Normalerweise berichte ich hier über Patches, Updates und Sicherheitslücken mit einer gewissen Routine. Aber was sich gerade zwischen Microsoft und einem Sicherheitsforscher namens Nightmare Eclipse abspielt, ist alles andere als normal. Es ist ein Drama, das grundlegende Fragen über verantwortungsvolle Offenlegung, Bug-Bounty-Programme und das Verhältnis zwischen Tech-Giganten und der Security-Community aufwirft.
Der Konflikt: Acht Zero-Days in zehn Wochen
Seit Anfang April 2026 veröffentlicht Nightmare Eclipse (auch bekannt als Chaotic Eclipse) regelmäßig Zero-Day-Exploits für Windows – ohne sie vorher an Microsoft zu melden. Der Zähler steht mittlerweile bei acht Schwachstellen. Die Liste liest sich wie ein Who’s Who der kritischen Windows-Komponenten: BlueHammer und RedSun ermöglichen Privilege Escalation, UnDefend sabotiert Microsoft Defender, YellowKey und das brandneue GreatXML umgehen BitLocker-Verschlüsselung.
Das Beunruhigende: Drei dieser Exploits wurden kurz nach der Veröffentlichung bereits aktiv ausgenutzt. Microsoft musste Emergency-Patches nachschieben, und CISA nahm die Lücken in ihren Known Exploited Vulnerabilities-Katalog auf.
YellowKey: Ein BitLocker-Bypass mit Beigeschmack
Besonders brisant ist der YellowKey-Exploit. Mit speziell präparierten Dateien auf einem USB-Stick und einem Neustart in die Windows-Wiederherstellungsumgebung kann ein Angreifer vollen Zugriff auf BitLocker-geschützte Laufwerke erhalten – indem er einfach die STRG-Taste gedrückt hält. Die Schwachstelle (CVE-2026-45585) betrifft Windows 11 24H2, 25H2, 26H1 sowie Windows Server 2025.
Nightmare Eclipse bezeichnete den Fund als ‚eine der verrücktesten Entdeckungen, die ich je gemacht habe‘ und beschrieb die Lücke als absichtliche Hintertür, da sie nur in der Windows Recovery Environment existiert. Microsoft hat mittlerweile gepatcht und empfiehlt als zusätzliche Absicherung, BitLocker von ‚TPM-only‘ auf ‚TPM+PIN‘ umzustellen.
Warum macht der Forscher das?
Laut eigenen Aussagen ist Nightmare Eclipse ein ehemaliger Microsoft-Mitarbeiter. Die Motivation für die ungefilterte Veröffentlichung? Frust über das Microsoft Security Response Center (MSRC): abgelehnte Bug-Bounties, gelöschte Accounts und angeblich die Drohung, man werde ‚mein Leben ruinieren‘. Microsoft hat inzwischen sowohl den GitHub- als auch den GitLab-Account des Forschers sperren lassen.
Ende Mai drohte Microsoft über seine Digital Crimes Unit mit rechtlichen Schritten. Nach massiver Kritik aus der Security-Community ruderte Redmond zurück und stellte klar, man wolle keine legitimen Sicherheitsforscher verfolgen – nur jene, die ‚das Gesetz brechen oder echten Schaden verursachen‘. Eine Unterscheidung, die in der Praxis schwierig sein dürfte.
Der größere Kontext: Rekord-Patch-Tuesday und frustrierte Forscher
Der Juni 2026 Patch Tuesday war der größte in Microsofts Geschichte: über 200 Schwachstellen im Hauptpaket, dazu 360 Browser-Fixes. Allein drei Zero-Days waren bereits öffentlich bekannt. Das Timing ist kein Zufall. Nightmare Eclipse hatte für den 14. Juni einen ‚knochenzertrümmernden‘ Drop angekündigt – und lieferte am 11. Juni mit GreatXML und RoguePlanet gleich zwei weitere Exploits nach.
Parallel dazu machte ein anderer Fall Schlagzeilen: Sicherheitsforscher Ammar Askar veröffentlichte am 2. Juni einen VS-Code-Zero-Day, der GitHub-OAuth-Tokens mit einem einzigen Klick stehlen kann. Sein Grund für die sofortige Veröffentlichung? Eine ’schreckliche Erfahrung‘ mit MSRC, bei der Microsoft eine von ihm gemeldete Lücke still patchte, ohne ihm Credit zu geben. Microsoft reagierte immerhin schnell und lieferte am 3. Juni einen Fix.
Fazit: Ein Symptom für ein größeres Problem
Ich will hier nicht den Moralapostel spielen. Ungepatchte Zero-Days öffentlich zu droppen, während Millionen Nutzer verwundbar sind, ist nicht cool. Das gefährdet echte Menschen und Unternehmen.
Aber: Microsofts Bug-Bounty-Programm und der Umgang mit Forschern steht schon länger in der Kritik. Wenn selbst hochkarätige Security-Experten frustriert zum Full-Disclosure greifen, weil sie sich vom MSRC schlecht behandelt fühlen, dann läuft etwas grundlegend schief. Die drohende Eskalation durch die Digital Crimes Unit hat das Problem verschärft, nicht gelöst.
Für uns Nutzer bleibt nur: Updates sofort installieren, BitLocker mit PIN verwenden, und hoffen, dass Microsoft und die Security-Community einen Weg finden, wieder miteinander zu reden – bevor der nächste Zero-Day-Drop kommt.
Kommentar verfassen