SchwachstellenCyberkriminalitätDatenschutz

Microsoft verbietet sich Kritik nicht: Der Streit um die Veröffentlichung von Zero-Days

Von CyberDeutsch Redaktion
Microsoft verbietet sich Kritik nicht: Der Streit um die Veröffentlichung von Zero-Days
Zusammenfassung

Ein unbekannter Sicherheitsforscher unter dem Pseudonym Nightmare Eclipse sorgt seit April für Aufsehen, indem er systematisch Windows-Sicherheitslücken veröffentlicht – ohne Koordination mit Microsoft und zusammen mit funktionsfähigen Exploit-Codes. Bereits drei der sechs offengelegten Schwachstellen (BlueHammer, UnDefend und RedSun) werden aktiv von Cyberkriminellen ausgenutzt. Der Forscher begründet seine unkonventionelle Vorgehensweise mit Vorwürfen gegen Microsoft: gelöschte Konten, einbehaltene Bug-Bounty-Zahlungen und fehlende Anerkennung seiner Arbeit. Während Microsoft die unkoordionierten Offenlegungen als „niemals zu rechtfertigen" verurteilt und mit rechtlichen Konsequenzen droht, werfen Sicherheitsexperten dem Konzern seinerseits vor, Forscher schlecht zu behandeln und Sicherheitslücken zu langsam zu beheben. Der Konflikt berührt ein grundlegendes Dilemma: Sollten Sicherheitsforschende Lücken offen legen, wenn Hersteller nicht kooperativ sind? Für deutsche Nutzer, Unternehmen und Behörden ist dies hochrelevant, da Windows weit verbreitet ist und die bereits exploitierten Schwachstellen unmittelbare Bedrohungen darstellen. Der angedrohte nächste Release am 14. Juli könnte weitere kritische Lücken betreffen.

Die Affäre um die Zero-Day-Veröffentlichungen wirft wichtige Fragen zur Verantwortung von Softwareherstellern auf. Microsoft bezeichnet die unkoordierten Offenlegungen als “nie zu rechtfertigen”. Doch diese Position wird von Sicherheitsexperten wie Katie Moussouris, Gründerin von Luta Security und Architektin von Microsofts ursprünglichem Bug-Bounty-Programm, kritisch hinterfragt. Sie weist darauf hin, dass Begriffe wie “responsible disclosure” von Herstellern oft als Waffe gegen Forscher eingesetzt werden.

Bislang hat Nightmare Eclipse sechs Schwachstellen veröffentlicht. Die ersten drei – BlueHammer, UnDefend und RedSun (alle April 2024) – wurden bereits in echten Angriffen ausgenutzt und sind in der CISA-Liste der bekannten exploitierten Schwachstellen aufgeführt. Die drei neueren Veröffentlichungen (YellowKey, GreenPlasma und MiniPlasma) sind bislang noch nicht gepatcht.

Der Forscher hat weitere Veröffentlichungen für den 14. Juli angekündigt – den Microsoft Patch Tuesday. Die Drohung “make sure your bones are shattered that day” verdeutlicht die Eskalation des Konflikts.

Microsofts Reaktion bleibt diplomatisch, aber mit scharfer Botschaft: Die Digital Crimes Unit könne gegen Ermöglicher von Cyberkriminalität vorgehen. Allerdings zeigt sich in der Branche Verständnis für die Frustration des Forschers. Trend Micro kritisierte Microsoft 2024 für mangelnde Anerkennung einer gemeldeten Schwachstelle. Tenable-CEO beschuldigte den Konzern 2023, Kunden bewusst im Dunkeln zu lassen. Check Point-Forscher Haifei Li betont, dass koordinierte Offenlegung nicht einseitig sein darf.

Moussouris warnt: Nicht-Offenlegung sei schlimmer als unkontrollierte Veröffentlichungen. “Was treibt Forscher zur Nicht-Offenlegung? Drohungen von Herstellern.”

Für deutsche Organisationen ist die Lehre klar: Schwachstellenmanagement erfordert Vertrauen. Unternehmen sollten ihre Sicherheitsforschungs-Prozesse überprüfen und das BSI bei kritischen Fällen einbeziehen. Die Meldepflicht nach DSGVO (Artikel 33) beginnt ohnehin nach Kenntnisnahme – schnelle Koordination ist rechtlich und sicherheitstechnisch geboten.

Ähnliche Artikel