BlackHat 2026 in Vegas: Tritt das MSRC gerade in das nächste Fettnäpfchen?

Veröffentlicht am 6. Juni 2026 von Günter Born

Stop - PixabayNach der öffentlich ausgetragenen Auseinandersetzung zwischen dem Microsoft Security Response Center (MSRC) und einem Sicherheitsforscher mit dem Alias Nightmare Eclipse hat Microsoft es sich mit Sicherheitscommunity ziemlich verscherzt. Man versucht zwar nun wenigstens partiell zurückzurudern. Aber für mich sieht es so aus, dass ein Team-Mitglied des MSRC im Vorfeld der BlackHat 2026-Sicherheitskonferenz in Las Vegas zielsicher in das nächste Fettnäpfchen getreten ist.

Passwörter im Active Directory mit PowerShell verwalten. eBook herunterladen » (Sponsored by IT Pro)

Es gibt ein Bonmot aus den 80 Jahren, dass ein Kollege seinerzeit mal die Runde warf: Er fragte "Was ist ein Bangemann?" und gab die selbst die Antwort "Der Abstand zwischen zwei Fettnäpfchen". Für die Youngster unter den Lesern die Aufklärung: Martin Bangemann (FDP) war in den 1980er und 90er Jahren ein Schwergewicht der deutschen FDP und EU-Politik. Der Begriff "Bangemann-Fettnäpfchen" steht sinnbildlich für seine Neigung, in seiner aktiven Zeit als Wirtschaftsminister und EU-Kommissar mit unbedachten, oft polternden Aussagen mediale Fauxpas zu begehen. Das Ganze fiel mir spontan bei der aktuellen Geschichte ein.

Rückblick auf den Nightmare Eclipse-Zoff

Nightmare Eclipse ist ein Sicherheitsforscher, der seit März 2026 sechs ungepatchte Schwachstellen in Microsoft-Produkten mit Proof of Concept veröffentlicht hat, weil er bei Microsoft im MSRC kein Gehör fand und mutmaßlich auch keine Bug Bounty-Prämie bekam. Der Fall eskalierte, weil Microsoft unter Zugzwang kam, und teilweise seit Jahren ungepatchte Schwachstellen auf die Schnelle nachbessern musste. In Folge wurden Nightmare Eclipse seine Konten bei GitHub (gehört zu Microsoft) und GitLab gesperrt.

Und Microsoft grätscht dem Sicherheitsforscher ziemlich hinterher. Er wurde öffentlich in den Senkel gestellt, dass er durch die unkoordinierte Veröffentlichung Microsoft Kunden gefährde – und es gibt wohl eine juristische Auseinandersetzung, die mutmaßlich vor Gericht geht. Zu den Details kann ich wenig sagen, da ich die Konversation zwischen dem MSRC und Nightmare Eclipse nicht kenne. Die Entwicklung ist aber in den am Beitragsende verlinkten Blog-Beiträgen nachlesbar.

Zum Eklat kam es, als das MSRC am späten Pfingstsonntag eine Erklärung veröffentlichte, in der mal Personen, die 0-days unkoordiniert offen legt, durch die Blume mit Strafverfolgung drohte (siehe Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung). Nach einem Aufschrei der Sicherheits-Community, die sich kriminalisiert sah und in denen einige Personen ähnliche Erfahrungen bei der Offenlegung von Schwachstellen wie Nightmare Eclipse öffentlich schilderten (die fühlten sich über den Tisch gezogen), versuchte Microsoft zu deeskalieren. Ich hatte im Beitrag Neues im Nightmare Eclipse-Clash: Microsoft rudert ein wenig zurück einiges dazu geschrieben.

Schnell das nächste Fettnäpfchen mitnehmen

Angesichts des obigen Sachverhalts gilt das Verhältnis der meisten Sicherheitsforscher zu Microsofts MSRC als "zerrüttet". Im Beitrag GitHub-Drama 1: Sicherheitsforscher veröffentlicht 0-Day-Schwachstelle hatte ich bereits berichtet, dass ein weiterer Sicherheitsforscher genervt eine 0-Day-Schwachstelle in GitHub öffentlich machte. Er weigert sich, mit dem MSRC zu kommunizieren, nachdem er sozusagen einmal über den Tisch gezogen wurde.

Nun findet vom 1. bis 6. August 2026 die Black Hat USA 2026-Konferenz im Mandalay Bay Convention Center in Las Vegas, Nevada, statt. Das ist die führende  US-Veranstaltung für Cybersicherheit für dieses Jahr, in der auch viele Vorträge gehalten werden. Die Tage sind mir dann Tweets auf X untergekommen, wo Sicherheitsforscherinnen und Sicherheitsforscher eine Nachricht des MSRC gepostet haben.

MSRC Post

Beim ersten Post, der mir unterkam, habe ich erst gar nicht richtig gerafft, was abgeht. Dort beschwerte sich jemand – übersetztes Zitat:

Der Typ ist echt ätzend. Bei meinem ersten Pwn2Own hat er mich immer wieder gefragt, ob das meine erste CVE sei. Ich habe verneint, aber er hat vor allen Leuten darauf bestanden, dass er meinen Namen noch nie in den Credits gesehen habe. Es stellte sich heraus, dass er mich mit einer anderen Frau aus der Infosec verwechselt hatte. Die ist übrigens für die Sicherheitsforschung beim MSRC zuständig.

Es war SO demütigend, dass ich seinem Chef erzählt habe, was passiert ist. Er musste sich bei mir entschuldigen … aber es war furchtbar. Seine Ausrede? Er sei "nicht technisch versiert" und habe daher nicht verstanden, wovon er sprach. Warum zum Teufel arbeitet er dann für das MSRC?

Mit obigem Tweet von Dr. Wesley McGrew wurde mir dann der Kontext plötzlich klar. Der Mitarbeiter des MSRC hat im Auftrag Microsofts (die sind wohl an der Konferenzausrichtung beteiligt) alle Vortragenden der BlackHat 2026 in Las Vegas angeschrieben. Er gratuliert und fragt, ob der Vortragende gedenkt, irgend etwas zu "MSRC Cases" öffentlich zu sagen. Falls ja, möge der Betreffende den Case beim MSRC oder den CVE mitteilen.

Dr. Wesley McGrew schreibt in obigem Tweet, dass das MSRC von Microsoft nur ein begrenztes Zeitfenster habe, um die Community der Sicherheitsforscher und Vortragenden vor der Veranstaltung in Las Vegas (BlackHat 2026) zu beeindrucken, bevor es für Microsoft richtig unangenehm werde.

Automatisierte E-Mails an alle Referenten, in denen sie nach Schwachstellen in MS-Produkten gefragt werden, würden dafür nicht ausreichen. Als regelmäßiger Referent meint McGrew: "Wenn ich einen Vortrag halte, in dem ich eine Schwachstelle in Ihrem Produkt anspreche, und Sie davon noch nichts wissen, bevor die Zusammenfassung online ist, dann liegt das daran, dass ich wirklich nicht das Gefühl hatte, dass ich Spaß daran hätte, mit Ihnen darüber zu diskutieren."

Ist eine nette Umschreibung für "Wenn ihr euren Softladen nicht im Griff und keinen Plan habt, was auf der BlackHat 2026 abgeht", liegt das nicht an den Sicherheitsforschern bzw. Vortragenden, sondern an eurem Saftladen. Die Tweets und Antworten, die ich so um diese Nachricht gesehen habe, waren nicht "sehr nett" in Bezug auf das MSRC und sprachen von einem neuen "Low". Spontan fiel mir dann "ein Bangemann" dazu ein – weiß auch nicht wieso.

Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams
Nightmare Eclipse veröffentlicht MiniPlasma-Schwachstelle CVE-2020-17103
Zoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse
Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung
Microsoft versus Nightmare Eclipse: Wir haben jetzt "Bitskrieg"
Neues im Nightmare Eclipse-Clash: Microsoft rudert ein wenig zurück

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.