Der Clinch zwischen einem Sicherheitsforscher mit dem Alias Nightmare Eclipse, der seit März 2026 sechs 0-Day-Schwachstellen mit Exploits in Microsoft-Produkten veröffentlichte, und Redmond geht weiter. Wir haben jetzt “Bitskrieg” und eine Solidarisierung der Security-Szene mit dem Sicherheitsforscher.
Der Schuss Microsofts, der nach hinten los geht
Ich hatte hier im Blog über die Veröffentlichung von 0-day-Schwachstellen inklusive Proof of Concept (PoC) in Microsoft-Produkten (Windows, Bitlocker, Defender) durch einen Sicherheitsforscher mit dem Alias Nightmare Eclipse berichtet (siehe Links am Artikelende). Der Sicherheitsforscher fühlte sich mutmaßlich durch Microsoft über den Tisch gezogen, weil gemeldete Schwachstellen nicht anerkannt und Bug Bounty-Prämien nicht gezahlt wurden.
Microsoft musste als Folge Schwachstellen patchen und warf dem Sicherheitsforscher “Verantwortungslosigkeit” vor. Dann wurde erst das GitHub-Konto von Nightmare Eclipse, auf dem er die PoCs veröffentlicht hatte, gesperrt (GitHub gehört Microsoft). Ich hatte im Beitrag Zoff und Schwarze-Peter-Spiel zwischen ‘Microslop’ und Chaotic Eclipse erste Reaktionen des Sicherheitsforschers auf Microsofts Vorhaltungen reflektiert. Nachdem der Sicherheitsforscher die Exploits auf PoCs eingestellt hatte, wurde auch das GitLab-Konto gesperrt.
Statt frühzeitig zu deeskalieren, goss Microsoft noch mehr Öl ins Feuer und dem Sicherheitsforscher in einem Blog-Post öffentlich vor, die als RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma und MiniPlasma bekannten Sicherheitslücken nicht verantwortungsbewusst offengelegt zu haben. Gleichzeitig verstieg Microsoft sich zu der Drohung, dass Microsofts Digital Crimes Unit weiterhin Verfahren gegen “diese Akteure [Angreifer] und diejenigen, die kriminelle Aktivitäten ermöglichen”, einleiten werde – und dabei bei Bedarf mit Strafverfolgungsbehörden auf der ganzen Welt zusammenarbeite.
Das muss im Kontext als Strafandrohung für Sicherheitsforscher interpretiert werden, die Schwachstellen unkoordiniert offen legen. Ich hatte bereits im Beitrag Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung ausgeführt, dass dieser Schritt Microsofts einfach nur dämlich war. Es gibt meines Wissens keine Gesetze, die eine “verantwortungsvolle Offenlegung” erzwingen.
Ich hatte im Beitrag auch in einem Nachtrag erwähnt, dass sich plötzlich immer mehr Leute auf Plattformen wie X melden, und ähnliche Erfahrungen wie Nightmare Eclipse mit Microsoft berichten. Also: Schwachstellen gemeldet, Monate hingehalten, dann gesagt bekommen, dass es keine Sicherheitslücke sei, oder nicht gepatcht werde. Bug Bounty-Prämien gab es auch keine. Dann haben die Leute im Nachgang festgestellt, dass Schwachstellen doch heimlich gepatcht wurden, etc.
Ich mag nicht ausschließen, dass der Algorithmus auf X besonders viele solcher Negativmeldungen in mein Profil spielt, weil ich darüber berichte. Aber der Tenor dessen, was ich im Internet so mitbekomme, ist, dass die Stimmung der Community der Sicherheitsforscher gegenüber Microsoft nicht die Beste ist. Florian Roth, Head of Research beim Sicherheitsanbieter Nextron, drückt in diesem Tweet aus, was mir quasi auch auf der Zunge lag.
Roth meint, dass er ja nicht wisse, was hinter verschlossenen Türen zwischen Microsoft und Nightmare Eclipse vorgefallen sei. Er wisse auch nicht, ob Microsoft oder der Sicherheitsforscher oder beide “unvernünftig” seien.
Aber Roth schreibt, dass er glaube, dass Microsoft diese Situation völlig falsch eingeschätzt habe. Wenn man der größte Softwareanbieter der Welt ist, dürfe man sich nicht “wie eine wütende Person” in einem Internetstreit verhalten. Repositories zu löschen, von strafrechtlichen Ermittlungen zu sprechen und die ganze Sache zu einem öffentlichen Streit zu machen, war ein Fehler Microsofts, so Roth. Der Schaden, der dadurch entstanden ist, gehe weit über diesen einen Sicherheitsforscher hinaus.
Roth schreibt, was ihn am meisten überrascht habe, sei die Beobachtung gewesen, wie schnell die Leute danach angefangen hätten, ihre eigenen Erfahrungen mit dem Microsoft Security Response Center (MSRC) öffentlich zu teilen. Dabei zieht sich laut Roth folgendes wie eine rote Linie durch die Posts:
- Monate ohne Antwort
- “Funktioniert wie vorgesehen” als Antwort
- Streitigkeiten um Bug Bounty-Prämien
- Meldungen, die ins Leere liefen
Roth meint, dass die Leute nicht plötzlich ohne Grund anfingen, solche Geschichten im Internet zu erzählen. Mich persönlich hat es nicht überrascht. Ich hatte in einem der am Beitragsende verlinkten Beiträge erwähnt, dass ich über Jahre bei Mails von Stefan Kanthak an das MSRT auf cc saß und die Microsoft-Antworten mit bekam. Roth schloss seinen Tweet mit den Worten: “Ich glaube, Microsoft hat hier viel Porzellan zerschlagen.” Ich würde eher das Bild des Elefanten im bewussten Laden mit dem Porzellan bemühen wollen, dass die bei Microsoft für die Eskalation Verantwortlichen abgeben.
“Bitskrieg”: Forscher teilen Schwachstellen
Der Versuch Microsofts, den Sicherheitsforscher zu “kriminalisieren” oder zumindest in die Ecke “der macht Illegales” zu rücken, ist gründlich misslungen. Die Community der Sicherheitsforscher solidarisiert sich mit Nightmare Eclipse.
Windows Central bringt es in obigem Tweet und in diesem Beitrag auf den Nenner. Die Cybersicherheitsbranche sei nach der obigen Entwicklung in Aufruhr, nachdem Microsoft damit gedroht habe, seine “Digital Crimes Unit” wegen der Offenlegung von Zero-Day-Schwachstellen einzuschalten. Nightmare Eclipse hatte bereits am 15. April 2026 in diesem Blog-Beitrag einige Hintergründe zu seinen Beweggründen, eine Schwachstelle direkt öffentlich zu machen, was ausgeführt und schreibt, “Sie haben mir persönlich gesagt, dass sie mein Leben ruinieren würden, und genau das haben sie getan”.
Der sich aus dem Fall ergebende Aufruhr verdeutliche, so Windows Central, die wachsenden Spannungen zwischen Microsoft und der Sicherheitsgemeinschaft in einer für das Vertrauen entscheidenden Phase.
Noch deutlicher wird obiger Tweet, der die neuesten Entwicklungen darstellt und mir bereits am 30. Mai 2026 untergekommen ist. Nightmare-Eclipse berichtet, dass Sicherheitsforscher ihm nun Schwachstellen kostenlos zur Verfügung stellen. Dies sei offenbar sowohl ein Zeichen der Solidarität, aber auch eine Reaktion auf die Art und Weise, wie Microsoft mit Sicherheitsforschern umgeht.
Den Anfang macht die mit dem Namen “Bitskrieg” bezeichnete Schwachstelle, die die Secure-Boot-Vertrauenskette untergräbt und BitLocker vollständig umgeht. Bolko hatte es vor einigen Stunden in diesem Kommentar thematisiert. Nightmare Exclipse hatte es am späten Freitag, den 29. Mai 2026, im Blog-Beitrag Announcing Bitskrieg selbst bekannt gegeben. Ob und wann er diese Informationen öffentlich macht, wird man sehen müssen. Aber jedem halbwegs denkenden Zeitgenossen dürfte klar sein, dass bei Microsoft sozusagen “einige Sicherheitsleichen im Keller liegen”. Von daher ist das Verhalten der Verantwortlichen aus Redmond doppelt kurzsichtig. Schwachstellen verschwinden ja nicht durch Zensur, das wird sich über kurz oder lang rächen.
Noch einige abschließende Bemerkungen. Auch wenn wir Deutschen den Begriff “Bitskrieg” sofort mit dem zweiten Weltkrieg assoziieren, bin ich mir diesbezüglich nicht so sicher, ob der Entdecker das im Hinterkopf hatte. Es gibt BITSkrieg: Der offizielle Cybersicherheits-Club des BITS Pilani K.K. Birla Goa Campus (Indien). Das ist eine Gruppe von Studierenden, die sich leidenschaftlich dafür interessieren, Softwaresysteme zu knacken, auszunutzen und abzusichern. Und es gibt das Buch “Bitskrieg: The New Challenge of Cyberwarfare“, welches sich mit der neuen Herausforderung der Cyberkriegsführung befasst.Ich vermute, dass der obige Name für die Sicherheitslücke sich aus dieser Richtung ableitet.
Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams
Nightmare Eclipse veröffentlicht MiniPlasma-Schwachstelle CVE-2020-17103
Zoff und Schwarze-Peter-Spiel zwischen ‘Microslop’ und Chaotic Eclipse
Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung
PakarPBN
A Private Blog Network (PBN) is a collection of websites that are controlled by a single individual or organization and used primarily to build backlinks to a “money site” in order to influence its ranking in search engines such as Google. The core idea behind a PBN is based on the importance of backlinks in Google’s ranking algorithm. Since Google views backlinks as signals of authority and trust, some website owners attempt to artificially create these signals through a controlled network of sites.
In a typical PBN setup, the owner acquires expired or aged domains that already have existing authority, backlinks, and history. These domains are rebuilt with new content and hosted separately, often using different IP addresses, hosting providers, themes, and ownership details to make them appear unrelated. Within the content published on these sites, links are strategically placed that point to the main website the owner wants to rank higher. By doing this, the owner attempts to pass link equity (also known as “link juice”) from the PBN sites to the target website.
The purpose of a PBN is to give the impression that the target website is naturally earning links from multiple independent sources. If done effectively, this can temporarily improve keyword rankings, increase organic visibility, and drive more traffic from search results.
