Der Zero-Day-Rachefeldzug: Warum Nightmare-Eclipse Microsoft das Leben zur Hölle macht

Hey Leute, schnallt euch an.

Heute schauen wir uns ein Drama an, das direkt aus einem Cyberpunk-Thriller stammen könnte. Es geht um verletzten Stolz, fiese Windows-Internals, die Arroganz eines Tech-Giganten und eine Reihe von Zero-Day-Exploits, die Microsofts Sicherheitsarchitektur wie ein Kartenhaus zusammenbrechen lassen.

Die Rede ist von der Fehde zwischen Microsoft und dem unter dem Pseudonym „Nightmare-Eclipse“ (auch bekannt als Chaotic Eclipse o Dead Eclipse) agierenden Sicherheitsforscher.

Seit April 2026 lässt dieser Akteur Redmond keine ruhige Minute mehr. Fast schon rituell droppt er im Rhythmus des Patch Tuesdays einen kritischen Zero-Day nach dem anderen. Erst diese Woche (zum Mega-Patchday am 14. Juli 2026) gab es mit „LegacyHive“ den nächsten Streich.

Aber das Ganze ist nicht nur ein technisches Spektakel. Es ist ein Lehrstück darüber, wie ein Weltkonzern den sprichwörtlichen Boten köpft, anstatt seine eigenen Hausaufgaben zu machen. Aber fangen wir mal von vorne an.

Die explosive Vorgeschichte: Wenn aus dem „Insider“ ein Staatsfeind wird

Hinter dem Handle Nightmare-Eclipse steckt kein gelangweilter Script-Kiddie. Laut Recherchen von Sicherheits-Urgestein Brian Krebs handelt es sich um einen ehemaligen Microsoft-Sicherheitsmitarbeiter, der wohl laut einem Artikel von medium.com von September 2022 bis Juni 2025 in Redmond angestellt war.

Und hier fängt die Tragödie an. Dieser Entwickler berichtet, dass Microsoft seine intern eingereichten Reports beharrlich ignorierte, die Kommunikation verweigerte und am Ende sogar den Account gelöscht hat, über den er die Schwachstellen eingereicht hatte. Er ging leer aus „zero, nada, nichts“ für harte Arbeit und tiefgehende Security-Forschung. Den Frust kann man durchaus nachvollziehen.

Wenn man einen hochkarätigen Kernel-Spezialisten so tief demütigt, sollte man sich nicht wundern, wenn der Bumerang zurückfliegt. Der Forscher schwor Rache in Form von absolut präzisen, bisher ungepatchten Exploits. In den Exploit-Codes finden sich Kommentare wie:

"IHATEMICROSOFT SERIOUSLYMSFT"
"Let's see how long you can play this game..."

Die technische Abrissbirne: Aktuellste Exploits im Detail

Was Nightmare-Eclipse abliefert, ist kein theoretisches Geplänkel, sondern hochgradig funktionaler Code zur lokalen Rechteausweitung (Local Privilege Escalation, LPE) auf System-Ebene (NT AUTHORITY\SYSTEM). Schauen wir uns die fiesesten Dinger mal im Detail an.

BlueHammer (Der Defender-Trick)

Der Albtraum begann am 2. April 2026 mit BlueHammer (CVE-2026-33825). Der Exploit greift direkt das Update-Verfahren von Windows Defender an.

  • Cómo funciona: Er nutzt eine Timing-Lücke (Race Condition) über den Volume Shadow Copy Service (VSS), die Cloud-Files-API (clfs.sys) und sogenannte opportunistische Dateisperren (Oplocks). Ein normaler Benutzer kann damit die Signatur-Datenbank manipulieren und während des Upgrades die Rechte an die Decke schrauben.

MiniPlasma (Das Wiederauferstehen eines alten Geistes)

Con MiniPlasma reaktivierte der Forscher eine Schwachstelle, die eigentlich seit sechs Jahren als geflickt galt (CVE-2020-17103, ursprünglich von Google Project Zero entdeckt).

  • El problema: Es betrifft den Cloud Filter Driver (cldflt.sys) – die Systemkomponente, die z. B. für OneDrives „Files On-Demand“ Platzhalter-Dateien zuständig ist. Über die Funktion HsmOsBlockPlaceholderAccess manipuliert der Exploit die Registrierungsdatenbank (HKEY_USERS\.DEFAULT Hive), um Systemrechte zu erzwingen. Ein verdammt eleganter Bypass älterer Patches.

RoguePlanet (Wenn der Beschützer zur Waffe wird)

Direkt nach dem Juni-Patchday 2026 gedroppt, attackiert RoguePlanet (CVE-2026-50656) die Quarantäne-Pipeline von Windows Defender.

  • Die Schwachstelle: Da der Defender schädliche Dateien systemweit löschen oder isolieren darf, läuft er mit maximalen Rechten. RoguePlanet nutzt das eiskalt aus. Der Exploit fängt den Moment ab, in dem Defender ein Quarantäne-Objekt erstellt, biegt den Pfad um (Junction Point / Symlink) und zwingt den Defender, eine eigene, präparierte Payload mit SYSTEM-Rechten auszuführen. Microsoft hatte im Mai versucht, diese mpengine!SysIO-Funktionen stillschweigend zu härten. RoguePlanet war die direkte Antwort, die diesen Schutz umging.

LegacyHive (Der aktuelle Streich)

Brandneu aus dieser Woche (14. Juli 2026): LegacyHive greift den Windows User Profile Service an.

Der Exploit ermöglicht es, Hives (Registrierungsdatenbanken) anderer Nutzer zu laden, inklusive Admins! Ausnahmsweise hat der Forscher hier den PoC (Proof of Concept) leicht kastriert, um einen direkten Missbrauch in freier Wildbahn zu erschweren, aber die Botschaft ist klar: „Ich bin euch immer einen Schritt voraus.“

Microsofts Verhaltensmuster: Tötet den Boten!

Wie reagiert nun einer der wertvollsten Tech-Konzerne der Welt auf so ein PR- und Security-Desaster? Mit Demut und schnellen Patches? Natürlich nicht.

Anstatt den Dialog mit dem unzufriedenen Ex-Mitarbeiter zu suchen, zückt Microsoft die juristische und administrative Keule:

  1. GitHub-Sperrung: Microsoft (Besitzer von GitHub) löschte den Account von Nightmare-Eclipse und sperrte all seine Repositories.
  2. Der GitLab-Umzug: Was passierte? Der Forscher zog einfach zu GitLab um, nannte sich MSNightmare und veröffentlichte dort ungerührt weiter.
  3. Rechtliche Drohungen: Microsoft versuchte, juristisch Druck auszuüben. Das stachelte die Wut von Nightmare-Eclipse nur weiter an. Er drohte zeitweise sogar damit, am 14. Juli Microsofts Knochen „symbolisch zu zertrümmern“ (obwohl er diese Drohung später etwas entschärfte).

Das fundamentale Problem hierbei: Esto Konzept der „Coordinated Vulnerability Disclosure“ (CVD) basiert auf Vertrauen. Wenn Entwickler und Forscher das Gefühl haben, dass Konzerne sie herablassend behandeln, ihre Accounts sperren oder sie finanziell um den verdienten Lohn bringen, bricht das System zusammen.

Microsoft verhielt sich hier wie ein trotziges Kind. Sie sperren den Kanal, auf dem die Fehler aufgezeigt werden, anstatt die eklatanten, teils jahrealten Design-Schwächen im Windows-Kernel und im Defender zu beheben. Das Löschen eines GitHub-Accounts löst keine Kernel-Schwachstelle. Es sorgt nur dafür, dass der Exploit-Code unkontrolliert auf anderen Plattformen wie in diesem Beispiel auf GitLab landet. Problematisch ist jetzt, dass zu dem einen trotzigen Kind ein weiteres dazu gekommen ist.

Die nächste Eskalationsstufe? Nicht das gelbe vom Ei! Wenn Code am Ende nur noch im Darknet landet, wo die Blue Teams der Verteidiger noch schwerer rankommen, während die Ransomware-Banden bereits fleißig zugreifen wird es schnell zappenduster.

4. Warum das für uns Administratoren die Hölle ist

Diese Fehde ist kein reines Popcorn-Kino. Sie hat reale, gefährliche Konsequenzen:

  • Waffenfähige Exploits: IT-Sicherheitsfirmen wie Cazadora haben bereits bestätigt, dass die von Nightmare-Eclipse veröffentlichten Tools (darunter BlueHammer, RedSun y UnDefend) von echten Bedrohungsakteuren in Live-Angriffsketten integriert wurden.
  • Keine CVEs, keine Patches: Während wir auf Patchdays warten, stehen wir ohne Schutz da. Da es oft tagelang keine offiziellen CVE-Nummern oder Sicherheitsupdates gibt, können Angreifer, die sich einmal lokalen Zugriff verschafft haben, spielend leicht die volle Kontrolle über Windows 11- und Windows Server 2022/2025-Systeme übernehmen.
  • Das Defender-Dilemma: Ausgerechnet das Tool, das uns schützen soll (Windows Defender), wird durch das rabiate Verhalten von Microsoft zum primären Einfallstor für Privilegien-Eskalation.

Fazit: Zeit für ein Umdenken

Microsoft muss endlich begreifen, dass sie Sicherheitsforscher (egal wie unbequem, laut oder wie in diesem Fall nun wütend sie sind) so fair wir möglich und transparent behandeln müssen. Die „Kopf ab“-Mentalität gegenüber Kritikern und Whistleblowern verschlimmert die Bedrohungslage für uns alle massiv.

Gleichzeitig möchte ich an der Stelle aber auch nicht unerwähnt lassen, dass auf der anderen Seite ein Hersteller natürlich berechtigte Bedenken gegen vorzeitige Offenlegung und gegen Veröffentlichungen, die als Druckmittel wirken haben darf. Wie immer ist es nicht einfach Schwarz/Weiß, sondern diverse hübsche Grautöne. 😉

Bis Microsoft lernt, dass Bug-Bounty-Plattformen keine Einbahnstraßen sind, bleibt uns Admins nur: Defense in Depth. Schränkt lokale Admin-Rechte rigoros ein, implemtiert Least-Privilege, Tamper Protection und Application Control. Denkt auch an TTP: Überwacht ungewöhnliche Dateisystem-Aktivitäten (insbesondere Junctions/Symlinks im Defender-Verzeichnis) und verdächtige Manipulation von Volume-Shadow-Copies. Das Ereignisprotokoll ist euer Freund. Oh, und behaltet defintiv auch GitLab im Auge. Denn der nächste Patchday kommt bestimmt und Nightmare-Eclipse wartet schon.