Microsoft knickt ein: Keine Strafverfolgung gegen Zero-Day-Forscher Nightmare Eclipse

Keine der Veröffentlichungen folgte dem üblichen Verfahren der koordinierten Schwachstellenweitergabe, der sogenannten Coordinated Vulnerability Disclosure (CVD). Der Forscher veröffentlichte die Exploits ohne Vorwarnung, oft unmittelbar nach einem Microsoft-Patchday, um das Zeitfenster für Angriffe zu maximieren .

Drei Lücken wurden rasch aktiv ausgenutzt: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) und UnDefend (CVE-2026-45498) . Die US-Cybersicherheitsbehörde CISA nahm sie in den Katalog bekannter ausgenutzter Schwachstellen auf und zwang US-Bundesbehörden zu Notfall-Patches . BlueHammer stopfte Microsoft am 14. April, für RedSun und UnDefend schob man am 21. Mai außerplanmäßige Updates nach . Die restlichen drei – YellowKey (eine BitLocker-Umgehung, CVE-2026-45585), GreenPlasma und MiniPlasma – waren Anfang Juni weiterhin ungepatcht .

Der Forscher selbst sprach von einer Vorgeschichte mit Microsofts Umgang mit Schwachstellenmeldungen. Nightmare Eclipse behauptete, frühere, über offizielle Kanäle gemeldete Bugs seien ignoriert oder fehlerhaft behandelt worden; zudem seien Prämien aus dem Bug-Bounty-Programm – etwa bis zu 250.000 US-Dollar für Hyper-V-Exploits – nicht ausgezahlt worden . Microsoft entgegnete dagegen, der Forscher habe die Lücken vor der Publikation nicht über die offiziellen Wege gemeldet .

Eskalation: Drohungen und Plattform-Sperren

Ende Mai wurde die Situation brisant. Um den 23. Mai herum sperrte GitHub den Account von Nightmare Eclipse; einige Tage später, um den 26./27. Mai, folgte GitLab . Der Forscher wich auf einen eigenen Blog aus und kündigte für den 14. Juli 2026 – den nächsten Patchday – eine „knochenbrecherische“ Veröffentlichung weiterer Exploits an .

Am 27. Mai publizierte das MSRC einen Blogpost mit dem Titel „A Shared Responsibility: Protecting customers through Coordinated Vulnerability Disclosure“ . Der Text verurteilte die unkoordinierten Veröffentlichungen scharf: Solche Enthüllungen, die Machbarkeitscode für ungepatchte Lücken in die Hände von Kriminellen legten, seien „niemals zu rechtfertigen und haben reale Konsequenzen“ .

Ein bestimmter Absatz sorgte in der gesamten Sicherheitsbranche für Alarmstimmung:

„Unsere Digital Crimes Unit wird weiterhin gegen diese Akteure und diejenigen vorgehen, die ihre kriminellen Aktivitäten ermöglichen – in Abstimmung mit Strafverfolgungsbehörden auf der ganzen Welt“ .

Microsoft nannte den Namen „Nightmare Eclipse“ nicht direkt, doch im Kontext des laufenden Enthüllungsfeldzugs interpretierten viele Forscher den Satz als unmissverständliche Drohung mit Strafverfolgung .

Massive Kritik aus der Community

Die Reaktion war schnell, laut und nahezu einhellig negativ. Sicherheitsforscher, Fachmedien und Branchenbeobachter warfen Microsoft Einschüchterung vor – ein Vorgehen, das legitime Sicherheitsforschung im Keim ersticken könne .

Innerhalb weniger Tage häuften sich kritische Schlagzeilen: TechCrunch titelte „Microsoft under fire for threatening security researcher with criminal investigation“ , Windows Central zitierte die Angst des Forschers mit „They will ruin my life“ , und auch The Register, Security Affairs, CSO Online sowie die Times of India berichteten über die „Empörung“ und den „Aufruhr“ in der Sicherheits-Community .

Ein zentrales Argument der Kritiker: Microsofts juristische Drohkulisse untergrabe das Vertrauen in die koordinierte Offenlegung an sich. Wer rechtliche Konsequenzen fürchten müsse, werde Bugs künftig vielleicht gar nicht mehr über offizielle Kanäle melden . Mehrere Stimmen hoben den Widerspruch hervor, dass Microsoft mit rechtlichen Schritten drohe, während drei der sechs enthüllten Schwachstellen weiterhin ungepatcht blieben .

Der Sicherheitsforscher Kevin Beaumont thematisierte Microsofts Umgang öffentlich und stellte die Verhältnismäßigkeit der Reaktion infrage . Im Kern lautete der Vorwurf: Microsoft habe die Eskalation selbst verursacht – durch den unsachgemäßen Umgang mit früheren Meldungen und die anschließende juristische Säbelrassel-Politik .

Die Kehrtwende vom 2. Juni

Am 2. Juni 2026 schwenkte Microsoft um. In einer Erklärung, die über den Kurznachrichtendienst X verbreitet und von mehreren Medien zitiert wurde, hieß es: „Um unseren Ansatz in Rechtsfragen klarzustellen: Wir haben nicht die Absicht, gegen Personen vorzugehen, die ihre Sicherheitsforschung betreiben oder veröffentlichen“ .

Diese Aussage stand im direkten Widerspruch zur Sprache der Digital Crimes Unit aus dem Blogpost vom 27. Mai. Microsoft versuchte, die frühere Kommunikation als allgemeinen Standpunkt zur koordinierten Offenlegung darzustellen – und nicht als konkrete Drohung gegen Nightmare Eclipse .

Der deutsche Tech-Blog BornCity beschrieb den Rückzieher als ein „ein wenig zurückrudern“ nach dem durch den MSRC-Post ausgelösten „Shitstorm“ . Das Branchenportal iTnews meldete, der Schritt komme „nach einer starken Gegenreaktion von Sicherheitsforschern“ .

Was die Kehrtwende wirklich bedeutet

Die Erklärung vom 2. Juni ist eher als Schadensbegrenzung denn als Kurswechsel zu verstehen. Microsoft verpflichtete sich nicht zu einer Änderung seiner Erwartungen an die Schwachstellenmeldung, und die grundlegenden Vorwürfe des Forschers – fehlerhafte Bearbeitung von Meldungen und nicht gezahlte Prämien – blieben unbeantwortet. Das Unternehmen zog die juristische Drohkulisse zurück, hielt aber an der Position fest, dass unkoordinierte Veröffentlichungen unverantwortlich seien .

In der Sicherheits-Community blieb Skepsis zurück. Viele sahen in der Klarstellung einen taktischen Rückzug unter öffentlichem Druck, nicht aber ein echtes Bekenntnis zum Schutz von Forscherrechten . Die weiterhin ungepatchten YellowKey-, GreenPlasma- und MiniPlasma-Lücken sorgten für anhaltende Kritik an Microsofts Prioritäten .

Der Fall legte tiefe Spannungen in der Schwachstellen-Offenlegung offen. Koordinierte Offenlegung beruht auf Vertrauen – Forscher melden Bugs vertraulich, Hersteller liefern innerhalb vertretbarer Frist Patches. Sobald eine Seite den Pakt als gebrochen wahrnimmt, gerät das gesamte System ins Wanken. Drei Faktoren zwangen Microsoft schließlich zum Einlenken: die Wucht und Geschwindigkeit der öffentlichen Empörung, die Drohung des Forschers mit einer noch größeren Exploit-Freisetzung am 14. Juli und die missliche Optik, rechtliche Schritte anzudrohen, während die eigenen Patches noch unvollständig waren.