Microsoft kritisiert unkoordinierte Zero-Day-Leaks scharf : Streit zwischen Microsoft und Forschern um Sicherheitslücken eskaliert

Microsoft hat sich ungewöhnlich deutlich hinter das Prinzip der koordinierten Offenlegung von Sicherheitslücken gestellt. Der Konzern fordert die Sicherheitscommunity dazu auf, entdeckte Schwachstellen zunächst vertraulich an betroffene Hersteller zu melden, damit diese Risiken bewerten und Patches entwickeln können, bevor technische Details öffentlich werden.

Auslöser der Stellungnahme war eine Reihe von Veröffentlichungen des Sicherheitsexperten Chaotic Eclipse alias Nightmare-Eclipse. Der Sicherheitsexperte machte innerhalb weniger Wochen mehrere bislang ungepatchte Zero-Day-Schwachstellen in verschiedenen Windows-Komponenten öffentlich, darunter Microsoft Defender und BitLocker. Nach seiner Darstellung war die sehr wohl gesuchte Zusammenarbeit mit Microsoft zuvor gescheitert.

Microsoft erklärte dagegen, die Informationen seien vor der Veröffentlichung nicht mit dem Unternehmen geteilt worden. „Die Details dieser Schwachstellen wurden Microsoft vor der Veröffentlichung nicht mitgeteilt, und die Offenlegungen setzen unsere Kunden unnötigen Risiken aus“, teilte der Konzern mit. Sicherheitsteams hätten anschließend „rund um die Uhr“ gearbeitet, um Auswirkungen zu analysieren und Schutzmaßnahmen bereitzustellen.

Mehrere Schwachstellen bereits aktiv ausgenutzt

Zu den veröffentlichten Schwachstellen zählen:

• BlueHammer (CVE-2026-33825)
• RedSun (CVE-2026-41091)
• UnDefend (CVE-2026-45498)
• YellowKey (CVE-2026-45585)
• GreenPlasma
• MiniPlasma

Nach Angaben von Microsoft werden BlueHammer, RedSun und UnDefend bereits aktiv angegriffen. Besonders kritisch bewertet der Konzern die Veröffentlichung von Proof-of-Concept-Code für ungepatchte Schwachstellen. Gelange solcher Code in die Hände von Angreifern, könne dies „reale Folgen“ für Unternehmen und Privatnutzer haben.

Der Vorfall rückt erneut die Prozesse rund um Coordinated Vulnerability Disclosure (CVD) in den Fokus. Dabei erhalten Hersteller üblicherweise eine Frist zur Analyse und Behebung gemeldeter Schwachstellen, bevor technische Details veröffentlicht werden. Sicherheitsforscher argumentieren hingegen regelmäßig, dass öffentliche Transparenz Druck auf Hersteller ausübt und Anwender schneller auf Risiken aufmerksam macht.

GitHub- und GitLab-Sperren verschärfen den Konflikt

Die Auseinandersetzung eskalierte weiter, nachdem GitHub den Account des Analysten entfernte. Zwar wurde der Exploit-Code für die sechs Schwachstellen anschließend auf GitLab hochgeladen, doch auch der neu erstellte Account wurde inzwischen blockiert.

Der Betroffene reagierte darauf mit scharfer Kritik an Microsoft. In einem öffentlichen Beitrag schrieb er sinngemäß, Microsoft habe Kommunikationsversuche ignoriert, ihn öffentlich diskreditiert und anschließend seine Accounts sperren lassen. Besonders brisant wirkt eine weitere Ankündigung: Für den 14. Juli 2026 stellte der Forscher eine neue Veröffentlichung in Aussicht, die Microsoft massiv unter Druck setzen solle.

Microsoft betonte unterdessen, man wolle trotz unterschiedlicher Positionen den Dialog mit der Sicherheitscommunity fortsetzen. Gespräche dazu fänden bei Forscherveranstaltungen, Sicherheitskonferenzen und im täglichen Austausch statt.

Der Vorfall zeigt, wie schwierig die Zusammenarbeit zwischen großen Softwareherstellern und Sicherheitsforschern inzwischen geworden ist. Unternehmen wie Microsoft wollen Schwachstellen meist erst nach der Entwicklung eines Updates öffentlich machen, um Nutzer besser zu schützen. Einige Forscher befürchten dagegen, dass Probleme dadurch zu spät oder nicht offen genug kommuniziert werden. Die aktuellen Ereignisse dürften die Debatte über den Umgang mit Zero-Day-Schwachstellen weiter anheizen.

Weitere Artikel: 

GitHub verschärft npm-Schutz gegen Supply-Chain-Angriffe

Claude Mythos findet tausende kritische Schwachstellen in Software