04.06.2026
04.06.2026

Das »Eclipse«-Protokoll: Wie ein verprellter Hacker Microsoft im Frühjahr 2026 vorführte

daonware 0 Kommentare

Ein eskalierter Streit um Bug-Bounty-Zahlungen stürzt Microsoft in eine der schwersten Sicherheitskrisen der letzten Jahre. Sechs Zero-Day-Exploits wurden unkoordiniert veröffentlicht – und die Spur führt tief in die Vergangenheit von Windows 11.

Von der Daonware-Redaktion | Stand: Juni 2026

Es klingt wie das Drehbuch eines IT-Thrillers, ist aber bittere Realität im Frühjahr 2026: Ein einzelner Sicherheitsforscher, der unter dem Pseudonym Nightmare Eclipse agiert, hat Microsoft den offenen Krieg erklärt. Seit April hat der Whistleblower sechs hochgefährliche Zero-Day-Exploits unkoordiniert ins Netz gestellt (Full Disclosure). Mindestens drei davon werden laut übereinstimmenden Berichten von IT-Analysten bereits aktiv für Angriffe in freier Wildbahn ausgenutzt.

Quelle: https://deadeclipse666.blogspot.com/

Was wie blinde Zerstörungswut aussieht, hat eine Vorgeschichte aus Frust, Geld und gebrochenem Vertrauen.

Die Chronologie der Eskalation: Vom Partner zum Staatsfeind

Hinter den Kulissen schwelt der Konflikt bereits seit Monaten. Nightmare Eclipse wirft dem Tech-Giganten aus Redmond vor, ihm rechtmäßig zustehende Bug-Bounty-Zahlungen (Finderlöhne für entdeckte Schwachstellen) vorenthalten zu haben. Als der Forscher im internen Portal des Microsoft Security Response Center (MSRC) vehementer auf die Auszahlung drängte, zog Microsoft die Reißleine: Sein MSRC-Zugang wurde komplett gelöscht.

Abgeschnitten von jeglicher legalen Kommunikationsmöglichkeit wählte der Forscher die „nukleare Option“. In einer Reihe von Veröffentlichungen stellte er fertige Angriffs-Codes (Proof of Concepts) ins Netz. Microsoft reagierte mit maximaler Härte: Accounts auf GitHub und GitLab wurden gesperrt, und die berüchtigte Digital Crimes Unit (DCU) des Konzerns droht nun mit drastischen rechtlichen Schritten. Doch die Geister, die Microsoft rief, lassen sich nicht mehr einfangen – der Code ist längst im Internet gespiegelt.

Die sechs apokalyptischen Reiter von Windows 11

Die veröffentlichten Exploits betreffen teils tiefste Systemstrukturen und hebeln zentrale Sicherheitsmechanismen aus. Ein Überblick über das Waffenarsenal von Eclipse:

  • BlueHammer & RedSun: Beide Exploits (darunter CVE-2026-41091, eine Schwachstelle in der Windows Tiering-Engine) wurden von Microsoft inzwischen unter Hochdruck gepatcht.
  • UnDefend: Ein besonders perfider Exploit, der den Windows Defender und angeschlossene EDR-Sicherheitssoftware manipulierte. Er fror das System in einem vorgetäuschten »grünen«, fehlerfreien Zustand ein, während im Hintergrund die Signaturen blindgeschaltet wurden. Auch hier existiert mittlerweile ein Plattform-Update.
  • GreenPlasma: Befindet sich aktuell noch in der Analyse, gilt aber als potenzielles Sicherheitsrisiko
  • YellowKey (CVE-2026-45585) – UNGEPATCHT: Dieser Exploit umgeht die BitLocker-Verschlüsselung von Windows 11. Admins müssen sich derzeit mit komplexen PowerShell-Skripten und manuellen Mitigations-Maßnahmen behelfen.
  • MiniPlasma (CVE-2020-17103) – UNGEPATCHT: Der wohl brisanteste Exploit der Serie. Er ermöglicht Angreifern die Erlangung von SYSTEM-Rechten – der höchsten Berechtigungsstufe in Windows.

Die Microsoft-Altlasten von 2020: „MiniPlasma-Paradoxon“

Dass der Exploit MiniPlasma eine CVE-Nummer aus dem Jahr 2020 trägt, deckte einen peinlichen Missstand in Redmond auf. IT-Sicherheitsexperten (darunter Analysten von ThreatLocker und der bekannte Forscher Kevin Beaumont) fanden heraus, dass es sich hierbei um das Resultat eines unvollständigen Architektur-Patches handelt.

Bereits 2020 meldete James Forshaw (Google Projekt Zero) eine fundamentale Schwachstelle im Cloud-Dateisystem-Treiber (cldflt.sys) und der API CfAbortHydration. Microsoft flickte damals jedoch nur den spezifischen Absturzweg des Google-Forschers, anstatt das zugrundeliegende logische Problem mit Code-Design zu beheben. Nightmare Eclipse musste den sechs Jahre alten Angriffsvektor im Mai 2026 nur minimal anpassen, um damit auf modernsten, vollständig gepatchten Windows-11-Systemen SYSTEM-Rechte zu erlangen.

Ein gefährlicher Präzedenzfall für die White-Hat-Community

Für die Sicherheitsbranche ist der Fall ein Desaster mit Ansage. Seit Jahren klagen ungebundene „White Hat“-Hacker über das sogenannte Ghosting durch große Tech-Konzerne, bei dem gemeldete Lücken ignoriert oder finanzielle Belohnungen willkürlich gekürzt werden. Ein prominentes Beispiel aus dem Januar 2026, bei dem eine gravierende Dependency-Confusion-Schwachstelle im Azure-Portal mit der Begründung abgewiesen wurde, es handele sich „nicht um ein Produktionssystem“, zeigt die wachsende Kluft.

Wenn das Vertrauen in Bug-Bounty-Programmen kollabiert, droht eine gefährliche Verschiebung: Sicherheitsforscher könnten Lücken künftig seltener melden und sie stattdessen auf dem Schwarzmarkt an Cyberkriminelle verkaufen oder – wie Eclipse – direkt veröffentlichen.

Die Bürokratisierung der Sicherheitsforschung: Der »Videobeweis-Zwang«

Dass das Tischtuch zwischen Microsoft und der Community zerschnitten ist, liegt nicht nur an ausbleibenden Zahlungen, sondern auch an einer drastischen Verschärfung der Einreichungs-Richtlinien im MSRC-Portal. Seit Kurzem verlangt der Konzern von Forschern bei der Meldung von Schwachstellen zunehmend lückenlose Videobeweise (Proof-of-Concept-Videos).

Was aus Microsofts Sicht wie eine Maßnahme zur Effizienzsteigerung wirkt, empfindet die Community als Schikane und massives Hindernis:

  • Enormer Mehraufwand: Forscher müssen nun zeitwendig Screencasts erstellen, editieren und hochladen, anstatt wie bisher einfach den geschriebenen Code und ein Text-Log einzureichen.
  • Bürokratische Hürde: Viele »White Hats« sehen darin eine Taktik von Microsoft, valide Berichte aufgrund formaler Fehler (z. B. schlechte Videoqualität oder fehlende Sequenzen) abzuweisen, um Bug-Bounty-Zahlungen einzusparen oder hinauszuzögern.
  • Sicherheitsrisiko: Das Aufzeichnen und Übertragen von hochsensiblen Exploit-Abläufen in Videoform birgt zusätzliche Risiken, falls diese Daten unverschlüsselt abgefangen werden.

Für Nightmare Eclipse und viele andere Forscher war dieser wachsende bürokratische Druck – gepaart mit dem Gefühl, als Bittsteller statt als Partner behandelt zu werden – der finale Auslöser, dem koordinierten Prozess den Rücken zu kehren.

Die Krise ist nicht vorbei: Die Drohung für den Sommer 2026

Wer glaubt, der Höhepunkt des Skandals sei erreicht, irrt. Nightmare Eclipse hat kryptografisch signierte Statements im Netz platziert, die eine Fortsetzung des Rachefeldzugs ankündigen:

  1. Der Juni-Drop: Angekündigt ist ein neuer Secure-Boot-Exploit, der nicht nur BitLocker, sondern auch vertrauliche virtuelle Maschinen (Confidential VMs) komplett kompromittieren soll.
  2. Das Ultimatum für den 14. Juli 2026: Pünktlich zum Microsoft-Patchday im Juli will der Forscher einen weiteren verheerenden Zero-Day veröffentlichen. Seine schriftliche Drohung liest sich wie eine Kriegserklärung: Der Drop soll Microsoft endgültig »die Knochen zertrümmern«.

Für Administratoren weltweit bedeutet dies: die Augen offenhalten, Systeme über Application-Allowlisting (wie WDAC oder AppLocker) absichern und die kommenden Patchdays mit maximaler Aufmerksamkeit verfolgen. Der Sommer 2026 wird für die IT-Welt extrem heiß.

Quellen

Huntress-Blog-Beitrag – https://www.huntress.com/blog/nightmare-eclipse-intrusion
Borncity-Artikel – https://borncity.com/blog/2026/06/01/microsoft-versus-nightmare-eclipse-wir-haben-jetzt-bitskrieg/
Nightmare Eclipse Blog-Seite – https://deadeclipse666.blogspot.com/
International Cyber Digest – https://x.com/IntCyberDigest/status/2060828712963113226
Cybernews – https://cybernews.com/security/gitlab-bans-rogue-researcher-releasing-windows-zero-days/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert