Thought Leadership
Nach der Veröffentlichung kritischer Windows-Sicherheitslücken sperrt GitHub das Konto von Nightmare-Eclipse. Der Forscher droht Microsoft nun auf GitLab.
Die von Microsoft betriebene Entwicklerplattform GitHub hat das Benutzerkonto eines anonymen IT-Sicherheitsforschers dauerhaft gesperrt, der unter dem Pseudonym Nightmare-Eclipse agiert. Der unter Forschern auch als Chaotic Eclipse bekannte Akteur hatte in den vergangenen zwei Monaten systematisch kritische, ungepatchte Sicherheitslücken im Betriebssystem Windows veröffentlicht. Microsoft reagierte auf die unkoordinierten Veröffentlichungen der sogenannten Zero-Day-Exploits mit restriktiven Maßnahmen und warf dem Forscher indirekt vor, gegen die etablierten Best Practices für eine koordinierte Offenlegung von Sicherheitslücken zu verstoßen.
Der Konflikt zwischen dem Softwarekonzern und dem Whistleblower schwelt bereits seit längerer Zeit, nachdem Microsoft zuvor das Konto des Forschers im Microsoft Security Response Center gelöscht haben soll. Nach der Sperrung seines GitHub-Repositories migrierte der Programmierer seine Exploit-Bibliothek vollständig auf die konkurrierende Open-Source-Plattform GitLab und verschärfte seine Drohungen gegen das Technologieunternehmen aus Redmond erheblich.
Schwachstellen YellowKey und MiniPlasma veröffentlicht
Die von Nightmare-Eclipse veröffentlichte Exploit-Reihe umfasst insgesamt sechs voneinander unabhängige Schwachstellen, die tief in die Kernarchitektur von Windows eingreifen. Die Serie begann am 2. April 2026 mit der Veröffentlichung eines Exploits namens BlueHammer. Diese Schwachstelle ermöglicht eine lokale Rechteausweitung auf die höchste Systemstufe NT-AUTHORITY-SYSTEM. BlueHammer attackiert den Update-Prozess des integrierten Antivirenprogramms Windows Defender, indem er eine Zeitverzögerung über den Volume Shadow Copy Service, die Cloud-Files-API und opportunistische Sperren ausnutzt. Hierdurch können Standardnutzer die Datenbank der Sicherheitskontenverwaltung auslesen und administrative Sitzungen von Administratorenkonten manipulieren, ohne Spuren im Protokoll zu hinterlassen.
Kurze Zeit später veröffentlichte der Forscher die Sicherheitslücke YellowKey. Dieser Angriffsvektor ermöglicht die vollständige Umgehung der BitLocker-Laufwerksverschlüsselung mithilfe eines manipulierten USB-Sticks. Der Exploit manipuliert die Struktur des Windows-Wiederherstellungsmodus und nutzt Fehler bei transaktionalen NTFS-Dateisystemprozessen im Zusammenspiel mit dem Sitzungsmanager aus.
Eine weitere publizierte Schwachstelle mit dem Namen RedSun nutzt eine Logiklücke im Windows Defender aus. Wenn das Schutzprogramm eine schadhafte Datei mit einer bestimmten Cloud-Kennzeichnung registriert, überschreibt die Antiviren-Software die Datei fälschlicherweise an ihrem ursprünglichen Systemort, was zur Platzierung von Schadcode in geschützten Systemverzeichnissen ausgenutzt werden kann. Die jüngste Veröffentlichung namens MiniPlasma reaktivierte zudem einen eigentlich im Jahr 2020 dokumentierten Fehler im Cloud-Filter-Treiber cldflt.sys, den Microsoft offenbar bei späteren Systemaktualisierungen unbemerkt wieder aufgespielt hat.
Migration zu GitLab und gezielte Drohungen gegen Microsoft
Nachdem das ursprüngliche Repository auf GitHub durch die Administratoren gelöscht worden war, spiegelte der Forscher sämtliche sechs Funktionstests unmittelbar auf einem neuen Profil bei GitLab. Auf seinem persönlichen Blog äußerte Nightmare-Eclipse massiven Frust über die Löschung seiner Daten aus der Öffentlichkeit und warf Microsoft vor, den Konflikt proaktiv zu eskalieren.
Der Akteur kündigte an, das Betteln einzustellen, und richtete eine konkrete Drohung an das Management des Softwarehauses. Er forderte die Fachwelt auf, sich den 14. Juli 2026 im Kalender zu markieren, und drohte damit, an diesem Tag vertrauliche Dokumente zu veröffentlichen, die dem Konzern schweren Schaden zufügen würden. Für den laufenden Monat Juni stellte er zudem die Veröffentlichung weiterer Exploits in Aussicht, sollte das Unternehmen nicht einlenken.
Kontroversen und Reaktionen in der IT-Sicherheitsgemeinschaft
Die radikale Kontosperrung durch GitHub hat innerhalb der internationalen Cybersicherheitsgemeinschaft eine intensive Debatte über den Umgang mit Whistlebwerbern und unabhängigen Analysten ausgelöst. Auf Kommunikationsplattformen wie X kritisierten zahlreiche Experten das Vorgehen des Plattformbetreibers. Es wurde argumentiert, dass das reine Verbieten und Löschen von Sicherheitsforschung das zugrundeliegende technologische Problem nicht löst, sondern lediglich die Sichtbarkeit der real existierenden Gefahren einschränkt.
Viele Analysten bemängeln zudem, dass große Technologiekonzerne unabhängige Entdecker von Sicherheitsrisiken zunehmend rechtlich und administrativ unter Druck setzen, anstatt die grundlegenden Programmierfehler in den Betriebssystemen nachhaltig zu beheben. Dies schaffe ein Klima des Misstrauens, das letztlich die Entstehung unkoordinierter Veröffentlichungen begünstige.
