Nightmare-Eclipse Zero-Day-Angriff: 6 Exploits, 3 weiterhin ungepatcht – Die komplette Chronik
Ein Forscher veröffentlichte zwischen dem 3. April und 17. Die Kampagne zwang Microsoft zu außerplanmäßigen Patches, löste Notfallrichtlinien der US Cybersicherheitsbehörde CISA aus und entfachte die Debatte über koordinierte Schwachstellenoffenlegung neu.
What were the key details and timeline of the zero-day exploit spree by the researcher known as Nightmare-Eclipse, Chaotic Eclipse, or DeadThe six Windows zero-days released over six weeks in an escalating retaliatory campaign against Microsoft.
KI-Prompt
Create a landscape editorial hero image for this Studio Global article: What were the key details and timeline of the zero-day exploit spree by the researcher known as Nightmare-Eclipse, Chaotic Eclipse, or Dead. Article summary: Here is a comprehensive summary of the Nightmare-Eclipse / Chaotic Eclipse zero-day campaign against Microsoft, based on reporting through late May 2026.. Topic tags: general, general web, user generated, education. Reference image context from search candidates: Reference image 1: visual subject "The anonymous security researcher who has already maliciously exposed three Windows zero-days this year has revealed two more, dropping them just after Microsoft's monthly Patch Tu" source context "Disgruntled researcher releases two more Microsoft zero-days" Reference image 2: visual subject "The anonymous security researcher who has already maliciously exposed three
openai.com
Anfang April 2026 startete ein Sicherheitsforscher unter den Pseudonymen Nightmare-Eclipse, Chaotic Eclipse und Dead Eclipse einen außergewöhnlichen Angriff auf Microsoft Windows. Über sechs Wochen hinweg veröffentlichte er funktionsfähigen Exploit-Code für sechs Zero-Day-Schwachstellen – nicht aus Profitgier oder für Reputation, sondern als Vergeltungsakt gegen das unternehmenseigene Security Response Center (MSRC). Die Kampagne zwang Microsoft zu außerplanmäßigen Sicherheitsupdates, löste Notfallrichtlinien der US-Cybersicherheitsbehörde CISA aus und ließ drei kritische Exploits ungepatcht, wodurch Millionen von Windows-Rechnern akuten Angriffen ausgesetzt waren .
Firmen wie Barracuda und ThreatLocker beschrieben die Aktion als eskalierenden Rachefeldzug, nicht als koordinierte Offenlegung . Der zeitliche Ablauf offenbart Schwachstellen sowohl in Microsofts Produkten als auch in der Beziehung zu unabhängigen Forschern. Er ist ein Paradebeispiel dafür, wie eine einzelne verärgerte Person das gesamte Sicherheitsökosystem stören kann.
Chronologie der sechs Exploits
Der folgende Zeitstrahl dokumentiert jede Offenlegung, den Patch-Status und die institutionellen Reaktionen.
Datum
Ereignis
3. April
BlueHammer – eine lokale Rechteausweitung (LPE) auf SYSTEM-Ebene via Microsoft Defender – wird auf GitHub mit der Nachricht „Ich habe nicht geblufft“ veröffentlicht .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Wie lautet die kurze Antwort auf „Nightmare-Eclipse Zero-Day-Angriff: 6 Exploits, 3 weiterhin ungepatcht – Die komplette Chronik“?
Ein Forscher veröffentlichte zwischen dem 3. April und 17.
Was sind die wichtigsten Punkte, die zuerst validiert werden müssen?
Ein Forscher veröffentlichte zwischen dem 3. April und 17. Die Kampagne zwang Microsoft zu außerplanmäßigen Patches, löste Notfallrichtlinien der US Cybersicherheitsbehörde CISA aus und entfachte die Debatte über koordinierte Schwachstellenoffenlegung neu.
Was soll ich als nächstes in der Praxis tun?
Der Forscher wurde von GitHub und GitLab verbannt und hat für den 14. Juli eine weitere Welle von Enthüllungen angedroht.
BlueHammer wird mitsamt eines vollständigen Machbarkeitsnachweises (Proof-of-Concept, PoC) öffentlich zugänglich gemacht .
~10. April
Aktive Ausnutzung wird von Infrastruktur mit russischer Geolokalisierung beobachtet, so Barracuda und Huntress .
14. April
Microsofts Patch Tuesday behebt BlueHammer als CVE-2026-33825 (CVSS 7.8) .
16. April
RedSun (LPE über Defenders Cloud-Dateirollback) und UnDefend (deaktiviert Defender-Signaturupdates) werden enthüllt; Huntress bestätigt, dass alle drei Defender-Exploits aktiv angegriffen werden .
~17. April
CISA nimmt CVE-2026-41091 (RedSun) und CVE-2026-45498 (UnDefend) in seinen Katalog bekannter ausgenutzter Schwachstellen (KEV) auf und ordnet das Patchen für US-Bundesbehörden bis zum 3. Juni an .
12. Mai
YellowKey (BitLocker-Umgehung via Windows-Wiederherstellungsumgebung WinRE) und GreenPlasma (CTFMON-SYSTEM-Rechteausweitung) werden veröffentlicht, einen Tag nach dem Mai-Patch-Tuesday .
17. Mai
MiniPlasma wird veröffentlicht – SYSTEM-Rechteausweitung auf vollständig gepatchtem Windows 11 .
19. Mai
ThreatLocker bestätigt, dass MiniPlasma auf vollständig aktualisierten Systemen funktioniert .
21. Mai
Microsoft veröffentlicht außerplanmäßige Patches für RedSun und UnDefend .
~23. Mai
GitHub sperrt das Nightmare-Eclipse-Konto .
~26.–27. Mai
GitLab sperrt verbundene Konten .
27. Mai
Microsoft veröffentlicht einen Blogpost mit dem Titel „Eine gemeinsame Verantwortung“, verurteilt die Offenlegungen und warnt vor möglichen rechtlichen Schritten durch seine Abteilung für digitale Verbrechen .
14. Juli (angedroht)
Der Forscher droht für dieses Datum mit einer weiteren massenhaften Veröffentlichung von Exploits .
Exploit-Übersicht und Patch-Status
Drei der sechs Schwachstellen wurden bis Ende Mai 2026 gepatcht. Drei blieben ungelöst, wobei MiniPlasma das größte operative Risiko darstellt.
Exploit-Name
Typ / Ziel
CVE
CVSS
Patch-Status
BlueHammer
LPE in Microsoft Defender → SYSTEM
CVE-2026-33825
7.8
Gepatcht — 14. April Patch Tuesday
RedSun
LPE in Microsoft Defender
CVE-2026-41091
7.8
Gepatcht — außerplanmäßig am 21. Mai
UnDefend
Deaktiviert Defender-Signaturupdates
CVE-2026-45498
4.0
Gepatcht — außerplanmäßig am 21. Mai
YellowKey
BitLocker-Umgehung via WinRE
CVE-2026-45585
6.8
Ungepatcht — nur Absicherungshinweise
GreenPlasma
CTFMON-SYSTEM-Rechteausweitung
Nicht zugewiesen
Nicht zugewiesen
Ungepatcht
MiniPlasma
LPE → SYSTEM auf voll gepatchtem Windows 11
Nicht zugewiesen
Nicht zugewiesen
Ungepatcht — von ThreatLocker bestätigt
Besonders gefährlich ist MiniPlasma, da ein Standardnutzer auf einem System mit allen aktuellen Mai-2026-Updates SYSTEM-Rechte erlangen kann . Es zielt auf denselben cldflt.sys-Cloud Files-Treiber ab, den bereits BlueHammer attackierte, und nutzt eine zuvor behobene Schwachstelle von 2020, die der Forscher zufolge von Microsoft nie vollständig gepatcht wurde .
Motivation des Forschers: Ein Protest gegen das Microsoft Security Response Center (MSRC)
Der Forscher bezeichnete die Enthüllungen explizit als Vergeltung für die Behandlung durch das MSRC. Aus öffentlichen Stellungnahmen und Berichten geht hervor, dass vorherige private Einreichungen abgewiesen, verschleppt oder mit Forderungen beantwortet wurden, die der Forscher als exzessiv empfand – darunter Berichten zufolge die Aufforderung zur Erstellung eines Videobeweises für den Exploit . Eine wiederholt dem Forscher zugeschriebene Aussage lautet, das MSRC habe gedroht, sein Leben zu ruinieren, und dies auch getan .
Das Timing späterer Veröffentlichungen – direkt nach dem Patch Tuesday – war offenkundig darauf ausgelegt, maximale Aufmerksamkeit und maximalen Druck zu erzeugen. YellowKey und GreenPlasma erschienen am 12. Mai direkt nach Microsofts Mai-Zyklus, MiniPlasma folgte am 17. Mai .
Microsofts Reaktion und die rechtliche Drohung
Am 27. Mai veröffentlichte Microsoft einen Blogpost mit dem Titel „Eine gemeinsame Verantwortung: Kunden durch koordinierte Schwachstellenoffenlegung schützen“. Der Post:
Benannte alle sechs Exploits als „nicht verantwortungsvoll offengelegt“ .
Appellierte an die Sicherheitsgemeinschaft, die Praxis der Coordinated Vulnerability Disclosure (CVD) einzuhalten.
Enthielt eine versteckte Warnung von Microsofts Digital Crimes Unit, wonach die bewehrte öffentliche Offenlegung rechtliche Konsequenzen nach sich ziehen könnte .
Microsofts Wortwahl verschärfte den Konflikt, löste aber das Kernproblem nicht: Drei Zero-Days blieben ungepatcht. Die Plattformen, die den Code hosteten – GitHub um den 23. Mai herum und GitLab einige Tage später – ergriffen Maßnahmen und sperrten die Konten des Forschers .
Aktive Ausnutzung und institutionelle Alarmstimmung
Bis Mitte April wurden alle drei anfänglichen Defender-Exploits aktiv ausgenutzt. Die Sicherheitsunternehmen Huntress und Barracuda identifizierten Bedrohungsakteure, die den PoC-Code direkt aus öffentlichen GitHub-Repositories entnahmen und Infrastruktur mit russischer Geolokalisierung nutzten .
Die US Cybersicherheitsbehörde CISA reagierte schnell. BlueHammer wurde am 22. April mit einer Patch-Frist bis zum 6. Mai für Bundesbehörden in den KEV-Katalog aufgenommen . RedSun und UnDefend folgten später mit einer Frist bis 3. Juni . Diese Aufnahmen spiegeln tiefe Besorgnis wider: Wenn Sicherheitswerkzeuge selbst zum Angriffsvektor werden, versagen traditionelle Verteidigungsmodelle.
Reaktion der Community: Ein kaputter Offenlegungsprozess
Die Cybersicherheitsgemeinde reagierte mit einem gespaltenen Urteil.
Kritik am Forscher kam von Barracuda, ThreatLocker und LevelBlue, die die Kampagne als gefährlich und kontraproduktiv bezeichneten . Die öffentliche Verbreitung einsatzfähiger Exploits brachte Unternehmensanwender in unmittelbare Gefahr, während kein Patch existierte.
Kritik an Microsoft war ebenso scharf. Viele Forscher merkten an, die ganze Saga hätte durch einen respektvolleren und reaktionsschnelleren MSRC-Prozess vermieden werden können. Die Enthüllungen belebten langjährige Beschwerden neu: langsame Prüfung, undurchsichtige Kommunikation und eine konfrontative Haltung gegenüber Entdeckern, die nicht ins Schema der unternehmenseigenen Bug-Bounty-Programme passen .
Eine bemerkenswerte Dynamik: Microsoft drohte mit rechtlichen Schritten, während drei Exploits ungepatcht blieben – ein Schritt, den Kommentatoren als symbolisch und falsch priorisiert bezeichneten .
Wie geht es weiter?
Der Forscher ist ruhig, aber nicht verstummt. Nach dem Verlust des Plattformzugangs wechselte er auf einen persönlichen Blog und drohte explizit mit einer weiteren massenhaften Veröffentlichung am 14. Juli – dem nächsten Patch Tuesday . Ob diese Drohung glaubhaft ist, bleibt unbekannt, aber das Muster steht.
Für Sicherheitsteams ist die unmittelbare Priorität klar: Installieren Sie die außerplanmäßigen Defender-Patches, setzen Sie die Absicherungen für YellowKey um (Entfernen des autofstx.exe-BootExecute-Werts und Aktivierung von TPM+PIN für BitLocker) und behandeln Sie MiniPlasma als akute Bedrohung ohne offizielle Behebung. Achten Sie auf weitere PoC-Veröffentlichungen zeitlich abgestimmt auf zukünftige Patch Tuesdays und bereiten Sie Kompensationsmaßnahmen für Defender-Komponenten vor, die Angreifer jetzt systematisch ins Visier nehmen.
Die Nightmare-Eclipse-Episode dreht sich nicht nur um sechs Schwachstellen. Sie ist ein Stresstest für das Verhältnis zwischen Plattformanbietern und den Sicherheitsforschern, von denen sie abhängig sind. Wenn dieses Verhältnis zerbricht, sind die Konsequenzen öffentlich, ausnutzbar und gravierend.
securityaffairs.comResearchers uncover YellowKey and GreenPlasma Windows Zero ...
Comments
0 comments