Microsoft hat eine Erklärung veröffentlicht, in der das Unternehmen von der zuvor aggressiven Rhetorik im Konflikt mit dem IT-Sicherheitsforscher Nightmare Eclipse (auch bekannt als Chaos Eclipse) abrückt, der zuvor Exploits für sechs ungepatchte Windows-Schwachstellen offengelegt hatte. Das Unternehmen erklärte, dass es nicht beabsichtige, rechtliche Schritte gegen Fachleute einzuleiten, die Sicherheitsforschung betreiben. Diese Kehrtwende erfolgte nach massiver Kritik aus der Fachcommunity, darunter auch von ehemaligen Mitarbeitenden von Microsoft. Die Situation berührt eine grundlegende Frage der Beziehungen zwischen großen Softwareanbietern und unabhängigen Schwachstellenforschern.
Chronologie des Konflikts
Der Konflikt begann, nachdem Nightmare Eclipse ohne vorherige Benachrichtigung von Microsoft Informationen zu sechs ungepatchten Schwachstellen veröffentlicht hatte. Vier davon erhielten CVE-Identifikatoren und sind in der NVD-Datenbank registriert: CVE-2026-33825 (BlueHammer), CVE-2026-41091 (RedSun), CVE-2026-45498 (UnDefend) und CVE-2026-45585 (YellowKey). Zwei weitere Schwachstellen – GreenPlasma und MiniPlasma – werden ohne vergebene CVE erwähnt, ihr Status ist aus unabhängigen Quellen bislang nicht bestätigt. Keine der vier CVEs ist im Katalog CISA Known Exploited Vulnerabilities aufgeführt, allerdings existieren für die Schwachstellen öffentliche PoC-Exploits.
Ende Mai erklärte Microsoft, die Veröffentlichung von Exploits für ungepatchte Bugs „lasse sich durch nichts rechtfertigen“, und verwies auf die Abteilung Digital Crimes Unit, die gemeinsam mit Strafverfolgungsbehörden Cyberkriminalität untersucht. Obwohl keine direkten Drohungen ausgesprochen wurden, wertete die IT-Sicherheitscommunity dies als verklausulierten Druck.
Reaktion der Community und Rückzieher von Microsoft
Die Haltung von Microsoft löste scharfe Kritik renommierter Fachleute aus. Dem Ausgangsmaterial zufolge bezeichnete der ehemalige Microsoft-Mitarbeiter Kevin Beaumont die Situation als „von Microsoft selbst verursachte Katastrophe“. Florian Roth, Head of Research bei Nextron Systems, stellte fest, das Unternehmen habe einen schweren Fehler begangen, indem es die Lage in eine öffentliche Konfrontation verwandelt habe. Katie Moussouris – die Schöpferin des Bug-Bounty-Programms bei Microsoft und Gründerin von Luta Security – wies auf die Widersprüchlichkeit der Signale des Unternehmens hin: einerseits Berichte über Belohnungen für Forscher, andererseits ein Konflikt mit einem Spezialisten, der behauptet, weder Anerkennung noch Vergütung erhalten zu haben. Die Erwähnung der Digital Crimes Unit bezeichnete sie als „verdeckte Drohung“.
Am Ende sah sich Microsoft gezwungen, seine Position zu entschärfen. Die Kernaussagen der neuen Erklärung:
- Das Unternehmen hat nicht vor, rechtliche Schritte gegen Personen einzuleiten, die Sicherheitsforschung betreiben oder deren Ergebnisse veröffentlichen.
- Eine Zusammenarbeit mit Strafverfolgungsbehörden kommt nur bei rechtswidrigen Aktivitäten in Betracht, die Kunden tatsächlich Schaden zufügen.
- Das Unternehmen räumte ein, dass einige Interaktionen mit Forschern „nicht allzu reibungslos verlaufen sein könnten“ und sagte zu, das Feedback zu berücksichtigen.
Konkrete Vorwürfe des Forschers zu Kontosperrungen und ausbleibenden Prämien kommentierte Microsoft jedoch nicht.
Eskalation: neue Offenlegungen
Der Konflikt hat offenbar den gegenteiligen Effekt dessen ausgelöst, auf den Microsoft gesetzt hatte. Nightmare Eclipse berichtete in seinem Blog, dass sich nach dem öffentlichen Druck des Unternehmens andere Forscher bei ihm meldeten und Informationen über entdeckte Schwachstellen weitergaben. Unter anderem kündigte er eine Schwachstelle mit dem Namen Bitskrieg an, die dem Forscher JonasLyk zugeschrieben wird und mutmaßlich den Schutz von Secure Boot unterläuft und das Umgehen von BitLocker ermöglicht. Technische Details werden im Juni erwartet. Es sei ausdrücklich betont: Diese Informationen stützen sich ausschließlich auf einen Beitrag im persönlichen Blog des Forschers und sind weder vom Hersteller noch von unabhängigen Quellen bestätigt.
Parallel dazu veröffentlichte ein anderer Spezialist, Ammar Askar, Informationen über eine 0-day-Schwachstelle in Visual Studio Code nur eine Stunde nach der Benachrichtigung der GitHub-Entwickler. Nach vorliegenden Informationen war seine Motivation eine frühere negative Erfahrung in der Zusammenarbeit mit dem MSRC. Dieser Vorfall steht zwar nicht in direktem Zusammenhang mit Nightmare Eclipse, veranschaulicht aber ein systemisches Problem in den Beziehungen von Microsoft zur Forschungscommunity.
Bewertung der Auswirkungen und systemische Schlussfolgerungen
Die Situation geht über einen Einzelfall hinaus und legt ein strukturelles Problem offen. Wenn der größte Softwareanbieter das Vertrauen der Forscher verliert, betrifft dies das gesamte Sicherheitsökosystem von Windows – und damit Unternehmens- und Behördennutzer weltweit. Jede Offenlegung einer Schwachstelle ohne vorherige Benachrichtigung des Anbieters eröffnet ein Zeitfenster für Angreifer, bis ein Patch veröffentlicht wird.
Am stärksten gefährdet sind Organisationen, die die betroffenen Windows-Komponenten einsetzen, insbesondere falls sich eine Schwachstelle in der Secure-Boot-/BitLocker-Kette bestätigt. Das Aushebeln der Vollverschlüsselung des Datenträgers kann gravierende Folgen für den Schutz von Daten bei physischem Zugriff auf das Gerät haben.
Empfehlungen
- CVE-Monitoring: Verfolgen Sie die Updates zu CVE-2026-33825, CVE-2026-41091, CVE-2026-45498, CVE-2026-45585 in der NVD und warten Sie auf die Zuweisung von CVSS-Scores sowie die Veröffentlichung offizieller Patches von Microsoft.
- Öffentliche PoC: Berücksichtigen Sie, dass für die genannten Schwachstellen öffentliche Exploits verfügbar sind. Bewerten Sie die Anwendbarkeit auf Ihre Infrastruktur, bevor Patches vorliegen.
- Bitskrieg: Prüfen Sie bis zur Veröffentlichung technischer Details und einer unabhängigen Verifizierung die Aktualität der Secure-Boot-Konfiguration und der BitLocker-Richtlinien in Ihrer Umgebung. Stellen Sie sicher, dass die UEFI-Firmware auf den neuesten Stand gebracht wurde.
- VS-Code-Erweiterungen: Beschränken Sie die Installation von Erweiterungen aus nicht geprüften Quellen und verfolgen Sie die Sicherheitsupdates für Visual Studio Code.
Dieser Konflikt demonstriert anschaulich, wie der Versuch eines Anbieters, einen unbequemen Forscher zum Schweigen zu bringen, zu einer Kaskade von Verschlechterungen führen kann. Für Organisationen, die Windows nutzen, ist die praktische Konsequenz klar: Führen Sie, ohne auf offizielle Patches zu warten, eine Inventarisierung der Systeme durch, die potenziell von den vier bestätigten CVEs betroffen sind, und bereiten Sie einen Plan für ein rasches Update vor, sobald Microsoft Korrekturen bereitstellt. Separat sollten Sie die im Juni erwartete Veröffentlichung der Details zu Bitskrieg im Auge behalten – bestätigt sich ein Umgehen von BitLocker, erfordert dies eine Überarbeitung des Modells zum Schutz von Daten auf Endgeräten.
