Microsoft kritisiert Veröffentlichung eines Windows-Zero-Day nach Sperrung eines GitHub-Kontos scharf

Nachdem Microsoft das GitHub-Konto eines Sicherheitsforschers gesperrt hat, der ungepatchte Zero-Day-Schwachstellen eigenmächtig öffentlich gemacht hatte, verschärft sich der Konflikt weiter, da der Forscher zusätzliche Enthüllungen angekündigt hat.

Vollständige Übersetzung

Microsoft erklärte, den Prozess der koordinierten Offenlegung von Schwachstellen (CVD) nachdrücklich zu unterstützen, und forderte die Sicherheitsforschungsgemeinschaft dazu auf, entdeckte Inhalte zu teilen und betroffenen Anbietern die Gelegenheit zu geben, diese klar zu verstehen und zu beheben, bevor Schwachstellen öffentlich gemacht werden.

Auslöser der aktuellen Situation war ein Forscher namens „Chaotic Eclipse“ (auch bekannt als Nightmare-Eclipse), der im vergangenen Monat Details zu mehreren Zero-Day-Schwachstellen veröffentlicht hatte, die verschiedene Windows-Komponenten einschließlich Defender und BitLocker betreffen, und dies mit Mängeln in Microsofts Prozess zur Behandlung von Schwachstellen begründete.

Microsoft teilte mit: „In den vergangenen Wochen wurden mehrere Zero-Day-Schwachstellen öffentlich gemacht“, und weiter: „Die Details dieser Schwachstellen wurden vor der Veröffentlichung nicht mit Microsoft geteilt, wodurch unsere Kunden unnötigen Risiken ausgesetzt wurden.“ Außerdem ergänzte das Unternehmen: „Um den durch die unkoordinierte Offenlegung entstandenen Risiken zu begegnen, arbeitet unser Sicherheitsteam rund um die Uhr daran, die Auswirkungen zu verstehen, Kunden zu schützen und Sicherheitsupdates zu entwickeln.“

Zu den veröffentlichten Schwachstellen gehören insgesamt sechs Fälle: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), undefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma und MiniPlasma. Davon werden drei Schwachstellen — darunter BlueHammer, RedSun und undefend — {p:50} bereits aktiv in realen Umgebungen für bösartige Angriffe ausgenutzt.

Microsoft erklärte, solche unkoordinierten Veröffentlichungen „entschieden“ abzulehnen, und warnte, dass Proof-of-Concept-(PoC)-Code für ungepatchte Schwachstellen, falls er in die Hände böswilliger Akteure gerät, „schwerwiegende Konsequenzen in der realen Welt“ haben könne. Zudem betonte das Unternehmen: „Wir begrüßen unterschiedliche Perspektiven, damit die Sicherheitsgemeinschaft zusammenarbeiten kann, um alle zu schützen. Wir können uns nicht immer in allem einig sein, aber wir verpflichten uns, Transparenz zu wahren und weiterhin Gelegenheiten für Dialog zu schaffen“, und fügte hinzu: „Diese Gespräche finden bei Veranstaltungen zur Anerkennung von Forschern, auf Sicherheitskonferenzen und in der täglichen Zusammenarbeit statt, in der wir gemeinsam Schwachstellen verstehen und beheben.“

Als Folge dieser unkoordinierten Offenlegung soll GitHub vergangene Woche das Konto des Forschers geschlossen haben. Danach wurden Exploit-Codes für die sechs Schwachstellen erneut auf GitLab hochgeladen, doch auch das neu erstellte GitLab-Konto ist inzwischen gesperrt.

In einem am Wochenende veröffentlichten Beitrag behauptete der Forscher: „Kurz gesagt: Als ich aktiv um Kommunikation bat, wurde ich abgewiesen, beleidigt und vor den Leuten offen bloßgestellt.“ Weiter schrieb er: „Nachdem ihr sogar mein Microsoft-Konto, das ich zum Melden von Bugs genutzt hatte, vollständig gelöscht habt, habt ihr meinen Ruf öffentlich mit dem Sicherheitshinweis zu CVE-2026-45585 beschädigt. Ich habe für keinen einzigen Cent wie ein Idiot gerne gearbeitet, und jetzt leistet ihr euch sogar den Luxus, mein GitHub-Konto zu markieren und mich spurlos vor aller Augen auszulöschen? Ihr beweist allen, dass ihr diesen Konflikt aktiv eskalieren lasst. Aber ich bin es jetzt leid, weiter zu betteln.“

Der Forscher kündigte außerdem an, am 14. Juli 2026 etwas zu veröffentlichen, und erklärte: „An diesem Tag werde ich Microsofts Knochen in Stücke brechen.“

Einzeiler des Autors

Microsoft scheint kein sonderlich freundliches Unternehmen mehr zu sein.