen: Weil es nicht "die Telemetrie" gibt. Welche Laufzeitdaten sich Microsoft holt, hängt vom Thema ab, an dem gerade ein Entwicklerteam arbeitet. Arbeiten sie an der Optimierung von Zugriffsgeschwindigkeit vom Dateisystem, holen sie sich Timigdaten aus dem Dateisystem. Arbeiten sie an der Reaktionsgeschwindigkeit des Startmenüs, holen sie sich Laufzeitinformationen der GUI, geht es um Fehler Netzwerk, holen sie sich Telemtriedaten aus dem TCP/IP-Stack, usw. Aber niemals alles auf einmal, denn sonst hätten die Kisten mehr Telemetriedaten als Nutzerdaten.
Es spielt doch keine Rolle ob sie immer alles abfragen oder bedarfsgesteuert… es geht darum das zu 100% offengelegt wird was alles möglich ist damit BSI & Co das sauber prüfen und beurteilen können, machen sie aber nicht!
Manche wollens halt nicht kapieren, da frag mich wollens ned oder könnens ned?
Windows ist eine strategische Waffe aus Sicht der nationalen Sicherheit der USA.
Natürlich wird man sich da keinesfalls in die Karten schauen lassen, was da wohin und woher an Daten fliesst bzw. offenlegen, was man mit diesen Schnittstellen und Backdoor artigen Funktionen alles sonst noch machen könnte.
Danke, Daniel. Aluhüte sind mal wieder ausgegangen… Manche Leute denken, dass sie so wichtig sind… Für diese flächendeckende Überwachung und Auswertung würden selbst die jetzt von der Softbank geplanten KI-Rechenzentren in Nordfrankreich mit einem Stromverbrauch von 5 "großen" Atomreaktoren nicht ausreichen.
Was technisch möglich ist, wird gemacht. Seit weit über 50 Jahren. Mal mit der Geschichte der NSA beschäftigen. Eigene Satellitenprogramme, Überwachung von Tiefsee-Kabeln usw.
Lesetipp: James Bamford: NSA. Die Anatomie des mächtigsten Geheimdienstes der Welt. (Body of Secrets: Anatomy of the Ultra-Secret National Security Agency)
Für mich ist er ein Held.
Noch nicht ganz so sehr wie Snowden oder Assange, aber nicht mehr weit weg.
Er zeigt auf wie kaputt dieses System ist und ich hoffe sehr, dass es dazu beiträgt mehr in Richtung digitale Souveränität zu denken.
Das letzte Mal dass ich las "won't fix, works by design" war übrigens erst neulich mit den Klartextpasswörtern im Passwort-Manager des Edge Browsers. Man müsste mal checken ob das inzwischen klammheimlich gefixt wurde, es gab ja inzwischen mindestens 2 Updates des Edge, wobei beim Ersten Edge so verändert wurde, dass der Passwortmanager die Passwörter erst bei erster Verwendung in den Speicher lädt, weiterhin aber alle und im Klartext, und bis zum Beenden des Browsers weiterhin im RAM hält.
Ich finde das Vorgehen von MS nicht gut, und ich weiß noch nicht, was ich vom Vorgehen von Nightmare-Eclipse halten soll. Einerseits gut, dass er veröffentlicht um diese Problematik publik zu machen, andererseits wäre spätestens nach der zweiten Veröffentlichung mehr Deeskalation gut gewesen, in dem er wieder den offiziellen Meldeweg gegangen wäre, aber mit gleichzeitiger öffentlicher Dokumentation der Kommunikation, ohne allzutief in die Details der Schwachstelle zu gehen. Aus eigener Erfahrung kann ich übrigens bestätigen, dass zumindestens im Enterprise-Support bei MS teils ziemliche Schnarchnasen sitzen, wenn es um eigentlich bekannte Sicherheitslücken geht, ich hab letztes Jahr einige Tickets wegen 3rd party Komponentgen wie 7.dll, curl und Co geöffnet, und müsste wegen 7zip jetzt eigentlich schon wieder tätig werden.
Ps.: Oben wird Kanthak erwähnt, nun wir kennen ihn hier aus den Blogkommentaren, den würde ich jetzt nicht unbedingt als leuchtendes Beispiel für Bugreporting sehen, ihr habt ihn ja selbst schon erlebt, und ich lese seine Beiträge gelegentlich auch auf Full-Disclosure und anderen Mailinglisten wo sich Sicherheitsforscher austauschen, und da stehen dann gelegentlich auch Mailadressen an MS drin, an welche diese Mails auch gehen. Für den sind die Empfänger in Redmond immer schon in der ersten Ansprache Idioten, dementsprechend poltert er gleich los. Solche Kontaktversuche würde ich auch ignorieren.
Ich meine gelesen zu haben, dass dieses Problem inzwischen behoben wurde… Aber M$ kann viel behaupten wenn der Tag lang ist…
So, wie ich das verstanden habe, wollte Microsoft das Problem mit dem Edge ursprünglich nicht lösen, hat es dann wegen massiver Proteste dann angeblich doch getan.
Wozu das gut sein sollte, alle Passwörter vorzuladen und unverschlüsselt im RAM vorzuhalten, erschließt sich mir nicht. Ich finde für das Verhalten keinen Grund.
Und IMHO macht das kein anderer Browser oder Passwortmanager.
Und die Passwörter standen ja nicht nur im RAM im Klartext, sondern auch auf der Festplatte in der Systemdatei Hyberfil.sys, wenn jemand bei geöffnetem Browser den PC in den Ruhezustand schickt.
Denn in der Hyberfil.sys wird in dem Fall der RAM-Inhalt gespeichert.
Ach, du auch? Wegen 7zip und Curl hatte ich auch Tickets geöffnet und ich kann bestätigen, dass diese Leute immer erstmal abblocken, abwiegeln, relativieren (it's not a bug, it's a feature), Nachweise verlangen, obwohl die Lücken samst Exploit öffentlich beschrieben sind. Aber andere Hersteller sind bei Supply-Chain leider auch nicht besser, immer wieder finden wir veraltete Java, Tomcat, Erlang, Log4j, 7Zip, GNU-comandline-Tools als Windows-Binaries und vieles mehr in Software aller Art und diese Hersteller, das reicht von großen bekannten Hardware-Herstellerm mit ihren Treibern, Tools, Management-Werkzeugen und allem möglichen über Sicherheits-Analyse-Monitoring-Tools bis hin zu diverser Branchen-Software und auch Opensource-Tools, wo solche Sachen meistens undokumentiert mitgeliefert werden. Der krasseste Fall den ich in den letzten 2 Jahren zufällig entdeckt habe, war eine Zeituhr-Software über die unsere Leute sich per Karte an und abmelden, wo ein 12 Jahre alter Tomcat als Java-Version mit 9 Jahre alter Oracle-Java-Laufzeitumgebung drin versteckt war, und das auch noch umbenannt (java.exe -> runtime.exe), so dass nicht mal eine Suche nach Prozessname nicht erfolgreich war. Im Java-Code des Tomcat steckte ein allzeit bekanntes Root-Passwort für den Webserver im Klartext und Oracle ist neben den ganzen CVEs auch lizenztechnisch ein Problem. Am schönsten sind dann integrierte Drittsoftware, wo im Installationspfad dann noch die jeweilige Versionsnummer drin steckt, wo dann an dutzenden Stellen in der Registry oder in XML- oder Ini- oder sonstigen Configfiles noch herumoperiert werden muss, um die neue Version zum Laufen zu bekommen, weil der Hersteller einen automatischen Updater nicht zeitnah zur Verfügung stellen kann.
Microsoft unternimmt seit Jahren nichts um seine Systeme auf ein vernünftiges Sicherheitsniveau zu heben. jetzt auf einen Forscher loszugehen ist eine Frechheit. Alle hier die das Verhalten des Forschers fragwürdig ansehen oder gar drohen, sollten sich lieber fragen warum sie rechtlich nichts gehen Microsoft wegen dessen fahrlässig löchrigen Betriebssystem unternehmen. Das viele Angriffe in der Vergangenheit ermöglicht hat. mit teilweise krassen Schäden…
Diesen ersten Satz mag ich nicht unterschreiben, die Zahl der Sicherheitsupdates ist ja monatlich sehr lang. Aber die Softwarebasis ist riesengroß und niemand findet alle Sicherheitslücken und Programmfehler (selbst ein simples "Hello World" in C ist fehlerhaft!). Aber mit gemeldeten Sicherheitslücken sollte man schon besser umgehen, als hier geschehen.
Eventuell würde es ja helfen, diesen Flickenteppich an Code für Windows mal zu durchforsten und auf den neuesten Stand zu bringen!
Aber nee, sie müssen dieser Resterampe ja andauernd neuen Code hinzufügen,
und das auch noch von KI machen lassen, weil in dem Laden keiner mehr Ahnung vom Programmieren hat!
Ich glaube nicht, dass da keiner mehr Ahnung vom Programmieren hat. Aber die Codebasis ist einfach zu groß geworden und die Teams die daran arbeiten zu klein, der Code komplex, Abhängigkeiten zu anderen Bereichen riesengroß, Fluktuation gibts sicher auch, unzurechend dokumentierte Teile an die sich niemand ran traut sicher auch, und man weiß ja auch dass bei MS die linmke Hand öfters auch mal was tut was die rechte Hand nicht weiß, was aber bei solch riesigen Firmen nicht zu verhindern ist. Das ist aber bestimmt nicht nur dort so, vor Monaten hatte ich von einer "issue" in Apparmor gelesen, wo man seit Monaten schon dran ist und sich nicht traut, die CVE-Nummern zu veröffentlichen und aber lauter kleine Changes still und leise im jeweils aktuellen Kernel veröffentlichte. Gerüchteweise macht(e) man das so, weil der Code recht fragile ist und Korrekturen sehr schnell in einem Kompatiblitätsproblem münden würden, vor allem zwischen verschiedenen Distributionen, und wenn man die "richtigen" Leute per veröffentlichter CVEs drauf stumpen würde, dass es dann in einer Katastrophe geendet wäre, weil man überhastig nicht sorgfältig genug getestete Änderungen rausgegeben hätte. Frag mich aber jetzt nicht mehr auf welchem Blog ich davon las, hier aber jedenfalls nicht. Ob das schon abgeschlossen ist, habe ich nicht weiter verfolgt.
Ach, heute wollte ich das mit dem Edge-PW-Manager ja noch mal testen, bin aber nicht dazu gekommen.
Hi Froschkönig
Mein Kommentar war ja auch nur so ein Abriss!
Du hast es halt genauer und ausführlicher beschrieben!
Das Resultat ist und bleibt aber doch unterm Strich das Gleiche!
Windows 11 ist ein Sammelsurium von Code, das kein Schwein mehr überblickt.
Resultat, ein Haufen Schrott, der noch irgendwie funktioniert.
Und dann wird als neuer Code hinzugefügt, wo sie gar nicht wissen, ob und wenn ja, dieser mit dem alten Code interagiert.
Wenn deren Fokus nun auf KI und Cloud basiert, sollten sie Windows beerdigen, ein "SockelBS" aufsetzen, damit all diese Dienste genutzt werden können.
Ist erst mal scherzhaft, aber spart am Ende Geld.
Resultat, ein Haufen Schrott, wie jedes andere Betriebssystem auch, das mehr als 64 Kilobytes braucht!
Ein Haufen Schrott ist es vor allem weil man ein OS (das hat lediglich die Grundfunktionen für das Funktionieren eines PC zu Verfügung zu stellen) zur eierlegenden Wollmilchsau aufgebläht hat! Bloatware war mal verpönt, heute gehört sie zum guten Ton. ;-((
sie verstehen es einfach nicht, siehe
https://www.huntress.com/blog/dmsa-ouroboros-credential-extraction-windows-server-2025
Naja, das "CreateChild delegation on an OU" ist Bad Practice in einem AD.
Das sollte kein User-Account haben!
Man könnte sogar sagen, das es eine Fehlkonfiguration des ADs ist.
Diverse Tools wie z.B. PingCastle meckern sogar, wenn dieses Attribut bei einem Useraccount gesetzt ist.
Wenn man das Attribut also bei allen Useraccounts entfernt, dann funktioniert dieser Angriff nicht mehr.
Wer so etwas veröffentlicht, muss mit den Konsequenzen leben und das kann "seine Existenz Ad-hoc" dauerhaft zerstören.
Soll er es für sich behalten, damit dann andere Akteure das benutzen um Schaden anzurichten? Geh davon aus, dass er nicht der einzige sein wird, der diese Lücken gefunden hat, das werden deutlich mehr Leute gewesen sein. Er war nur derjenige, der sie erst MS gemeldet hat und sie dann veröffentlicht hat, nachdem MS sich so angestellt hat.
Äh, nein, so sollte es nicht sein!
Ja, es wäre für ihn besser gewesen, er hätte "so etwas" im Darknet verkauft!
Mutmassliche Backdoors der "Guten" da irgendwo zu verkaufen, könnte recht schnell recht fatale Konsequenzen haben. Dann doch lieber in der Öffentlichkeit gehen damit.
Hätte ich den Sarkasmus extra markieren sollen?
Ein "gast" versteht Dich bei sowas wortwörtlich, daher ist eine reale Einordnung kein Schaden.
Unterm Strich ist das ein Gezanke zwischen einem abgehalfterten Unternehmen und einem kleinen Selbstdarsteller mit Computerkenntnissen. Beides, womit man möglichst wenig zu tun haben will. Muss man aber, weil die Folgen alle Windowsnutzer betreffen. Beide Seiten je 'ne Heftzwecke pro Windows-User-Arschbacke, beider Seiten Gebaren so überflüssig wie ein Kropf.
Das Lustige dabei ist, der "kleine Selbstdarsteller mit Computerkenntnissen" hat mehr Ahnung von Windows als 99.9% der Angestellten des "abgehalfterten Unternehmens".
Wahrscheinlich ist die Erklärung für Microsofts Verhalten relativ einfach, es geht um Statistik und Bonuszahlungen.
Je weniger Bugs offiziell gemeldet werden, desto besser die Arbeit der Entwickler, desto weniger Kosten werden verursacht, desto höher die Bonuszahlungen am Ende des Jahres. Wahrscheinlich gibt es interne Vorgaben die Kosten des Bug Bounty Programms zu reduzieren, gedacht aber wohl durch verbesserte Arbeit und Qualitätskontrolle und nicht durch das schöndrehen der Statistik.
Das würde erklären warum gemeldete Bugs in der Entwicklung lieber unter der Hand gefixt werden, anstatt diese offiziell als Bug anzuerkennen. Wenn das aber statt die Ausnahme die Regel wird fällt es irgendwann auf.
Statt also die Anwälte aufzuhetzen, sollte MS mal in seinen eigenen Reihen prüfen was da vor geht und was die Gründe dafür sind.
Microsoft hat rund 228.000 Mitarbeiter weltweit. Wie in jedem großen Unternehmen gibt es auch dort unterschiedliche Sichtweisen, Entscheidungen und Abläufe. Mit zunehmender Größe werden Zuständigkeiten und Abstimmungen oft komplexer. Daher ist es durchaus möglich, dass ein Mitarbeiter in einer Situation aus seiner Perspektive angemessen gehandelt hat, dies jedoch nicht vollständig den Erwartungen seines Vorgesetzten entsprach. Da wir den konkreten Vorgang nicht im Detail kennen, wäre alles Weitere letztlich Spekulation – und Spekulation ist selten eine verlässliche Grundlage für eine faire Beurteilung.
Ein anderes Erklärungsmodell, nah an VT ;): Die Exploits sind nur so halb Versehen oder schon von US-Geheimdiensten identifiziert worden, so dass Microsoft die gar nicht einfach schließen kann. Sie könnten dem Publikum dann aber auch nicht sagen, worum es da wirklich geht.
Immer erst, wenn das die Meldekette rauf und wieder runter ist, und die entsprechende Abteilung bestätigt, dass der Verlust eines Exploits gegenüber dem noch größeren Schaden hinnehmbar ist, wäre Microsoft in der Lage, das auch zu fixen.
Es mag sein, dass solche Überlegungen Nightmare Eclipse zur Veröffentlichung bewogen hat – und warum Microsoft so arg pissig darauf reagiert hat.
Mit solchen Vorgängen im Hintergrund machen die Vorgänge im Vordergrund viel mehr Sinn, finde ich.
Und wenn uns Snowden was gelehrt hat, dann das Undenkbare zu denken.
Microsoft nicht mehr zu verwenden wäre eigentlich ein Notwehrakt der nationalen Sicherheit – und auch da sind uns die anderen Europäer weit voraus. Linux beim italienischen Militär ist keine Garantie für Geheimhaltung – aber eben auch keine automatische Eintrittskarte für die US-Dienste.
Ich halte das für durchaus realistisch.
Eine Umstellung auf GNU/Linux ist large scale gar nicht möglich, weil es dafür nicht genügend Fachkundige gibt. Einem Windows Fanboi GNU/Linux beizubringen ist ein nahezu aussichtsloses Unterfangen.
Angestellte haben sich zu fügen. Wenn der Arbeitgeber Linux einführt haben das die Mitarbeiter zu nutzen. Das ist kein Privat-PC sondern ein Firmen-PC und die Anwendungen haben genutzt zu werden.
Darum geht es gar nicht.
Die Leute in der IT-Abteilung, die den Kram zu administrieren haben, müssen sich damit auskennen.
Und da fehlen massiv Leute.
Auch schon bei Windows.
Ja, alles wird digitalisiert, die Systeme werden immer komplexer und unübersichtlicher – und kaum jemand schaut noch durch. Als kleinerer Firmenkunde kann man schon froh sein, wenn der Support schon nach ein paar Tagen antwortet oder der Zuständige beim Systemhaus nicht krank ist.
| Es gibt meines Wissens keine Gesetze, die eine "verantwortungsvolle Offenlegung"
| erzwingen.
Zum Problem werden kann hier in Deutschland aber der Paragraph 202c StGB. Die Staatsanwaltschaft könnte ihm Beihilfe zur Vorbereitung von Straftaten oder Beihilfe zur Begehung von Straftaten vorwerfen.
Ich bin mit Sicherheit kein Freund von Microsoft, aber die Lage ist — insbesondere in Deutschland — ein wenig kompliziert und riskant. Er spielt jedenfalls mit dem Feuer.
Ich plane (wie oft habe ich das heute schon geschrieben …) die Nacht noch eine Fortsetzung – gibt neue Entwicklungen.
… die bei Golem schon nachlesbar sind. :)
Da hat jemand wohl gedacht:
Patch später, streiten früher, eine mutige Priorisierung. Eigentlich ist das kein Schuss nach hinten, sondern ein vollständiges Windows Update.
Oder wie die FDP sagen würde: Streiten first, patchen second.