{"id":325959,"date":"2026-06-06T00:02:21","date_gmt":"2026-06-05T22:02:21","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=325959"},"modified":"2026-06-05T18:44:35","modified_gmt":"2026-06-05T16:44:35","slug":"blackhat-2026-in-vegas-tritt-das-msrc-gerade-in-das-naechste-fettnaepfchen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/06\/06\/blackhat-2026-in-vegas-tritt-das-msrc-gerade-in-das-naechste-fettnaepfchen\/","title":{"rendered":"BlackHat 2026 in Vegas: Tritt das MSRC gerade in das n\u00e4chste Fettn\u00e4pfchen?"},"content":{"rendered":"

\"StopNach der \u00f6ffentlich ausgetragenen Auseinandersetzung zwischen dem Microsoft Security Response Center (MSRC) und einem Sicherheitsforscher mit dem Alias Nightmare Eclipse hat Microsoft es sich mit Sicherheitscommunity ziemlich verscherzt. Man versucht zwar nun wenigstens partiell zur\u00fcckzurudern. Aber f\u00fcr mich sieht es so aus, dass ein Team-Mitglied des MSRC im Vorfeld der BlackHat 2026-Sicherheitskonferenz in Las Vegas zielsicher in das n\u00e4chste Fettn\u00e4pfchen getreten ist.<\/p>\n

<\/p>\n

\"\"Es gibt ein Bonmot aus den 80 Jahren, dass ein Kollege seinerzeit mal die Runde warf: Er fragte \"Was ist ein Bangemann?\" und gab die selbst die Antwort \"Der Abstand zwischen zwei Fettn\u00e4pfchen\". F\u00fcr die Youngster unter den Lesern die Aufkl\u00e4rung: Martin Bangemann (FDP) war in den 1980er und 90er Jahren ein Schwergewicht der deutschen FDP und EU-Politik. Der Begriff \"Bangemann-Fettn\u00e4pfchen\" steht sinnbildlich f\u00fcr seine Neigung, in seiner aktiven Zeit als Wirtschaftsminister und EU-Kommissar mit unbedachten, oft polternden Aussagen mediale Fauxpas zu begehen. Das Ganze fiel mir spontan bei der aktuellen Geschichte ein.<\/p>\n

R\u00fcckblick auf den Nightmare Eclipse-Zoff<\/h2>\n

Nightmare Eclipse ist ein Sicherheitsforscher, der seit M\u00e4rz 2026 sechs ungepatchte Schwachstellen in Microsoft-Produkten mit Proof of Concept ver\u00f6ffentlicht hat, weil er bei Microsoft im MSRC kein Geh\u00f6r fand und mutma\u00dflich auch keine Bug Bounty-Pr\u00e4mie bekam. Der Fall eskalierte, weil Microsoft unter Zugzwang kam, und teilweise seit Jahren ungepatchte Schwachstellen auf die Schnelle nachbessern musste. In Folge wurden Nightmare Eclipse seine Konten bei GitHub (geh\u00f6rt zu Microsoft) und GitLab gesperrt.<\/p>\n

Und Microsoft gr\u00e4tscht dem Sicherheitsforscher ziemlich hinterher. Er wurde \u00f6ffentlich in den Senkel gestellt, dass er durch die unkoordinierte Ver\u00f6ffentlichung Microsoft Kunden gef\u00e4hrde – und es gibt wohl eine juristische Auseinandersetzung, die mutma\u00dflich vor Gericht geht. Zu den Details kann ich wenig sagen, da ich die Konversation zwischen dem MSRC und Nightmare Eclipse nicht kenne. Die Entwicklung ist aber in den am Beitragsende verlinkten Blog-Beitr\u00e4gen nachlesbar.<\/p>\n

Zum Eklat kam es, als das MSRC am sp\u00e4ten Pfingstsonntag eine Erkl\u00e4rung ver\u00f6ffentlichte, in der mal Personen, die 0-days unkoordiniert offen legt, durch die Blume mit Strafverfolgung drohte (siehe Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung<\/a>). Nach einem Aufschrei der Sicherheits-Community, die sich kriminalisiert sah und in denen einige Personen \u00e4hnliche Erfahrungen bei der Offenlegung von Schwachstellen wie Nightmare Eclipse \u00f6ffentlich schilderten (die f\u00fchlten sich \u00fcber den Tisch gezogen), versuchte Microsoft zu deeskalieren. Ich hatte im Beitrag Neues im Nightmare Eclipse-Clash: Microsoft rudert ein wenig zur\u00fcck<\/a> einiges dazu geschrieben.<\/p>\n

Schnell das n\u00e4chste Fettn\u00e4pfchen mitnehmen<\/h2>\n

Angesichts des obigen Sachverhalts gilt das Verh\u00e4ltnis der meisten Sicherheitsforscher zu Microsofts MSRC als \"zerr\u00fcttet\". Im Beitrag\u00a0GitHub-Drama 1: Sicherheitsforscher ver\u00f6ffentlicht 0-Day-Schwachstelle<\/a> hatte ich bereits berichtet, dass ein weiterer Sicherheitsforscher genervt eine 0-Day-Schwachstelle in GitHub \u00f6ffentlich machte. Er weigert sich, mit dem MSRC zu kommunizieren, nachdem er sozusagen einmal \u00fcber den Tisch gezogen wurde.<\/p>\n

Nun findet vom 1. bis 6. August 2026 die Black Hat USA 2026-Konferenz im Mandalay Bay Convention Center in Las Vegas, Nevada, statt. Das ist die f\u00fchrende\u00a0 US-Veranstaltung f\u00fcr Cybersicherheit f\u00fcr dieses Jahr, in der auch viele Vortr\u00e4ge gehalten werden. Die Tage sind mir dann Tweets<\/a> auf X untergekommen, wo Sicherheitsforscherinnen und Sicherheitsforscher eine Nachricht des MSRC gepostet haben.<\/p>\n

\"MSRC<\/a><\/p>\n

Beim ersten Post<\/a>, der mir unterkam, habe ich erst gar nicht richtig gerafft, was abgeht. Dort beschwerte sich jemand – \u00fcbersetztes Zitat:<\/p>\n

Der Typ ist echt \u00e4tzend. Bei meinem ersten Pwn2Own hat er mich immer wieder gefragt, ob das meine erste CVE sei. Ich habe verneint, aber er hat vor allen Leuten darauf bestanden, dass er meinen Namen noch nie in den Credits gesehen habe. Es stellte sich heraus, dass er mich mit einer anderen Frau aus der Infosec verwechselt hatte. Die ist \u00fcbrigens f\u00fcr die Sicherheitsforschung beim MSRC zust\u00e4ndig.<\/p>\n

Es war SO dem\u00fctigend, dass ich seinem Chef erz\u00e4hlt habe, was passiert ist. Er musste sich bei mir entschuldigen \u2026 aber es war furchtbar. Seine Ausrede? Er sei \"nicht technisch versiert\" und habe daher nicht verstanden, wovon er sprach. Warum zum Teufel arbeitet er dann f\u00fcr das MSRC?<\/p><\/blockquote>\n

Mit obigem Tweet<\/a> von Dr. Wesley McGrew wurde mir dann der Kontext pl\u00f6tzlich klar. Der Mitarbeiter des MSRC hat im Auftrag Microsofts (die sind wohl an der Konferenzausrichtung beteiligt) alle Vortragenden der BlackHat 2026 in Las Vegas angeschrieben. Er gratuliert und fragt, ob der Vortragende gedenkt, irgend etwas zu \"MSRC Cases\" \u00f6ffentlich zu sagen. Falls ja, m\u00f6ge der Betreffende den Case beim MSRC oder den CVE mitteilen.<\/p>\n

Dr. Wesley McGrew schreibt in obigem Tweet, dass\u00a0das MSRC von Microsoft nur ein begrenztes Zeitfenster habe, um die Community der Sicherheitsforscher und Vortragenden vor der Veranstaltung in Las Vegas (BlackHat 2026) zu beeindrucken, bevor es f\u00fcr Microsoft richtig unangenehm werde.<\/p>\n

Automatisierte E-Mails an alle Referenten, in denen sie nach Schwachstellen in MS-Produkten gefragt werden, w\u00fcrden daf\u00fcr nicht ausreichen.\u00a0Als regelm\u00e4\u00dfiger Referent meint McGrew: \"Wenn ich einen Vortrag halte, in dem ich eine Schwachstelle in Ihrem Produkt anspreche, und Sie davon noch nichts wissen, bevor die Zusammenfassung online ist, dann liegt das daran, dass ich wirklich nicht das Gef\u00fchl hatte, dass ich Spa\u00df daran h\u00e4tte, mit Ihnen dar\u00fcber zu diskutieren.\"<\/p>\n

Ist eine nette Umschreibung f\u00fcr \"Wenn ihr euren Softladen nicht im Griff und keinen Plan habt, was auf der BlackHat 2026 abgeht\", liegt das nicht an den Sicherheitsforschern bzw. Vortragenden, sondern an eurem Saftladen. Die Tweets und Antworten, die ich so um diese Nachricht gesehen habe, waren nicht \"sehr nett\" in Bezug auf das MSRC und sprachen von einem neuen \"Low\". Spontan fiel mir dann \"ein Bangemann\" dazu ein – wei\u00df auch nicht wieso.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>BlueHammer: Windows 0-day-Schwachstelle<\/a>
\nBlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra<\/a>
\nRedSun: N\u00e4chste Windows Defender 0-Day-Schwachstelle<\/a>
\nChaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams<\/a>
\nNightmare Eclipse ver\u00f6ffentlicht MiniPlasma-Schwachstelle CVE-2020-17103<\/a>
\nZoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse<\/a>
\nNightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung<\/a>
\nMicrosoft versus Nightmare Eclipse: Wir haben jetzt \"Bitskrieg\"<\/a>
\nNeues im Nightmare Eclipse-Clash: Microsoft rudert ein wenig zur\u00fcck<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Nach der \u00f6ffentlich ausgetragenen Auseinandersetzung zwischen dem Microsoft Security Response Center (MSRC) und einem Sicherheitsforscher mit dem Alias Nightmare Eclipse hat Microsoft es sich mit Sicherheitscommunity ziemlich verscherzt. Man versucht zwar nun wenigstens partiell zur\u00fcckzurudern. Aber f\u00fcr mich sieht es … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-325959","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325959","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=325959"}],"version-history":[{"count":1,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325959\/revisions"}],"predecessor-version":[{"id":325961,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325959\/revisions\/325961"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=325959"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=325959"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=325959"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}