Windows-Sicherheit: Sechs ungepatchte Lücken nach Forscher-Streit

Nach der Veröffentlichung technischer Details zu gleich sechs ungepatchten Sicherheitslücken in Windows 11 und Windows Server 2025 hat der Konzern die Entwicklerkonten des Forschers sperren lassen und prüft rechtliche Schritte.

Der Streit um die Offenlegung

Im Zentrum der Auseinandersetzung steht ein Forscher, der unter den Pseudonymen Nightmare Eclipse oder Chaotic Eclipse bekannt ist. Seit April 2026 hat er insgesamt sechs Schwachstellen öffentlich gemacht – mit klangvollen Namen wie BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma und MiniPlasma. Die Lücken betreffen zentrale Systemkomponenten, darunter Windows Defender und die Verschlüsselungslösung BitLocker.

Anzeige: Während Microsoft und der Forscher sich öffentlich bekriegen, werden drei der sechs ungepatchten Lücken bereits aktiv ausgenutzt – und eine vierte umgeht BitLocker. Dieser Report liefert Ihnen die konkrete Checkliste, um Ihre Systeme noch heute abzusichern. Jetzt kostenlosen Notfall-Report anfordern

Das Microsoft Security Response Center (MSRC) reagierte am 27. Mai mit einer scharfen Stellungnahme. Die unkoordinierte Offenlegung von Zero-Day-Lücken sei niemals zu rechtfertigen, so der Konzern. Sie setze Kunden unnötigen Risiken aus. Die Digital Crimes Unit von Microsoft prüft nun rechtliche Optionen und mögliche strafrechtliche Ermittlungen – eine direkte Folge der veröffentlichten Proof-of-Concept-Exploits.

Bereits aktive Angriffe bestätigt

Die US-amerikanische Cybersicherheitsbehörde CISA hat bestätigt, dass drei der veröffentlichten Schwachstellen bereits aktiv ausgenutzt werden:

• BlueHammer (CVE-2026-33825)
• RedSun (CVE-2026-41091)
• UnDefend (CVE-2026-45498)

Eine vierte Lücke, YellowKey (CVE-2026-45585), ermöglicht Angreifern die Umgehung der BitLocker-Verschlüsselung. Das sind keine theoretischen Risiken mehr – die Angriffe laufen bereits.

Vorwürfe gegen Microsoft: Ausstehendes Bug-Bounty und Sperrung

Der Forscher rechtfertigt sein Vorgehen mit einem Zerwürfnis über eine ausstehende Bug-Bounty-Zahlung. Microsoft habe sich geweigert, die versprochene Prämie von 150.000 Dollar (rund 140.000 Euro) zu zahlen, und ihm anschließend den Zugang zum MSRC-Portal entzogen. Der Forscher wirft dem Konzern zudem Verleumdung vor.

Die Antwort ließ nicht lange auf sich warten: Nach der Sperrung seiner Konten auf GitHub und GitLab kündigte der Forscher an, am 14. Juli 2026 weitere Informationen zu veröffentlichen. Ein sogenannter "Dead Man's Switch" soll die Daten automatisch freigeben, falls er festgenommen wird.

Gemischte Reaktionen aus der Sicherheitsbranche

Die Sicherheitscommunity zeigt sich gespalten. Katie Moussouris von Luta Security und Kevin Beaumont kritisieren Microsofts aggressive Rhetorik scharf. Sie warnen vor einem Einschüchterungseffekt für die gesamte Sicherheitsforschung. Analysten von Suzu Labs und Xcape sehen im Abbruch der Kommunikation ein klares Versagen des etablierten Coordinated Vulnerability Disclosure (CVD)-Prozesses.

KI und die neue Bedrohungslage

Anzeige: Der Forscher-Streit eskaliert: Nach der Sperrung seiner Konten droht am 14. Juli 2026 die Veröffentlichung weiterer Exploits. Wer jetzt keine Schutzmaßnahmen ergreift, riskiert Datenverlust durch BitLocker-Umgehung. Dieser Leitfaden zeigt Ihnen in drei Schritten, wie Sie Ihre Infrastruktur gegen die bekannten und kommenden Angriffe wappnen. 3-Schritte-Notfallplan jetzt sichern

Der Streit kommt zu einem denkbar ungünstigen Zeitpunkt für Microsoft. Allein im Mai 2026 patchte der Konzern 138 Schwachstellen – ein Beleg für den enormen Druck auf die Sicherheitsteams.

Doch die Herausforderungen wachsen weiter: Im April 2026 identifizierte das KI-Modell Mythos AI von Anthropic innerhalb von 30 Tagen über 10.000 Schwachstellen. Das Projekt mit dem Codenamen Glasswing hat internationale Besorgnis ausgelöst. Die Bank von Italien leitete am 29. Mai Krisengespräche ein, und EU-Vertreter fordern in San Francisco verstärkten Zugang zu KI-Sicherheitswerkzeugen.

Die Industrie reagiert mit Milliarden-Investitionen: IBM startete das Fünf-Milliarden-Euro-Projekt Lightwell für Sicherheitsinfrastruktur, Google Cloud brachte am 27. Mai die AI Threat Defense auf den Markt. Der Grund ist alarmierend: Berichte deuten darauf hin, dass der Einsatz von KI durch staatliche Akteure das Zeitfenster für Gegenmaßnahmen von mehreren Stunden auf weniger als 30 Sekunden verkürzt hat.

de | wirtschaft | 69448990 |