Eskalation in der Sicherheitsforschung: Wenn der Zero-Day-Streit außer Kontrolle gerät

Die Beziehung zwischen Tech-Konzernen und unabhängigen Security-Forschern ist oft ein zarter Balanceakt. Doch der aktuelle Konflikt zwischen Microsoft und einem Forscher, der unter dem Pseudonym „Chaotic Eclipse“ (auch bekannt als Nightmare-Eclipse) auftritt, zeigt eindrucksvoll, wie schnell diese Balance kippen kann – und welche gravierenden Folgen das für die Sicherheit aller Nutzer haben kann.

Die Fakten: Sechs Zero-Days und drei aktive Angriffe

Der Auslöser der aktuellen Debatte ist die Veröffentlichung von gleich sechs Zero-Day-Schwachstellen in verschiedenen Windows-Komponenten durch den Forscher in den vergangenen Wochen. Betroffen sind unter anderem zentrale Sicherheitsfunktionen wie Microsoft Defender und BitLocker. Die Lücken tragen die Bezeichnungen BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma und MiniPlasma.

Das Besondere und zugleich Besorgniserregende: Microsoft zufolge wurden die Details dieser Schwachstellen vor der Veröffentlichung nicht an das Unternehmen übermittelt. Die Konsequenz dieser unkoordinierten Vorgehensweise (Full Disclosure) ließ nicht lange auf sich warten. Laut Microsoft werden drei dieser Lücken – BlueHammer, RedSun und UnDefend – mittlerweile aktiv in the wild ausgenutzt. Die Sicherheitsteams von Microsoft mussten rund um die Uhr arbeiten, um das Ausmaß zu verstehen und Kunden zu schützen.

Microsofts Position: Coordinated Vulnerability Disclosure als Imperativ

Microsoft reagiert verärgert auf die Vorgehensweise des Forschers und nutzt die Gelegenheit, um eine nachdrückliche Lanze für das Modell der Coordinated Vulnerability Disclosure (CVD) zu brechen. Die Philosophie dahinter ist simpel: Forscher melden die Schwachstelle, der Hersteller bekommt Zeit für einen Patch, und erst wenn das Update bereitsteht, werden die Details öffentlich gemacht.

„In den letzten Wochen wurden mehrere Zero-Day-Schwachstellen öffentlich offengelegt“, so Microsoft in einer Stellungnahme. „Die Details wurden vor der Veröffentlichung nicht mit Microsoft geteilt, und diese Offenlegung setzt unsere Kunden unnötigem Risiko aus.“ Das Unternehmen betont, dass es der unkoordinierten Veröffentlichung von Proof-of-Concept-Code für ungepatchte Lücken entschieden entgegentritt, da dies reale Konsequenzen habe, sobald der Code in die Hände von Kriminellen gerät.

Zugleich signalisiert Microsoft Gesprächsbereitschaft und verweist auf Researcher-Events und Konferenzen als Plattformen für den Dialog. Doch diese ausgestreckte Hand kommt für den betroffenen Forscher offenbar zu spät.

Die Gegenseite: Frust, Demütigung und gelöschte Accounts

Warum ein Forscher den riskanten Weg der unkoordinierten Veröffentlichung geht, liegt oft in der Frustration über mangelnde Kommunikation oder fehlende Anerkennung durch den Hersteller begründet. Chaotic Eclipse macht genau das geltend. Der Vorwurf lautet: Microsoft habe die Kommunikation verweigert, den Forscher gedemütigt und sogar das Microsoft-Konto gelöscht, das für die Meldung von Bugs verwendet wurde. Eine Bug Bounty-Zahlung habe es ebenfalls keine gegeben.

Die Eskalation erreichte einen neuen Höhepunkt, als GitHub auf offenbar von Microsoft initiierte Hinweise hin das Konto des Forschers sperrte und die Repositories mit dem Exploit-Code löschte. Ein Umzug des Codes auf GitLab wurde dort umgehend durch eine erneute Kontosperrung unterbunden.

In einem emotionalen Post wandte sich der Forscher an Microsoft: „Als ich dich aktiv gebeten habe, mit mir zu kommunizieren, hast du es verweigert, mich gedemütigt und vor Leuten beleidigt. Du verleumdest mich öffentlich in deinem CVE-2026-45585-Advisory, obwohl du das Microsoft-Konto gelöscht hast, das ich für Bug-Reports verwendet habe, und ich keinen Cent dafür bekommen habe.“ Die Löschung des GitHub-Accounts wird als Zensur und Eskalation seitens des Konzerns wahrgenommen. Zuletzt kündigte der Forscher für den 14. Juli 2026 die Veröffentlichung von etwas an, das Microsoft „die Knochen brechen“ wird – eine Drohung, die in der Security-Community für zusätzliche Besorgnis sorgt.

Kritische Einordnung: Wenn das System versagt

Dieser Fall ist ein klassisches Beispiel dafür, was passiert, wenn der etablierte Prozess der Schwachstellenoffenlegung auf beiden Seiten bricht. Microsoft hat recht damit, dass unkoordinierte Full Disclosure Nutzer gefährdet. Sobald Proof-of-Concept-Code online geht, ist es nur eine Frage von Stunden, bis Angreifer ihn nutzen – die aktive Ausnutzung von drei der sechs Lücken beweist das eindrucksvoll.

Doch Microsoft übersieht hier eine wesentliche Lektion: CVD funktioniert nur, wenn ein Vertrauensverhältnis besteht. Wenn Forscher das Gefühl haben, dass ihre Meldungen ignoriert werden, ihre Accounts gelöscht werden und sie ohne Anerkennung (sprich: Bug Bounty) dastehen, ist der Weg zur radikalen Full Disclosure oft vorprogrammiert. Die Löschung des GitHub- und GitLab-Accounts des Forschers durch die Plattformen wirft zudem unbequeme Fragen zum Machtgefälle in der IT-Sicherheit auf. Wenn Big Tech die Möglichkeit hat, kritische Forschungsergebnisse einfach von den wichtigsten Code-Hosting-Plattformen löschen zu lassen, statt sich inhaltlich mit den Mängeln auseinanderzusetzen, entsteht der Eindruck von Zensur anstelle von Sicherheit.

Am Ende verlieren beide Seiten – und vor allem die Nutzer. Microsoft steht mit drei aktiv ausgenutzten Zero-Days da, der Forscher hat seine Plattformen verloren, und Windows-Nutzer sind in den kommenden Wochen auf rasante Patch-Arbeit von Microsoft angewiesen. Der Vorfall zeigt einmal mehr: Security-Forschung braucht klare, verlässliche und respektvolle Prozesse – von beiden Seiten. Wo diese fehlen, wird IT-Sicherheit zum Pulverfass.

Quelle: The Hacker News