Thought Leadership
Ein Konflikt zwischen Microsoft und einem Sicherheitsforscher eskaliert. Nach der Sperrung seines GitHub-Kontos droht der Entdecker mit weiteren Enthüllungen.
Der US-amerikanische Technologiekonzern Microsoft hat eine deutliche Stellungnahme zur unkoordinierten Veröffentlichung von Sicherheitslücken abgegeben. Das Unternehmen reagierte damit auf die jüngsten Aktivitäten eines Sicherheitsforschers, der unter den Pseudonymen Chaotic Eclipse und Nightmare-Eclipse operiert. Der IT-Experte hatte in den vergangenen Wochen detaillierte Informationen und funktionstüchtige Schadcodes für insgesamt sechs bisher unbekannte Schwachstellen in verschiedenen Windows-Betriebssystemkomponenten publik gemacht.
Microsoft plädiert in seiner Erklärung nachdrücklich für das Prinzip der koordinierten Offenlegung von Schwachstellen, im Fachjargon Coordinated Vulnerability Disclosure genannt. Bei diesem etablierten Verfahren teilen Sicherheitsforscher ihre Entdeckungen vertraulich mit den betroffenen Herstellern, um diesen ausreichend Zeit zur Analyse und zur Entwicklung von Sicherheitsupdates zu geben, bevor Details an die Öffentlichkeit gelangen. Der Konzern betonte, dass unkoordinierte Veröffentlichungen die Anwender unvorbereitet einem erheblichen Risiko aussetzen, da Cyberkriminelle die bereitgestellten Funktionsnachweise umgehend für Angriffe ausnutzen können.
Windows Defender und BitLocker betroffen
Die von dem Forscher veröffentlichten Sicherheitslücken betreffen kritische Kernkomponenten des Windows-Betriebssystems, darunter den Sicherheitsdienst Windows Defender sowie die Festplattenverschlüsselung BitLocker. Die Schwachstellen wurden unter den Bezeichnungen BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma und MiniPlasma bekannt. Für einige dieser Fehler, wie BlueHammer mit der Kennung CVE-2026-33825, RedSun mit CVE-2026-41091 und UnDefend mit CVE-2026-45498, dokumentieren Sicherheitsunternehmen bereits eine aktive Ausnutzung durch Angreifer in der Wildbahn. Die Lücke BlueHammer basiert beispielsweise auf einer fehlerhaften Interaktion zwischen dem Aktualisierungsprozess des Windows Defenders, dem Volume Shadow Copy Service und der Cloud Files Programmierschnittstelle. Ein Angreifer mit einfachen Benutzerrechten kann durch eine geschickte zeitliche Abfolge von Systemaufrufen administrative Systemrechte erlangen.
Der Veröffentlichung ging ein schwerwiegender Konflikt zwischen dem Forscher und dem Microsoft Security Response Center voraus. Chaotic Eclipse begründete den Schritt mit einer systematischen Verweigerung der Kommunikation seitens des Herstellers sowie der Demütigung seiner Person während des Einreichungsprozesses. Zudem warf der Entdecker dem Konzern vor, finanzielle Belohnungen im Rahmen des Bug-Bounty-Programms ungerechtfertigt verweigert und das für die Meldung genutzte Microsoft-Konto gelöscht zu haben.
Nach der Veröffentlichung der Schwachstellen reagierte die zu Microsoft gehörende Code-Plattform GitHub mit der vollständigen Sperrung des Benutzerkontos von Nightmare-Eclipse. Der Forscher wich daraufhin auf die Konkurrenzplattform GitLab aus, wo das neu erstellte Konto mit den sechs Programmierbeispielen jedoch ebenfalls nach kurzer Zeit blockiert wurde. Am vergangenen Wochenende äußerte sich der Forscher in seinem persönlichen Blog enttäuscht über die Maßnahmen:
„Jetzt nehmen Sie sich die Freiheit, mein GitHub-Konto zu melden und es einfach so aus der Öffentlichkeit zu tilgen? Sie beweisen allen, dass Sie diesen Konflikt aktiv eskalieren, aber ich habe es satt, Sie anzubetteln.“
Sicherheitsforscher Nightmare-Eclipse
Der IT-Experte kündigte zudem für den 14. Juli 2026 eine weitere Veröffentlichung an, die erhebliche Auswirkungen auf den Softwarehersteller haben soll.
Kontroverse Reaktionen der Fachwelt und Kontosperrungen auf Code-Plattformen
Die drastischen Maßnahmen von GitHub und Microsoft stießen in der internationalen IT-Sicherheitsgemeinschaft auf geteilte Reaktionen und führten zu einer Diskussion über den Umgang von Großkonzernen mit unabhängigen Testern. Namhafte Experten wie William Dormann von Tharros kritisierten die internen Abläufe des Microsoft Security Response Centers. Er wies darauf hin, dass starre bürokratische Vorgaben, wie die neuerdings zwingende Forderung nach Video-Demonstrationen eines Exploits, die Zusammenarbeit mit externen Forschern erheblich erschweren. Wenn erfahrene Analysten durch standardisierte Prozesse innerhalb des Herstellers blockiert werden, steige das Risiko, dass frustrierte Entdecker bewährte Kooperationsmodelle aufkündigen.
Zudem verfehle das Löschen von Konten auf Plattformen wie GitHub das eigentliche Sicherheitsziel, da die funktionsfähigen Schadcodes im dezentralen Internet ohnehin unkontrolliert weiterverbreitet werden. Das IT-Sicherheitsmanagement in Unternehmen steht nun vor der Herausforderung, Schutzmechanismen gegen Fehler zu implementieren, für die noch keine offiziellen Patches bereitstehen. Microsoft erklärte hierzu, dass die eigenen Ingenieure rund um die Uhr arbeiten, um den genauen Einfluss der Schwachstellen zu analysieren und kurzfristig Abhilfen bereitzustellen.
Implikationen für die IT-Governance und das Schwachstellenmanagement
Für die übergeordnete IT-Governance und das strategische IT-Risikomanagement in Unternehmen verdeutlicht dieser offene Konflikt die Fragilität von Software-Lieferketten und herstellerabhängigen Sicherheitsmodellen im Jahr 2026. Wenn etablierte Kommunikationswege zwischen Herstellern und der Forschungsgemeinschaft einbrechen, verschiebt sich das Bedrohungsszenario für Anwenderunternehmen unvorhersehbar. Organisationen können sich im Rahmen ihrer Risikoanalysen nicht mehr ausschließlich darauf verlassen, dass kritische Schwachstellen erst am monatlichen Patchday korrigiert werden.
Eine moderne IT-Governance erfordert die Etablierung eines agilen Schwachstellenmanagements, das in der Lage ist, auf unkoordinierte Zero-Day-Veröffentlichungen flexibel zu reagieren. Das IT-Sicherheitsmanagement muss Richtlinien implementieren, um Systeme auch ohne offizielle Updates durch kompensierende Kontrollen zu schützen. Hierzu gehört die Überwachung von Verhaltensanomalien des Windows Defenders, die Einschränkung administrativer Privilegien auf Endgeräten und die Überwachung ungewöhnlicher Interaktionen mit dem Volume Shadow Copy Service, um das Risiko einer lokalen Rechteausweitung in der Unternehmensinfrastruktur effektiv zu minimieren.
