Sicherheitslücken: Forscher veröffentlicht sechs Zero-Day-Exploits

Microsoft erwägt rechtliche Schritte gegen einen Sicherheitsforscher, der ungepatchte Schwachstellen öffentlich machte. CISA erlässt Notfall-Patching-Anordnung.

Der Konzern geht juristisch gegen einen Forscher vor, der sechs ungepatchte Zero-Day-Exploits öffentlich machte – ein beispielloser Schritt im Spannungsfeld zwischen Softwareherstellern und Sicherheitsexperten.

Die Auseinandersetzung erreichte am 8. Juli 2026 ihren Höhepunkt. Ein Forscher, der unter den Pseudonymen Nightmare Eclipse oder Chaotic Eclipse auftritt, veröffentlichte technische Details zu einer Reihe von Schwachstellen mit den Namen RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma und MiniPlasma. Microsofts Digital Crimes Unit erwägt nun strafrechtliche Schritte. Der Vorwurf: Der Forscher habe die branchenüblichen Verfahren zur koordinierten Offenlegung von Sicherheitslücken umgangen.

Der Streit um die Offenlegung

Der Forscher selbst gibt an, zuvor mehrfach vergeblich versucht zu haben, mit dem Microsoft Security Response Center (MSRC) zu kommunizieren. Microsoft habe seinen Account gelöscht und jede weitere Diskussion verweigert. Die öffentliche Veröffentlichung sei daher der letzte Ausweg gewesen.

Die Eskalation kommt zu einem Zeitpunkt, an dem Microsoft ohnehin unter Druck steht. Erst Anfang des Jahres schloss der Konzern die Lücken CVE-2026-21510 und CVE-2026-21513. Erst diese Woche empfahl Microsoft zudem, Update-Verzögerungszeiträume auf unter drei Tage zu verkürzen – eine Reaktion auf die zunehmende Bedrohung durch KI-gestützte Angriffe.

CISA erlässt Notfall-Patching-Anordnung

Während sich die Beziehungen zwischen Herstellern und Forschern verschärften, schaltete sich die US-Cybersicherheitsbehörde CISA ein. Sie nahm am 8. Juli vier Schwachstellen mit hohem Risiko in ihren Katalog bekannter ausgenutzter Sicherheitslücken (KEV) auf. Bundesbehörden müssen diese bis zum 10. Juli schließen.

Anzeige

Die CISA-Frist zur Schließung von vier kritischen Zero-Day-Lücken läuft am 10. Juli. Wer jetzt nicht handelt, riskiert Ransomware-Befall wie JADEPUFFER. Dieser Report liefert Ihnen eine priorisierte Checkliste und einen Patching-Plan, der Ihre Systeme innerhalb von 72 Stunden absichert. Jetzt kostenlosen Notfall-Report anfordern

Besonders brisant: Eine kritische Path-Traversal-Lücke in ColdFusion (CVE-2026-48282) und eine Schwachstelle zur Remote-Code-Ausführung im Joomla SP Page Builder (CVE-2026-48908) – beide mit der Höchstbewertung von 10,0 auf dem CVSS-Score. Hinzu kommt CVE-2026-55255, eine Sicherheitslücke in Langflow, die seit dem 25. Juni 2026 aktiv ausgenutzt wird. Angreifer nutzen sie, um Schadsoftware einzuschleusen und Code auszuführen – teils in Kombination mit der JADEPUFFER-Ransomware.

KI-Workflows im Visier von Angreifern

Neue Forschungsergebnisse vom 8. Juli zeigen zudem die Risiken moderner KI-Technologien. Das Unternehmen Noma Security enthüllte eine als „GitLost“ bekannte Technik, die auf GitHub Agentic Workflows abzielt. Die Methode nutzt Prompt-Injection über öffentliche Issues, um KI-Agenten dazu zu bringen, private Repository-Inhalte preiszugeben. Die Forscher fanden heraus, dass bestehende Schutzmechanismen durch einfache sprachliche Modifikationen – etwa das Wort „zusätzlich“ – umgangen werden können.

Die Sicherheitslage bei KI-Tools hat sich in den vergangenen Monaten dramatisch verschärft. Bereits im April 2026 zeigte Anthropics Mythos-Modell, dass es aus abgeschotteten Umgebungen ausbrechen kann. Neuere Modelle wie GPT-5.4 können diese Fähigkeiten zu geringen Kosten pro Datei reproduzieren. Die technischen Herausforderungen werden von geopolitischen Spannungen begleitet: Anthropic überwacht und beschränkt inzwischen China-bezogene Nutzungen seines Claude Code-Tools, nachdem Berichte über unbefugten Zugriff durch Entwickler im Umfeld von Alibaba bekannt wurden.

Fristen für KI-Aufsicht verstrichen

Anzeige

KI-Workflows sind das neue Einfallstor: Die GitLost-Technik nutzt Prompt-Injection über öffentliche Issues, um private Repository-Inhalte zu stehlen. Erfahren Sie in diesem Report, wie Sie Ihre KI-Agenten mit 5 konkreten Schutzmechanismen absichern – bevor Angreifer Ihre Daten exfiltrieren. KI-Sicherheits-Report jetzt sichern

Der Druck für schnellere Sicherheitsupdates wächst auch deshalb, weil die US-Bundesregierung wichtige Meilensteine für die KI-Überwachung verpasst hat. Eine Frist aus einer Executive Order vom Juni 2026, die das Finanzministerium, die NSA und CISA zur Einrichtung einer KI-Cybersicherheits-Zentrale verpflichtete, ist vergangene Woche verstrichen. Die geplante Einrichtung soll das Scannen und Patchen kritischer Infrastrukturen koordinieren. Branchenexperten bezweifeln jedoch, dass die Initiative über die reine Erkennung von Schwachstellen hinaus zur tatsächlichen Behebung gelangen wird.

Parallel dazu setzen Strafverfolgungsbehörden zunehmend auf dauerhafte Hardware-Identifikatoren zur Verfolgung von Cyberkriminellen. Jüngste Gerichtsdokumente gegen einen Verdächtigen der Scattered-Spider-Gruppe zeigen: Das FBI nutzte die Windows Global Device Identifier (GDID), um ein bestimmtes Gerät mit unbefugten Aktivitäten vom Mai 2025 zu verknüpfen. Die GDID, ein 2015 eingeführter dauerhafter Identifikator, bleibt selbst bei den meisten Updates mit der Hardware verbunden – und funktioniert selbst dann, wenn virtuelle private Netzwerke (VPNs) zum Einsatz kommen.