## Microsoft reagiert auf Offenlegungen von Zero-Day-Schwachstellen **Microsoft** hat die Veröffentlichung mehrerer **Windows** Zero-Day-Schwachstellen durch einen pseudonymen Forscher, Nightmare Eclipse, öffentlich verurteilt. Das Unternehmen erklärte, dass solche unkoordinierten Offenlegungen "niemals zu rechtfertigen" seien und deutete potenzielle rechtliche Konsequenzen für diejenigen an, die Cyberkriminalität ermöglichen. ### Die Zero-Day-Veröffentlichungen Ab April begann Nightmare Eclipse, Schwachstellen mit funktionierendem Proof-of-Concept-Code auf **GitHub** zu veröffentlichen, wodurch sie sowohl für Angreifer als auch für Sicherheitsexperten leicht zugänglich wurden. Das **GitHub**-Konto des Forschers wurde inzwischen entfernt und sein Blog scheint offline zu sein. Unter den offengelegten Schwachstellen wurden **BlueHammer** (**CVE-2026-33825**), **UnDefend** (**CVE-2026-45498**) und **RedSun** (**CVE-2026-41091**) laut **Microsoft**-Advisories bei Live-Angriffen ausgenutzt. Diese Schwachstellen sind auch im Katalog der bekannten ausgenutzten Schwachstellen der U.S. Cybersecurity and Infrastructure Security Agency (**CISA**) aufgeführt. Drei weitere neuere Veröffentlichungen – **YellowKey** (**CVE-2026-45585**), GreenPlasma und MiniPlasma – haben derzeit keine Patches und keine bestätigte Ausnutzung. ### Motivationen des Forschers Der Forscher, der anonym bleibt, nannte Beschwerden gegen **Microsoft** und behauptete, das Unternehmen habe sein **Microsoft Security Response Center**-Konto gelöscht, Belohnungszahlungen zurückgehalten und die Zuordnung zu mindestens einem Advisory entfernt. Der Forscher erklärte: "Ich hätte damit wahnsinnig viel Geld verdienen können, aber kein Geldbetrag wird zwischen mir und meiner Entschlossenheit gegen **Microsoft** stehen." Der Forscher hat außerdem eine weitere Veröffentlichung für den 14. Juli angedroht, die mit dem Patch Tuesday von **Microsoft** zusammenfällt. ### Microsofts Reaktion In einem Blogbeitrag erklärte **Microsoft**: "Wir lehnen diese Handlungen und jede Offenlegung außerhalb einer ordnungsgemäßen Koordination, die unseren Kunden und dem digitalen Ökosystem schaden könnte, weiterhin entschieden ab. Unkoordinierte Offenlegungen, die Proof-of-Concept-Code für ungepatchte Schwachstellen in die Hände von böswilligen Akteuren bringen, sind niemals zu rechtfertigen und haben reale Konsequenzen." Das Unternehmen fügte hinzu: "Unsere Digital Crimes Unit wird weiterhin Fälle gegen diese Akteure und diejenigen, die ihre kriminellen Aktivitäten ermöglichen, verfolgen – nach Bedarf in Abstimmung mit Strafverfolgungsbehörden auf der ganzen Welt." ### Bedenken der Branche Obwohl die spezifischen Beschwerden des Forschers unbestätigt bleiben, haben andere Sicherheitsexperten ähnliche Bedenken hinsichtlich des Umgangs von **Microsoft** mit Schwachstellen geäußert. **Trend Micro**'s Zero Day Initiative kritisierte **Microsoft** im Jahr 2024 öffentlich für mangelnde Anerkennung nach der Meldung einer aktiv ausgenutzten Schwachstelle. Der damalige CEO von **Tenable** veröffentlichte einen Beitrag, in dem er **Microsoft** beschuldigte, Kunden über eine **Azure**-Schwachstelle im Dunkeln gelassen zu haben, die Monate nach der Offenlegung ungepatcht blieb. Ein Forscher von **Check Point** berichtete ebenfalls, dass **Microsoft** einen von ihm gemeldeten Fehler ohne Benachrichtigung gepatcht habe. **Katie Moussouris**, Gründerin von Luta Security und Architektin des ursprünglichen Bug-Bounty-Programms von **Microsoft**, bemerkte, dass das Fallenlassen von Zero-Days zwar nicht ideal sei, aber "Nicht-Offenlegung ist weitaus schlimmer... Was treibt Forscher zur Nicht-Offenlegung? Drohungen von Anbietern." **Microsoft** beharrt darauf, dass es Schwachstellenmeldungen über sein öffentliches Forscherportal begrüßt, unabhängig von früheren Interaktionen oder der Reputation.