Sechs Zero-Days in sechs Wochen offengelegt: Microsoft reagiert mit Drohung

Nachweise von Sicherheitslücken in Microsoft Windows sind zuletzt mehrfach veröffentlicht worden, ohne dass es dafür ein Sicherheitsupdate gegeben hat. Solche Lücken wurden dann auch ausgenutzt, etwa bei den ungepatchten Windows-Zero-Days RedSun, UnDefend und BlueHammer. Das missfällt Microsoft. Der Konzern droht mit Klagen und der Polizei. Der Entdecker der Windows-Lücken stellt die Vorwürfe in Abrede.

In einem Blogpost ärgert sich das Microsoft Security Response Center (MSRC), dass es nicht vorab über die Sicherheitslücken informiert wurde. Das gehört grundsätzlich zum guten Ton in der IT-Sicherheitsbranche: Im Rahmen standardisierter Coordinated Vulnerability Disclosures (CVD) informieren Entdecker einer Sicherheitslücke die Zuständigen und geben diesen beschränkte Zeit, Updates herauszugeben, um den Fehler zu beheben. Große Einrichtungen belohnen Entdecker für verantwortungsbewusste Offenlegung zudem regelmäßig finanziell.

CVD soll verhindern, dass die Sicherheitslücken aktiv ausgenutzt werden, und gleichzeitig die Herausgeber von Software dazu anhalten, ihre Produkte flott abzusichern. „Unkoordinierte Veröffentlichungen, die Proof-of-Concept-Code für ungepatchte Lücken Tunichtguten zur Hand geben, sind nicht zu rechtfertigen und haben echte Konsequenzen”, schreibt das MSRC. Microsoft werde nicht davon ablassen, sowohl die eigentlichen Täter als auch die Veröffentlicher zu verklagen „– nach Bedarf in Kooperation mit Strafverfolgungsbehörden in aller Welt”.

Obacht Bumerang

Während die rechtliche Verfolgung Dritter, die Sicherheitslücken aktiv ausnutzen, schwierig aber unumstritten ist, warnen Experten seit langem davor, Sicherheitsforscher zu verfolgen. Denn das reduziert die Kooperationsbereitschaft der gesamten Szene.

„Unserer Erfahrung nach ist es weniger wahrscheinlich, dass Organisationen mit fortschrittlicheren Sicherheitskonzepten Klagen androhen, weil sie verstehen, dass das die Chancen folgender Schwachstellenmeldungen reduziert”, heißt es beispielsweise in einem rechtlichen Leitfaden der Cyberlaw Clinic der Harvard Law School und der Eletronic Frontier Foundation (EFF) aus dem Herbst 2020. „Größere Organisationen ohne besondere Expertise in IT-Sicherheit können eher dazu geneigt sein, auf eine Meldung mit Abmahnschreiben oder juristischen Drohungen zu reagieren.”

Hinzu kommt das Risiko von Streisand-Effekten: Klagen können erst recht die Aufmerksamkeit der Öffentlichkeit auf das Sicherheitsmanko des Klägers lenken. Hier hat Microsoft im Fall der jüngsten Zero-Days allerdings nichts mehr zu verlieren.

Gegenvorwürfe

Das Github-Konto des mutmaßlichen Entdeckers der gegenständlichen Sicherheitslücken (Pseudonym Nightmare Eclipse) hat Microsoft bereits gelöscht. Das war einfach, gehört Github doch Microsoft, kam aber zu spät. Insgesamt hat Nightmare Eclipse (auch Chaotic Eclipse, Dead Eclipse, oder schlicht Eclipse) binnen sechs Wochen nicht weniger als sechs Microsoft-Zero-Days bekannt gemacht: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma und MiniPlasma (beide zurückgehend auf CVE-2020-17103).

Dabei hat er auch auf bereits bekannten Probleme zurückgegriffen. Laut einem Post auf Blogspot soll die „Veröffentlichung” von GreenPlasma nichts anderes sein als eine Kopie des seit 2020 bei Googles Project Zero abrufbaren Codes. Dieser Windows-Fehler ermöglicht, unberechtigt beliebige Schlüssel in der Windows Registry anzulegen.

In dem selben mit „Nightmare Eclipse” betitelten Blog weist der Autor den Vorwurf, CVD-Regeln nicht befolgt zu haben, als „Diffamierung” von sich. Vielmehr habe Microsoft sein MSRC-Konto, über das er Schwachstellen unentgeltlich gemeldet habe, vorsätzlich gesperrt. Nach mehrfacher Nachfrage für den Grund der Sperre habe Microsoft das Konto überhaupt gelöscht, ohne je die Fragen zu beantworten.

In der Szene hat der früher gute Ruf des Microsoft Security Response Center stark gelitten. „Um Geld zu sparen, hat Microsoft die begabten Leute gefeuert, was nur noch Paragraphenreiter übrig ließ“, umriss IT-Sicherheitsforscher Will Dormann das Problem Anfang April auf Mastodon. Er wäre nicht überrascht, hätte Microsoft den Fall geschlossen, weil der Einmelder kein Video des Exploits beigefügt habe. Das sei inzwischen offenbar eine Anforderung des MSRC.

heise online hat Microsoft um Auskunft ersucht, ob Videos tatsächlich noch verlangt werden, und welche Maßnahmen es treffen wird, um Meldungen von Sicherheitslücken zu erleichtern.

(ds)