Microsoft versucht nach seinem Blog-Post des MSRC-Teams, dass man eine unkoordinierte Offenlegung von Schwachstellen juristisch verfolge, und dem ausgelösten Shitsturm in der Community der Sicherheitsforscher etwas zurück zu rudern. Im Clinch mit dem Sicherheitsforscher Nightmare Eclipse gibt es aber wohl keine Entspannung.
Der eskalierte Konflikt und der Porzellanladen
Die Entwicklung des Clinchs zwischen dem Sicherheitsforscher mit dem Alias Nightmare Eclipse, der seit März 2026 sechs 0-Day-Schwachstellen mit Exploits in Microsoft-Produkten veröffentlichte, und Microsoft lässt sich in den am Beitragsende verlinkten Blog-Beiträgen nachlesen.
Vorige Woche hat Microsoft dann nochmals eine Stufe eskaliert. Erst wurde der Sicherheitsforscher auf den Plattformen GitHub und GitLab gebannt. Und dann verstieg das Team vom Microsoft Security Response Center sich in einem Blog-Beitrag A shared responsibility: Protecting customers through Coordinated Vulnerability Disclosure vom 27. Mai 2026 zur Drohung, dass Microsofts Digital Crimes Unit "weiterhin Verfahren gegen diese Akteure und diejenigen einleiten werde, die ihre kriminellen Aktivitäten ermöglichen" – und dabei bei Bedarf mit Strafverfolgungsbehörden auf der ganzen Welt zusammenzuarbeiten. Muss man so lesen, dass jeder, der 0-day-Schwachstellen veröffentlicht, von Microsoft über Strafverfolger bedroht wird.
Ich hatte im Beitrag Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung berichtet und geschrieben, dass es von Microsoft eigentlich kaum noch dämlicher gehe – der Elefant im Porzellanladen. Inzwischen gibt es eine Solidarisierung der Security-Szene mit dem Sicherheitsforscher, dem Microsoft-Mitarbeiter die "Vernichtung" angedroht haben (siehe meinen Beitrag Microsoft versus Nightmare Eclipse: Wir haben jetzt "Bitskrieg").
Vermeintliche Entspannung durch Microsoft
Nach dem die Sicherheits-Community sich nicht auf Microsofts Seite geschlagen, sondern mit dem Sicherheitsforscher solidarisiert hat, ist jemandem bei Microsoft wohl ein Licht aufgegangen, dass die Aktionen mit dem MSRT-Blog-Post nicht wirklich klug war.
In obigem Tweet vom 1. Juni 2026 versucht das Team vom Microsoft Security Response Center (MSRC) zumindest verbal zu deeskalieren. In den letzten Tagen habe Microsoft die Diskussionen rund um die koordinierte Offenlegung und die Beziehung zwischen Sicherheitsforschern und Anbietern aufmerksam verfolgt, heißt es. Man sei sich bewusst, dass diese Beziehung sowohl von entscheidender Bedeutung als auch mitunter fragil sei. Man schätze die Sicherheits-Community sehr und werde ihr Feedback auch weiterhin ernst nehmen.
Bei den Gebrüdern Grimm war das dann die Stelle im Märchen, wo der Wolf viel Kreide gefressen hat. Dann stellt der Microsoft-Autor des Posts auf X die Haltung in rechtlichen Angelegenheiten klar: Microsoft habe nicht die Absicht, rechtliche Schritte gegen Personen einzuleiten, die Sicherheitsforschung betreiben oder deren Ergebnisse veröffentlichen.
Aber wenn eine Person gegen das Gesetz verstößt und böswillige Aktivitäten ausübt, die Microsofts Kunden tatsächlichen Schaden zufügen, werden man gegebenenfalls mit den Strafverfolgungsbehörden zusammenarbeiten. Und dann heißt es weiter im O-Ton:
Wir wissen, wie viel Arbeit in der Erforschung und Meldung einer Sicherheitslücke steckt. Wir verpflichten uns, jede Interaktion mit Transparenz, klarer Kommunikation und Professionalität anzugehen. Wir glauben weiterhin fest an die koordinierte Offenlegung von Sicherheitslücken als Grundlage für den Schutz unserer Kunden und die Verbesserung unserer Produkte. Jedes Jahr bearbeiten wir eine große Anzahl von Sicherheitslückenmeldungen. Diese Zahl wächst weiter und wird mit dem Aufkommen KI-gestützter Forschung weiter zunehmen. Wir erkennen an, dass einige Interaktionen nicht den Erwartungen entsprochen haben, und arbeiten daran, daraus zu lernen.
Es ist zumindest das Eingeständnis im letzten Satz, dass es nicht immer optimal abgelaufen sei. Der Post endet mit der Aussage, dass die Gemeinschaft der Sicherheitsforscher eine entscheidende Rolle dabei spielt, Microsoft beim Schutz seiner Kunden zu unterstützen. Microsoft sei bestrebt, eine konstruktive und respektvolle Beziehung zu pflegen und gemeinsam zu wachsen, heißt es. Man sei sich bewusst, dass es angesichts der Natur dieser Arbeit gelegentlich zu Missverständnissen kommen kann. Man sei aber weiterhin bestrebt, in gutem Glauben zu handeln und allen Forschern eine respektvolle und professionelle Zusammenarbeit zu bieten, unabhängig von früheren Interaktionen.
Die Reaktionen der Sicherheits-Community
Mir ging sofort "hört die Schalmeienklänge" durch den Kopf, als ich diese Zeilen las. Wer die Antworten auf Microsofts Tweet liest, kommt, positiv ausgedrückt, zum Schluss, dass einige Leute "skeptisch bleiben" . Direkter ausgedrückt: Die sind angepisst und glauben kein Wort, was dort im Tweet verzapft wurde. Den Text haben Juristen und PR-Leute geschliffen, es kommt nicht aus der Praxis des MSRC-Teams. Andrew Dorman schreibt in einer Antwort:
My Idp instant Azure access research goes public tomorrow since you guys said it was "moderate risk/customer problem" don't worry I saved the videos so everyone can see the truth.
Und ergänzt:
Screwed my team out of a second CVE and instead created nobody. Used our 5 binary patches and sh UnDefend hardening as well. No credit on that one but used every bit of what my team developed for you. Kept us in develop since like April 20th and still called us duplicate.
Das hört sich nicht gar nicht nach Friede, Freude, Eierkuchen an, sondern nach einem ziemlich vergrätzten Sicherheitsforscher. Ein anderer Teilnehmer schrieb als Antwort "Leere Worte, ohne jegliche Bedeutung".
Markus Vervier schildert in diesem Tweet seine Erfahrungen mit dem MSRC. Die wenigen Male, bei denen er mit dem MSRC zu tun hatte, zeigten jedoch ein Muster: Jedes Gespräch und jede Interaktion habe immer auch eine politische und unternehmenskommunikative Komponente gehabt, viel ausgeprägter als bei jedem anderen der vielen Unternehmen, mit denen er im Laufe der Jahre zu tun hatte. Während bei anderen Anbietern die technischen Details und Auswirkungen immer an erster Stelle standen, hatte er das Gefühl, dass es bei seinen Interaktionen einen Filter gab, der die Kommunikation verzögerte. Er erhielt nicht einmal eine Benachrichtigung, wenn etwas behoben wurde. Hinzu kam, dass nie transparent war, wer sich tatsächlich mit den Schwachstellen befasste.
Seine finalen Worte: Er habe in den letzten Jahren auf Konferenzen einige Mitarbeiter des MSRC kennengelernt, und alle waren super nett und kompetent! Daraus lässt sich folgern: "Der Fisch stinkt vom Kopf her." Microsoft sollte den Prozess einfach an Leute übergeben, die ihn gut managen und als Unternehmen auf angemessene Weise zu ihren Fehlern stehen. Barbara Steisand at it's best. Kann man aber noch steigern.
Wenn selbst Statements ausgelagert werden …
Dem X-Kanal vx-underground ist hier aufgefallen, dass der Post am Sonntag-Abend 23:00 Uhr US-Ostküstenzeit veröffentlicht wurde und fragt: "Warum veröffentlicht der Typ um 23 Uhr an einem Sonntag langatmige Erklärungen und startet eine philosophische Diskussion über ethische Offenlegung? Geh ins Bett, Microsoft, du bist verdammt noch mal betrunken."
Sicherheitsforscher Will Dormann merkt hier an, dass es in Indien bereits "Montag Morgen" sei. Der Post scheint per VPN unter dem MSRC-Konto von Microsoft auf X abgesetzt worden zu sein, wie vx-underground hier analysiert. Sicherheitsforscher Robert Graham zerlegt hier die MSRC-Abhandlung über "responsible disclosure" und schreibt:
Vuln finders have no responsibility. Dropping 0day is responsible. Responsible companies don't have so many bugs. We let industry subvert the disclosure process. Instead of working to secure their code, vendors have tricked people into believing in the myth of "responsible disclosure", that vendors should be given time to fix and patch their bugs so they are never to blame for the bugs to begin with.
Diejenigen, die Schwachstellen aufdecken, tragen keine Verantwortung. Die Veröffentlichung von Zero-Day-Exploits ist das Problem, verantwortungsbewusste Unternehmen haben nicht so viele Fehler. Man habe zugelassen, dass die Industrie den Offenlegungsprozess untergräbt. Anstatt daran zu arbeiten, ihren Code sicher zu machen, hätten die Anbieter den Mythos der "verantwortungsvollen Offenlegung" in die Welt gesetzt – um den Anbietern Zeit zu gegeben, ihre Fehler zu beheben und zu patchen, damit sie von vornherein nie für die Fehler verantwortlich gemacht werden können.
Und die Realität hinter dem Vorhang?
Florian Roth, Forschungschef bei Nextron hatte zum 31. Mai 2025 in diesem Tweet einen Vorschlag gemacht, wie Microsoft deeskalieren könne. Hier sein Textvorschlag, ein wenig als Satire gemeint und mit dem Hinweis, Microsoft könne den als Vorlage übernehmen.
Der Text endete mit "This screenshot is fake", aber so könnte Microsoft abrüsten. Aber es war ja nur eine "Fake-Vorlage". Nun, wie es in der Praxis ausschaut, hat Nightmare Eclipse in einem Tweet ausgedrückt:
Microsoft ist laut Nightmare Eclipse weiter hinter ihm her und versucht das wohl auch juristisch vor Gericht durchzuziehen. Ich denke, das wird aufmerksam von der Szene beobachtet, die ihre Schlüsse ziehen dürfte. Da helfen dann auch keine geschliffenen Texte.
Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams
Nightmare Eclipse veröffentlicht MiniPlasma-Schwachstelle CVE-2020-17103
Zoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse
Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung
Microsoft versus Nightmare Eclipse: Wir haben jetzt "Bitskrieg"
MVP: 2013 – 2016
