Zero-Day-Lücken: Forscher droht Microsoft mit Veröffentlichung am 14. Juli

Der Konzern leitet rechtliche und technische Schritte gegen einen Forscher ein, der unkoordinierte Schwachstellen in Windows 11 und Windows Server 2025 veröffentlichte.

Streit um Bug-Bountys eskaliert

Die Auseinandersetzung zwischen Microsoft und dem unter dem Pseudonym Nightmare Eclipse agierenden Sicherheitsforscher erreichte Ende Mai einen neuen Höhepunkt. Im Zentrum steht ein Streit über ausstehende Prämien in Höhe von rund 140.000 Euro für die Entdeckung von sechs Zero-Day-Lücken.

Anzeige: Während Microsoft gegen den Forscher Nightmare Eclipse rechtlich vorgeht, sind mindestens drei Zero-Day-Lücken bereits aktiv in Angriffen – darunter YellowKey, das BitLocker umgeht. Bevor am 14. Juli weitere Details drohen, sollten Sie jetzt handeln. Sofortmaßnahmen-Checkliste anfordern

Der Forscher hatte zwischen April und Mai dieses Jahres Schwachstellen mit den Namen BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma und MiniPlasma öffentlich gemacht. Microsoft wirft ihm vor, gegen die Grundsätze der koordinierten Offenlegung von Sicherheitslücken verstoßen zu haben. Das Microsoft Security Response Center (MSRC) betont, dass die Veröffentlichung technischer Details vor Verfügbarkeit eines Patches Kunden unnötigen Risiken aussetze.

Die Digital Crimes Unit des Konzerns stimmt sich eigenen Angaben zufolge bereits mit Strafverfolgungsbehörden ab, um mögliche rechtliche Schritte zu prüfen.

Aktive Angriffe auf kritische Lücken

Sicherheitsexperten bestätigen die Brisanz der Lage. Die Firma Huntress konnte nachweisen, dass mindestens drei der Schwachstellen – BlueHammer, RedSun und UnDefend – bereits aktiv ausgenutzt werden.

Besonders kritisch ist die als YellowKey (CVE-2026-45585) bekannte Lücke. Sie erlaubt Angreifern, die BitLocker-Verschlüsselung über die Windows-Wiederherstellungsumgebung (WinRE) zu umgehen. Microsoft empfiehlt betroffenen Nutzern, eine Kombination aus TPM und PIN-Schutz einzusetzen, um das Risiko zu minimieren.

Auch Indiens CERT-In warnte am 28. Mai vor einer Reihe von Schwachstellen in Microsofts Cloud- und KI-Diensten – diese sind jedoch von den spezifischen Zero-Day-Lecks unabhängig.

Ultimatum und Dead Man's Switch

Die Auseinandersetzung hat mittlerweile eine neue Dimension erreicht. Microsoft erwirkte die Sperrung der Konten des Forschers auf den Entwicklerplattformen GitHub und GitLab.

Anzeige: Der Streit um ausstehende Bug-Bounty-Zahlungen eskaliert – Ihr Unternehmen trägt das Risiko. Mit unserem Leitfaden sichern Sie Ihre BitLocker-Verschlüsselung gegen YellowKey und erhalten eine Bug-Bounty-Strategie, die solche Eskalationen vermeidet. Leitfaden jetzt sichern

Nightmare Eclipse reagierte mit einem öffentlichen Ultimatum: Der Forscher droht, am 14. Juli 2026 – dem Tag von Microsofts monatlichem Sicherheitsupdate – sensible interne Dokumente und Details zu weiteren, möglicherweise noch schwerwiegenderen Schwachstellen zu veröffentlichen. Zudem behauptet er, einen Dead Man's Switch eingerichtet zu haben, der die Daten automatisch freigeben würde, sollte er festgenommen werden.

Debatte in der Sicherheitsszene

Während Microsoft betont, die Maßnahmen seien zum Schutz des gesamten Sicherheitsökosystems notwendig, hat der Fall eine grundsätzliche Debatte ausgelöst. Viele Sicherheitsexperten zeigen sich frustriert über den Melde- und Belohnungsprozess des Konzerns. Die Eskalation, so die Kritik, spiegele die wachsenden Spannungen zwischen unabhängigen Forschern und großen Technologiekonzernen wider.

de | wirtschaft | 69441151 |