Ein Sicherheitsforscher mit dem Alias Nightmare Eclipse (oder Chaotic Eclipse) veröffentlichte in den letzten 2 Monaten mehrere 0-Day-Schwachstellen mit Exploits. Nachdem das GitHub-Konto des Sicherheitsforschers deaktiviert wurde, zog er zu GitLab um. Das Konto wurde nun auch deaktiviert. Microsoft hat sich zudem nun zum Fall geäußert, und gießt in meinen Augen weiter Öl ins Feuer. Security by Obscurity scheint die Devise, so mein Eindruck.
Rückblick die Nightmare Eclipse-Veröffentlichungen
Chaotic Eclipse oder Nightmare Eclipse ist ein Sicherheitsforscher, der Microsoft in den letzten Wochen durch Offenlegung ungepatchter Schwachstellen vorführt. Los ging es mit BlueHammer, einer Schwachstelle im Defender. Der Exploit des Sicherheitsforschers zielt auf den internen Mechanismus zur Signaturaktualisierung des in Windows enthaltenen Microsoft Defender ab, um eine lokale Rechteausweitung zu erreichen.
Danach folgten 0-day-Schwachstellen mit Namen wie RedSun, YellowKey, GreenPlasma, etc., siehe Artikellinks am Beitragsende. Und jedes Mal wurde gleich ein Proof of Concept (PoC) mit veröffentlicht. Hintergrund ist wohl, dass der Sicherheitsforscher bei einer gemeldeten Schwachstelle bei Microsoft "abgeblitzt ist" – deren Sicherheitsteam meinte, es sei keine Schwachstelle. Er fühlt sich wohl auch um die Bug-Bounty-Prämie geprellt.
Die Situation eskaliert; GitLab-Konto deaktiviert
Nach der letzten veröffentlichten Schwachstelle (YellowKey) veröffentlichte Microsoft einen Workaround zum Abschwächen des Problems (siehe Windows-Bitlocker-Splitter: Patches, YellowKeys-CVE, Mitigations und Ungereimtheiten – Teil 1). Gleichzeitig kritisiert Redmond Nightmare Eclipse öffentlich und warf ihm vor, durch die Veröffentlichung eines öffentlichen Proof-of-Concept gegen bewährte Verfahren zum Melden von Sicherheitslücken verstoßen zu haben. Konkret geht es um die Passage:
Microsoft is aware of a security feature bypass vulnerability in Windows publicly referred to as "YellowKey". The proof of concept for this vulnerability has been made public violating coordinated vulnerability best practices.
Darüber hinaus wurde das GitHub-Konto von Nightmare Eclipse zum 23. Mai 2026 geschlossen (GitHub gehört ja Microsoft). Der Sicherheitsforscher hat darauf eine gepfefferte Stellungnahme veröffentlichte. Er warf Microsoft vor, "Öl ins Feuer zu gießen" und die Situation zu eskalieren. Gleichzeitig eröffnete die Person ein neues Konto auf GitLab, wo dann die Exploits beschrieben wurden. Ich hatte im Blog-Beitrag Zoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse auf diese Entwicklung hingewiesen.
Vorgestern merkte ein Blog-Leser in diesem Kommentar an, dass das GitLab-Konto von Nightmare Eclipse zum 26. Mai 2026 ebenfalls gesperrt wurde. Obiger Tweet greift das Ganze entsprechend auf. Kann man so machen, ob es klug ist, steht auf einem anderen Blatt – und die Schwachstellen gehen davon ja nicht weg. Cyber Security News hat in diesem Artikel noch einige Stimmen eingefangen – eine Stimme meinte "Zeit, mehr auf dezentrale Strukturen zu setzen" und den Abschied von den Monokulturen einzuleiten.
Microsoft nimmt Stellung
Ich hatte den obigen Sachverhalt und die Entwicklung mitbekommen, wollte aber keinen separaten Blog-Beitrag drüber machen (zumal die Kontensperre ja in einem Leserkommentar angesprochen wurde).
Heute morgen ist mir dann obigen Tweet untergekommen. Microsoft hat sich dazu verstiegen, am 27. Mai 2026 den Beitrag A shared responsibility: Protecting customers through Coordinated Vulnerability Disclosure zu publizieren. Der erneute Vorwurf lautet, dass die als RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma und MiniPlasma bekannten Sicherheitslücken nicht verantwortungsbewusst offengelegt worden seien.
Es heißt, dass man diese Vorgehensweisen sowie jegliche Offenlegung außerhalb einer ordnungsgemäßen Abstimmung weiterhin entschieden ablehne. Unkoordinierte Offenlegungen, die Proof-of-Concept-Code für ungepatchte Sicherheitslücken in die Hände von Angreifern geben, seien niemals zu rechtfertigen und hätten reale Konsequenzen.
Dann folgt die Drohung, dass Microsofts Digital Crimes Unit weiterhin Verfahren gegen diese Akteure und diejenigen einleiten werden, die ihre kriminellen Aktivitäten ermöglichen – und dabei bei Bedarf mit Strafverfolgungsbehörden auf der ganzen Welt zusammenarbeiten. Und das nach der Vorgeschichte, die ich ja skizziert habe! Ein kluger Kopf bei Microsoft hätte vor 6 Wochen reagieren können und müssen …
Einige Gedanken dazu
Hätten die Leute bei Microsoft mal für eine Minute nachgedacht, deeskaliert und geschrieben "Ok, ist doof gelaufen, uns ist bei der Einschätzung von BlueHammer ein Fehler unterlaufen. Wir laden Nightmare Eclipse ein, verantwortungsvolle Offenlegungen, auch im Rahmen eines Bug Bounty-Programms, an uns zu melden", wäre vermutlich viel Luft raus. Microsoft ist ein Unternehmen, was pro Quartal Milliarden Gewinn macht und wie ein Kleinkrämer um Bug Bounty-Prämien feilscht. Fehler können (auch beim Microsoft Security Response Team, MSRT) passieren. Spätestens beim BlueHammer-Exploit hätte Redmond reagieren müssen, auf den Sicherheitsforscher zugehen und die Situation deeskalieren sollen. Zumindest hätte Microsoft dann den Schwarzen Peter nicht mehr.
Aber ich vergesse immer wieder, dass Microsoft ein Großunternehmen ist. Das erinnert mich an meinen letzten Arbeitgeber, den ich 1993 verlassen habe. 90 % meiner Arbeitszeit habe ich darauf verwandt, damit meine Mitarbeiter, trotz der vielen internen Regularien und Bürokratie, arbeitsfähig waren.
Statt zu deeskalieren, holt Microsoft die große Keule raus und droht, so lese ich die Stellungnahme aus Redmond, mit Strafverfolgung. Kann man so machen, aber "mehr Öl kannst Du nicht mehr ins Feuer gießen". Mich erinnert das Ganze an den Modern Solutions Fall (ist in voller Glorie im Beitrag Modern Solutions ist wohl insolvent verlinkt) und den deutschen Hackerparagraphen.
Jetzt könnte man noch postulieren: "Ok, Nightmare Eclipse ist schon eine schräge Type, und will Microsoft am Zeug flicken". Aber ich war hier über Jahre beim Mail-Verkehr auf cc, wenn Stefan Kanthak Probleme an das Microsoft Security Response Team (MSRT) gemeldet hat. Bei manchen MSRT-Antworten konntest Du dich nur an den Kopf fassen und ich habe Kanthak insgeheim ob seiner Geduld bewundert, zu antworten und auf die Denkfehler der Sicherheitsexperten einzugehen. Aus dieser Erfahrung kann ich mir gut vorstellen, dass es bei Nightmare Eclipse ähnlich abgelaufen ist.
Ich stelle an dieser Stelle daher mal die Gretchenfrage: Kann das Microsoft Eco-System noch kaputter werden? Die Schwachstellen sind ja nicht weg, indem ich jemanden, der genauer hin schaut, mundtot mache und diesem Strafverfolger auf den Hals hetze (wobei nicht mal gesagt ist, dass die Offenlegung strafbar ist).
In meinen Augen hat Microsoft der Sicherheitskultur mit dem oben skizzierten Verhalten einen Bärendienst erwiesen. Wer hindert den Entdecker einer Schwachstelle denn, deren Beschreibung samt Proof of Concept (PoC) in Untergrundforen zu veröffentlichen? Wir lesen täglich, wie viele Schwachstellen per KI gerade aufgedeckt werden. Und im Open Source-Bereich werden regelmäßig 0-day-Schwachstellen bekannt, die dann zeitnah gepatcht werden. Dort habe ich bisher noch nichts wie die oben erwähnte Verlautbarung von Microsoft vernommen. Dort herrscht imho die Einschätzung vor: "Eine bekannt gewordene Schwachstelle können wir schnellstmöglich beheben, immer noch besser, als das die nicht öffentlich bleibt und wird das erst mitbekommen, wenn diese ausgenutzt wird". Hier ist höchstens AI-Slop das Problem, also die Menge der per AI vermeintlich gefundenen Schwachstellen, die am Ende des Tages aber keine ausnutzbaren Schwachstellen sind.
Keine Ahnung, wie dieser Clinch zwischen Microsoft und Nightmare Eclipse ausgeht. Aus meiner Sicht ist das Microsoft Software-System schlicht kaputt und jeder tut gut daran, die Angriffsfläche zu reduzieren und überall, wo es möglich ist, auf Alternativen zu setzen. Ich muss mal schauen, ob ich die Tage Zeit finde, noch zwei Geschichten aus dem Nähkästchen heraus zu kramen und hier im Blog einzustellen.
Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams
Nightmare Eclipse veröffentlicht MiniPlasma-Schwachstelle CVE-2020-17103
Zoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse
MVP: 2013 – 2016
Es wird immer wahrscheinlicher, dass der Forscher hier eine/mehrere Backdoor(s) entdeckt hat, die von den "Guten" aktiv genutzt wird/werden und für die erst Alternativen oder verstecktere Auslösewege entwickelt und eingebaut werden müssen. Dann wäre das aktuelle Verhalten von MS überall um das Problem herum sehr viel leichter erklärbar.
Frei nach einem bekannten Modeschöpfer:
"Wer sich auf MS verlässt, hat die Kontrolle über sein Leben verloren.
Bei Microsoft ist es wie überall (ob große oder kleine Firmen): Es sitzen überall nur noch kleinkarierte, kleingeistige Egomanen, die jede noch so sachliche und selbst behutsam vorgebrachte Kritik persönlich nehmen und sich in ihrer Schwanzlänge – pardon: in ihrem Ego – gekränkt und verletzt fühlen. Und anstatt in der bzw. für die Sache zu entscheiden (hier: an der Fehlerbehebung arbeiten), wird der "Bote geköpft".
Daran krankt mittlerweile fast die gesamte Wirtschaft, Politik und auch die Gesellschaft.
Sicherlich hat MS da einiges verbockt aber hätte "Nightmare Eclipse" nicht einfach trotzdem MS über die Lücke kurz informieren können, mit dem Hinweis dass, die ohne wenn und aber, nach 90 Tagen veröffentlich wird, egal was MS antwortet, egal ob die es bis dahin geschafft haben (oder überhaupt wollten) die Lücke zu patchen?
Es gibt kein "müssen" und erst Recht keine 90 Tage, die irgendwo festgeschrieben sind (imho). Es war bisher Usus, dass White Hat-Sicherheitsforscher so vorgingen. Wenn Du aber eine Schwachstelle an das MSRT meldest, dann aber mitgeteilt bekommst, dass es keine Schwachstelle sei und Du auch kein Bug-Bounty bekommst, wird es schwierig. Nightmare Eclipse hat dann BlueHammer offen gelegt. Spätestens da hätte bei Microsoft jemand die Reißleine ziehen und deeskalieren müssen. Eine kurze Meldung: "Sorry, wir haben uns geirrt, wir gewähren die Bug Bounty-Prämie, halte mit uns weiter Kontakt", und das Thema wäre imho vom Tisch gewesen.
Nochmals: In meinen Augen brauchen Firmen und auch Open Source-Entwickler alle Ressourcen/Kanäle, die sie bezüglich Offenlegung bekommen können. Da ist ein solches Gehabe, wie Microsoft gerade an den Tag legt, nicht nur dämlich, sondern sau dämlich – Microsoft hat imho ziemlich viele Leichen im Keller. Ich kann mir das Verhalten nur durch die Monopolstellung eines Großunternehmens erklären.
Bezüglich der "90-Tage Frist" habe ich letztens einen Artikel auf einem Blog gelesen, dass diese freiwillige Regelung dank KI faktisch tot ist. https://blog.himanshuanand.com/2026/05/the-90-day-disclosure-policy-is-dead/
Man kann halt nicht mehr davon ausgehen, in dem Zeitraum der einzige zu sein, der eine Lücke findet.
Diese Einschätzung habe ich ebenfalls vernommen und teile diese.
Ist halt so, das MicroSlop meint: *Wir sind die die Größten, die Besten.* Wir machen *KEINE* Fehler, Das sind Features.
Aber Hochmut kommt vor dem Fall. Und möglicherweise kommt Nightmare Eclipse nun mit (mehreren) eklatante Lücken, um die Ecken, welche MicroSlop das Genick brechen.
*****************************************
mundtot mache und diesem Strafverfolger auf den Hals hetze (wobei nicht mal gesagt ist, dass die Offenlegung strafbar ist).
*****************************************
in den USA? Immer! Da zieht ganz einfach "Gefährdung der nationalen Sicherheit"… da kriegst du jeden dran wenn du willst. Die Konsequenzen können da auch existenzvernichtend sein… bis hin zu Guantanamo.
Wenn dort jetzt schon KI- bzw. Rechenzentren-Gegner Extremisten sind:
https://www.telepolis.de/article/Wer-KI-kritisiert-ist-jetzt-Extremist-11308872.html
Es gab schon immer autokratische/diktatorische/dumme Menschen, aber noch nie so saudumme in diesem Ausmaß seit Beginn der 2000er. Eigentlich hat es diese Spezies mehr als verdient, endlich mit Stumpf und Stiel (Stil hat sie ja nicht mehr) unterzugehen…
Wenn BlueHammer lt. MSRT keine Schwachstelle ist, dann ist diese Lücke per Design vorhanden und dann muss man das Design der Software ändern.
Microsoft geht imho ziemlich nachlässig mit Sicherheitslücken um, wie man auch bei Softwarekomponenten von Drittherstellern, die in Windows verwendet werden, sieht.
Die 7Z.dll im Defender ist nur ein Beispiel dafür.
Die stammt vom August 2025, inzwischen gabs schon 2 Sicherheitsupdates vom Entwickler von 7Zip. Nur Microsoft schläft tief und fest und übernimmt die nicht.
Auch andere Drittanbieterkomponenten sind nicht aktuell.
Beispielsweise die curl.exe ist auch uralt.
In Windows steckt die 8.13 (kam im April 2025), aktuell ist die 8.20.
Es gibt satte 23 bekannte Sicherheitslücken in der 8.13.
Und in der 8.20 wurden gegenüber der 8.19 auch schon 8 Sicherheitslücken geschlossen.
Komponenten von Drittanbietern gehören ebenso am Patchday gepatcht, nicht nur alle Jubeljahre mal.
Dazu passt auch der Umgang von Microsoft mit Nightmare Eclipse.
Kein Wunder, das der sauer ist auf Microsoft.
Es ist jetzt die Pflicht von Microsoft, und nur von Microsoft, das Problem zu deeskalieren und auf Nightmare Eclipse zuzugehen.