Sicherheitslücken: Forscher droht Microsoft mit Veröffentlichung am 14. Juli

Nach der Veröffentlichung von sechs bislang unbekannten Windows-Sicherheitslücken droht der Konzern einem Forscher mit rechtlichen Schritten. Der Streit wirft grundlegende Fragen zum Umgang mit Sicherheitslücken auf.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Cyber-Security-Ratgeber herunterladen

Bruch der vertrauensvollen Zusammenarbeit

Die Spannungen erreichten ihren Höhepunkt, als ein Forscher unter dem Pseudonym Nightmare Eclipse Details und Exploit-Code für sechs Zero-Day-Schwachstellen veröffentlichte. Die Lücken tragen die Namen BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma und MiniPlasma. Microsoft wirft dem Forscher vor, gegen die Prinzipien der koordinierten Offenlegung von Schwachstellen (CVD) verstoßen zu haben. Dieses Verfahren gibt Herstellern üblicherweise Zeit, Patches zu entwickeln, bevor Details öffentlich werden.

Der Forscher hingegen sieht die Schuld bei Microsoft. Nach eigenen Angaben sei die Kommunikation mit dem Microsoft Security Response Center (MSRC) abgebrochen. Nightmare Eclipse behauptet, Microsoft habe den Zugang zum MSRC blockiert und die Auszahlung einer Bug-Bounty-Prämie von 150.000 Euro verweigert.

Sicherheitsexperte Kevin Beaumont beschreibt die Lage als „hochgradig chaotisch". Nach der Veröffentlichung wurden die Konten des Forschers auf GitHub und GitLab gesperrt.

Ultimatum und „Dead Man's Switch"

Der Forscher reagierte auf die Kontosperrungen und die rechtlichen Drohungen mit einem öffentlichen Ultimatum. Nightmare Eclipse droht, für den 14. Juli 2026 – dem Tag der monatlichen Microsoft-Sicherheitsupdates – weitere interne Dokumente und Details zu noch schwerwiegenderen Lücken zu veröffentlichen.

Zudem behauptet der Forscher, einen „Dead Man's Switch" eingerichtet zu haben. Dieses System würde im Falle einer Festnahme automatisch Daten ins Netz hochladen. Nightmare Eclipse fühlt sich betrogen: Das Unternehmen habe legitime Sicherheitsfunde zu Unrecht nicht honoriert.

Kritische Lücken und behördliche Warnungen

Der Rechtsstreit überschattet weitere Sicherheitsprobleme bei Microsoft. Am 27. Mai 2026 veröffentlichte der Konzern einen außerplanmäßigen Sicherheitspatch für eine kritische Schwachstelle in SharePoint Server. Die als CVE-2026-45659 gelistete Lücke ermöglicht entfernte Codeausführung und erreicht einen CVSS-Score von 8,8. Entdeckt wurde sie von einem Forscher namens MEOW. Betroffen sind die SharePoint Server Subscription Edition sowie die Versionen 2019 und 2016 Enterprise.

Parallel dazu hat die US-Cybersicherheitsbehörde CISA Bundesbehörden angewiesen, eine Windows-Sicherheitslücke mit der Kennung CVE-2026-32202 priorisiert zu patchen. Diese Schwachstelle betrifft den Abfluss von NTLM-Hashes und wird aktiv ausgenutzt, um sogenannte Pass-the-Hash-Angriffe durchzuführen. Die Lücke steht im Zusammenhang mit einer unvollständigen Korrektur für die frühere Schwachstelle CVE-2026-21510.

Auch internationale Behörden wurden aktiv. Das indische Computer Emergency Response Team (CERT-In) warnte am 28. Mai 2026 vor kritischen Schwachstellen in mehreren Microsoft-Diensten, darunter Microsoft 365 Copilot, Azure Resource Manager und Microsoft Entra ID.

Windows 11 macht Probleme? Diese 5 Fehler können Sie ab sofort selbst beheben. Kein IT-Techniker nötig – ein kostenloser Report zeigt, wie es geht. Gratis Erste-Hilfe-Report für Windows 11

KI-generierte Exploits und neue Abwehrmechanismen

Die Sicherheitslage wird durch neue technische Bedrohungen zusätzlich verkompliziert. Die Threat Intelligence Group von Google meldete am 27. Mai 2026 den ersten bekannten Fall eines KI-generierten Zero-Day-Exploits, der auf die Zwei-Faktor-Authentifizierung (2FA) abzielt. Das KI-system identifizierte einen semantischen Logikfehler in einem Server-Management-Tool und ermöglichte damit Massenangriffe auf Einmalpasswörter.

Microsoft reagierte auf die sich wandelnde Bedrohungslage mit einer neuen Funktion für Defender for Endpoint. Das Tool, das sich derzeit in der Vorschauphase befindet, soll kompromittierte Geräte innerhalb eines Netzwerks automatisch isolieren, sobald ein Cyberangriff erkannt wird. Ziel ist es, die seitliche Bewegung von Angreifern zu blockieren, während die Verbindung zu wichtigen internen Sicherheitsdiensten erhalten bleibt.

Gleichzeitig treibt Microsoft den Umbau seiner Secure-Boot-Infrastruktur voran. Aufgrund des Ablaufs von Zertifikaten, die 15 Jahre lang in Gebrauch waren, müssen Nutzer ein Update bis Ende Juni 2026 installieren, um die Sicherheitsfunktionen des Systems weiterhin nutzen zu können.

de | wirtschaft | 69439109 |