Microsoft klärt auf: Kein Prozess gegen Sicherheitsforscher im Eclipse-Skandal

Mai, in dem ein rogue-Forscher namens Nightmare Eclipse verurteilt wurde, weil er sechs unpatchte Windows-Zero-Day-Schwachstellen ohne Koordination offengelegt hatte; dieser Beitrag wurde weitgehend als umfassende rechtliche Drohung gegen alle Forscher interpretiert, die offizielle Kanäle umgehen.

Microsoft schützt gute Glaubens-Forscher Der Streit dreht sich Nightmare Eclipse, auch bekannt als Chaotic Eclipse, der zwischen April und Mitte Mai 2026 öffentlich funktionierenden Proof-of-Concept-Exploit-Code für sechs Windows-Schwachstellen veröffentlichte.

Die Lücken, benannt als BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma und MiniPlasma, zielten auf Kernkomponenten, darunter Microsoft Defender und die BitLocker-Verschlüsselung.

Sicherheitslage und Risiko

Drei dieser Exploits – BlueHammer, RedSun und UnDefend – wurden anschließend in realen Angriffen eingesetzt, und das CISA (Cybersecurity and Infrastructure Security Agency) fügte sie in sein Known Exploited Vulnerabilities (KEV)-Verzeichnis ein.

Der Forscher, der behauptet, Microsoft habe frühere Schwachstellen-Meldungen über offizielle Kanäle ignoriert und sie „im Rücken gestochen" habe, versprach für den 14. Juli eine „knochenschmetternde" Nachfolge-Veröffentlichung, die Patch Tuesday Juli ins Visier nimmt.

Die Digital Crimes Unit, GitLab und dem Portal für MSRC-Forscher gesperrt, nachdem mehrere Zero-Day-Schwachstellen für Windows öffentlich bekannt gegeben wurden. In ihrem ersten Blogbeitrag warnte Microsoft davor, „Rechtsschritte gegen Akteure und diejenigen einzuleiten, die ihre kriminelle Tätigkeit ermöglichen".

Auch das MSRC nahm die Lage

Auch das MSRC nahm die Lage in einem Beitrag auf X zur Kenntnis. Sicherheitsexperten warnten sofort, dass diese Formulierung eine abschreckende Wirkung auf die gesamte Forschungscommunity haben könnte und zukünftige verantwortungsvolle Offenlegungen unterbinden würde.

In einer nachfolgenden Aufklärung zog Microsoft einen klaren Unterschied zwischen gutgläubiger Forschung und böswilliger Aktivität.

Das Unternehmen erklärte, dass rechtliche Eskalationen nur stattfinden würden, „wenn eine Person das Gesetz bricht und böswillige Aktivitäten ausführt, die unseren Kunden echten Schaden zufügen", wobei die strafbare Ausnutzung Forschung und Veröffentlichung ücken getrennt wurde.

Was die Studie zeigt

Die Erklärung anerkennt, dass einige frühere Interaktionen zwischen dem MSRC und Forschern „nicht den Erwartungen entsprochen haben", und verpflichtet sich erneut zu „Transparenz, klarer Kommunikation und Professionalität" in jeder Offenlegungsinteraktion.

In den letzten Tagen haben wir die Debatte um die koordinierte Offenlegung und die Beziehung zwischen Sicherheitsforschern und Anbietern aufmerksam verfolgt. Wir erkennen an, dass diese Beziehung sowohl entscheidend als auch zuweilen zerbrechlich ist. Wir schätzen die Sicherheitsgemeinschaft sehr,… — Microsoft Security Response Center (@msftsecresponse) 1.

Juni 2026 Microsoft erkannte zudem die Ausmaß und wachsende Komplexität seines Offenlegungsworkloads an und wies darauf hin, dass es jährlich eine „hohe Anzahl", eine Zahl, die weiter steigt, da forschungsgetriebene Sicherheitsanalysen durch KI unterstützt werden.

Technik und Auswirkungen

Die Bug-Bounty-Programme des Unternehmens haben Forschern seit 2013 über 60 Millionen Dollar in 18 Programmen ausgezahlt, die Azure, Windows, Microsoft Defender und KI-Systeme umfassen.

CVD unter dem Mikroskop Die Episode hat die branchenweite Prüfung der Koordinierten Offenlegung (CVD) – der gängigen Praxis, bei der Forscher Mängel vertraulich Hersteller melden, in der Regel innerhalb eines 90-Tage-Embargos, bevor sie öffentlich gemacht werden – verschärft.

Kritiker argumentieren, dass die anfängliche Reaktion Forscher einsetzen wollte, deren Meldungen zuvor ignoriert worden waren, und damit das Vertrauen in das CVD-Ökosystem untergrub. Google Project Zero hält strikt an einer Frist, unabhängig vom Patch-Status, während ZDI einen Zeitrahmen ält.

Sicherheitslage und Risiko

Microsoft betonte erneut, dass die CVD „die Grundlage für den Schutz unserer Kunden und die Verbesserung unserer Produkte bleibt", und kündigte an, Schwachstellenmeldungen über sein öffentliches Portal anzunehmen – unabhängig üheren Interaktionen.

Dies ist ein klares Signal, dass Streitfälle Stil davon abhalten sollen, sich verantwortungsvoll an der Meldung Webinar zu den OWASP API Top 10 und Leitfaden zur Schließung ücken mit WAAP. Der Beitrag „Microsoft klärt auf, dass Sicherheitsforscher nicht verklagen wird – Kontext der Nightmare-Eclipse-Kontroverse" erschien erstmals auf