![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Ein Sicherheitsforscher mit dem Alias Nightmare Eclipse (oder Chaotic Eclipse) ver\u00f6ffentlichte in den letzten 2 Monaten mehrere 0-Day-Schwachstellen mit Exploits. Nachdem das GitHub-Konto des Sicherheitsforschers deaktiviert wurde, zog er zu GitLab um. Das Konto wurde nun auch deaktiviert. Microsoft hat sich zudem nun zum Fall ge\u00e4u\u00dfert, und gie\u00dft in meinen Augen weiter \u00d6l ins Feuer. Security by Obscurity scheint die Devise, so mein Eindruck.<\/p>\n
<\/p>\n
Chaotic Eclipse oder Nightmare Eclipse ist ein Sicherheitsforscher, der Microsoft in den letzten Wochen durch Offenlegung ungepatchter Schwachstellen vorf\u00fchrt. Los ging es mit BlueHammer, einer Schwachstelle im Defender. Der Exploit des Sicherheitsforschers zielt auf den internen Mechanismus zur Signaturaktualisierung des in Windows enthaltenen Microsoft Defender ab, um eine lokale Rechteausweitung zu erreichen.<\/p>\n
Danach folgten 0-day-Schwachstellen mit Namen wie RedSun, YellowKey, GreenPlasma, etc., siehe Artikellinks am Beitragsende. Und jedes Mal wurde gleich ein Proof of Concept (PoC) mit ver\u00f6ffentlicht. Hintergrund ist wohl, dass der Sicherheitsforscher bei einer gemeldeten Schwachstelle bei Microsoft \"abgeblitzt ist\" \u2013 deren Sicherheitsteam meinte, es sei keine Schwachstelle. Er f\u00fchlt sich wohl auch um die Bug-Bounty-Pr\u00e4mie geprellt.<\/p>\n
Nach der letzten ver\u00f6ffentlichten Schwachstelle (YellowKey) ver\u00f6ffentlichte Microsoft einen Workaround zum Abschw\u00e4chen des Problems (siehe\u00a0Windows-Bitlocker-Splitter: Patches, YellowKeys-CVE, Mitigations und Ungereimtheiten \u2013 Teil 1<\/a>). Gleichzeitig kritisiert Redmond\u00a0Nightmare Eclipse \u00f6ffentlich und warf ihm vor, durch die Ver\u00f6ffentlichung eines \u00f6ffentlichen Proof-of-Concept gegen bew\u00e4hrte Verfahren zum Melden von Sicherheitsl\u00fccken versto\u00dfen zu haben. Konkret geht es um die Passage:<\/p>\n Microsoft is aware of a security feature bypass vulnerability in Windows publicly referred to as \"YellowKey\". The proof of concept for this vulnerability has been made public violating coordinated vulnerability best practices.<\/p><\/blockquote>\n Dar\u00fcber hinaus wurde das GitHub-Konto von Nightmare Eclipse zum 23. Mai 2026 geschlossen (GitHub geh\u00f6rt ja Microsoft). Der Sicherheitsforscher hat darauf eine gepfefferte Stellungnahme ver\u00f6ffentlichte. Er warf Microsoft vor, \"\u00d6l ins Feuer zu gie\u00dfen\" und die Situation zu eskalieren. Gleichzeitig er\u00f6ffnete die Person ein neues Konto auf GitLab, wo dann die Exploits beschrieben wurden. Ich hatte im Blog-Beitrag Zoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse<\/a> auf diese Entwicklung hingewiesen.<\/p>\n Vorgestern merkte ein Blog-Leser in diesem Kommentar<\/a> an, dass das GitLab-Konto von Nightmare Eclipse zum 26. Mai 2026 ebenfalls gesperrt wurde. Obiger Tweet<\/a> greift das Ganze entsprechend auf. Kann man so machen, ob es klug ist, steht auf einem anderen Blatt – und die Schwachstellen gehen davon ja nicht weg. Cyber Security News hat in diesem Artikel<\/a> noch einige Stimmen eingefangen – eine Stimme meinte \"Zeit, mehr auf dezentrale Strukturen zu setzen\" und den Abschied von den Monokulturen einzuleiten.<\/p>\n Ich hatte den obigen Sachverhalt und die Entwicklung mitbekommen, wollte aber keinen separaten Blog-Beitrag dr\u00fcber machen (zumal die Kontensperre ja in einem Leserkommentar angesprochen wurde).<\/p>\n Heute morgen ist mir dann obigen Tweet<\/a> untergekommen. Microsoft hat sich dazu verstiegen, am 27. Mai 2026 den Beitrag\u00a0A shared responsibility: Protecting customers through Coordinated Vulnerability Disclosure<\/a> zu publizieren. Der erneute Vorwurf lautet, dass die als RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma und MiniPlasma bekannten Sicherheitsl\u00fccken nicht verantwortungsbewusst offengelegt worden seien.<\/p>\n Es hei\u00dft, dass man diese Vorgehensweisen sowie jegliche Offenlegung au\u00dferhalb einer ordnungsgem\u00e4\u00dfen Abstimmung weiterhin entschieden ablehne. Unkoordinierte Offenlegungen, die Proof-of-Concept-Code f\u00fcr ungepatchte Sicherheitsl\u00fccken in die H\u00e4nde von Angreifern geben, seien niemals zu rechtfertigen und h\u00e4tten reale Konsequenzen.<\/p>\n Dann folgt die Drohung, dass Microsofts Digital Crimes Unit weiterhin Verfahren gegen diese Akteure und diejenigen einleiten werden, die ihre kriminellen Aktivit\u00e4ten erm\u00f6glichen \u2013 und dabei bei Bedarf mit Strafverfolgungsbeh\u00f6rden auf der ganzen Welt zusammenarbeiten. Und das nach der Vorgeschichte, die ich ja skizziert habe! Ein kluger Kopf bei Microsoft h\u00e4tte vor 6 Wochen reagieren k\u00f6nnen und m\u00fcssen …<\/p>\n H\u00e4tten die Leute bei Microsoft mal f\u00fcr eine Minute nachgedacht, deeskaliert und geschrieben \"Ok, ist doof gelaufen, uns ist bei der Einsch\u00e4tzung von BlueHammer ein Fehler unterlaufen. Wir laden Nightmare Eclipse ein, verantwortungsvolle Offenlegungen, auch im Rahmen eines Bug Bounty-Programms, an uns zu melden\", w\u00e4re vermutlich viel Luft raus. Microsoft ist ein Unternehmen, was pro Quartal Milliarden Gewinn macht und wie ein Kleinkr\u00e4mer um Bug Bounty-Pr\u00e4mien feilscht. Fehler k\u00f6nnen (auch beim Microsoft Security Response Team, MSRT) passieren. Sp\u00e4testens beim BlueHammer-Exploit h\u00e4tte Redmond reagieren m\u00fcssen, auf den Sicherheitsforscher zugehen und die Situation deeskalieren sollen. Zumindest h\u00e4tte Microsoft dann den Schwarzen Peter nicht mehr.<\/p>\n Aber ich vergesse immer wieder, dass Microsoft ein Gro\u00dfunternehmen ist. Das erinnert mich an meinen letzten Arbeitgeber, den ich 1993 verlassen habe. 90 % meiner Arbeitszeit habe ich darauf verwandt, damit meine Mitarbeiter, trotz der vielen internen Regularien und B\u00fcrokratie, arbeitsf\u00e4hig waren.<\/p>\n Statt zu deeskalieren, holt Microsoft die gro\u00dfe Keule raus und droht, so lese ich die Stellungnahme aus Redmond, mit Strafverfolgung. Kann man so machen, aber \"mehr \u00d6l kannst Du nicht mehr ins Feuer gie\u00dfen\". Mich erinnert das Ganze an den Modern Solutions Fall (ist in voller Glorie im Beitrag Modern Solutions ist wohl insolvent<\/a> verlinkt)\u00a0und den deutschen Hackerparagraphen.<\/p>\n Jetzt k\u00f6nnte man noch postulieren: \"Ok, Nightmare Eclipse ist schon eine schr\u00e4ge Type, und will Microsoft am Zeug flicken\". Aber ich war hier \u00fcber Jahre beim Mail-Verkehr auf cc, wenn Stefan Kanthak Probleme an das Microsoft Security Response Team (MSRT) gemeldet hat. Bei manchen MSRT-Antworten konntest Du dich nur an den Kopf fassen und ich habe Kanthak insgeheim ob seiner Geduld bewundert, zu antworten und auf die Denkfehler der Sicherheitsexperten einzugehen. Aus dieser Erfahrung kann ich mir gut vorstellen, dass es bei Nightmare Eclipse \u00e4hnlich abgelaufen ist.<\/p>\n Ich stelle an dieser Stelle daher mal die Gretchenfrage: Kann das Microsoft Eco-System noch kaputter werden? Die Schwachstellen sind ja nicht weg, indem ich jemanden, der genauer hin schaut, mundtot mache und diesem Strafverfolger auf den Hals hetze (wobei nicht mal gesagt ist, dass die Offenlegung strafbar ist).<\/p>\n In meinen Augen hat Microsoft der Sicherheitskultur mit dem oben skizzierten Verhalten einen B\u00e4rendienst erwiesen. Wer hindert den Entdecker einer Schwachstelle denn, deren Beschreibung samt Proof of Concept (PoC) in Untergrundforen zu ver\u00f6ffentlichen?\u00a0Wir lesen t\u00e4glich, wie viele Schwachstellen per KI gerade aufgedeckt werden. Und im Open Source-Bereich werden regelm\u00e4\u00dfig 0-day-Schwachstellen bekannt, die dann zeitnah gepatcht werden. Dort habe ich bisher noch nichts wie die oben erw\u00e4hnte Verlautbarung von Microsoft vernommen. Dort herrscht imho die Einsch\u00e4tzung vor: \"Eine bekannt gewordene Schwachstelle k\u00f6nnen wir schnellstm\u00f6glich beheben, immer noch besser, als das die nicht \u00f6ffentlich bleibt und wird das erst mitbekommen, wenn diese ausgenutzt wird\". Hier ist h\u00f6chstens AI-Slop das Problem, also die Menge der per AI vermeintlich gefundenen Schwachstellen, die am Ende des Tages aber keine ausnutzbaren Schwachstellen sind.<\/p>\n Keine Ahnung, wie dieser Clinch zwischen Microsoft und Nightmare Eclipse ausgeht. Aus meiner Sicht ist das Microsoft Software-System schlicht kaputt und jeder tut gut daran, die Angriffsfl\u00e4che zu reduzieren und \u00fcberall, wo es m\u00f6glich ist, auf Alternativen zu setzen. Ich muss mal schauen, ob ich die Tage Zeit finde, noch zwei Geschichten aus dem N\u00e4hk\u00e4stchen heraus zu kramen und hier im Blog einzustellen.<\/p>\n \u00c4hnliche Artikel: Ein Sicherheitsforscher mit dem Alias Nightmare Eclipse (oder Chaotic Eclipse) ver\u00f6ffentlichte in den letzten 2 Monaten mehrere 0-Day-Schwachstellen mit Exploits. Nachdem das GitHub-Konto des Sicherheitsforschers deaktiviert wurde, zog er zu GitLab um. Das Konto wurde nun auch deaktiviert. Microsoft hat … Weiterlesen ![\"Nightmare](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/MS-Chaotic-Eclipse02.jpg\")
<\/a><\/p>\nMicrosoft nimmt Stellung<\/h2>\n
![\"Microsoft](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/MS-Chaotic-Eclipse03.jpg\")
<\/a><\/p>\nEinige Gedanken dazu<\/h2>\n
\n<\/strong>BlueHammer: Windows 0-day-Schwachstelle<\/a>
\nBlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra<\/a>
\nRedSun: N\u00e4chste Windows Defender 0-Day-Schwachstelle<\/a>
\nChaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams<\/a>
\nNightmare Eclipse ver\u00f6ffentlicht MiniPlasma-Schwachstelle CVE-2020-17103<\/a>
\nZoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"