Zero-Day-Drama spitzt sich zu: Microsoft droht Chaotic Eclipse mit Strafverfolgung

Auf die von Chaotic Eclipse geleakten Windows-Exploits reagiert Microsoft mit einer Drohung. Doch die stößt auf jede Menge Widerstand.

29. Mai 2026 um 11:50 Uhr / Marc Stöckel

10 Kommentare Auf Google folgen (öffnet im neuen Fenster)

Microsoft eskaliert seinen Streit mit Chaotic Eclipse. (Bild: GERARD JULIEN/AFP via Getty Images) — Microsoft eskaliert seinen Streit mit Chaotic Eclipse. Bild: GERARD JULIEN/AFP via Getty Images

Inhalt

Nach der jüngsten Eskalation im Streit zwischen Microsoft und dem Sicherheitsforscher Chaotic Eclipse, der in den letzten Wochen aus Frust mehrere Zero-Day-Exploits für Windows geleakt hatte, hat Microsoft jetzt eine Stellungnahme zu dem Sachverhalt veröffentlicht. Darin droht der Konzern dem Forscher unter anderem mit einer Strafverfolgung. In der Security-Community stößt das teilweise auf heftige Kritik.

Microsoft wirft Chaotic Eclipse in einem Blogbeitrag(öffnet im neuen Fenster) vor, die Zero-Day-Lücken Redsun, Undefend, Bluehammer, Yellowkey, Greenplasma und Miniplasma nicht verantwortungsvoll offengelegt und Windows-Nutzer damit einem unnötigen Risiko ausgesetzt zu haben.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)

Data Quality and BI Governance Manager (w/m/d) Deutsche Glasfaser Unternehmensgruppe, Düsseldorf (öffnet im neuen Fenster)

Amtsleitung für das Amt für Digitalisierung und IT (w/m/d) Stadt Pforzheim, Pforzheim,Homeoffice (öffnet im neuen Fenster)

Mitarbeiter Vertriebsinnendienst Public Sector (w/m/d) Bechtle IT-Systemhaus GmbH & Co. KG, Dortmund (öffnet im neuen Fenster)

Mitarbeiter (m/w/d) First- / Second-Level-Support Stadtwerke Marburg GmbH, Marburg (öffnet im neuen Fenster)

IT-Prozessmanager (m/w/d) Regh Holding GmbH, Duisburg (öffnet im neuen Fenster)

Senior Software Entwicklerin / Software Entwickler (m/w/d) Embedded C++ Scheidt & Bachmann Signalling Systems GmbH, Berlin (öffnet im neuen Fenster)

Research Software Developer (m/f/d) MED-EL Medical Electronics, Innsbruck (öffnet im neuen Fenster)

Data Engineer (m/w/d) SAS Base SIGNAL IDUNA Bauspar AG, Hamburg (öffnet im neuen Fenster)

"Unkoordinierte Offenlegungen, durch die Proof-of-Concept-Code für ungepatchte Sicherheitslücken in die Hände von Angreifern gelangt, sind niemals zu rechtfertigen und haben reale Konsequenzen", schreibt der Konzern. Das Unternehmen arbeite unermüdlich daran, Angreifer aufzuspüren, "die nach genau solchen Lücken suchen, um Microsoft und unsere Kunden anzugreifen".

Microsoft bringt Strafverfolgung ins Spiel

Im darauffolgenden Satz dann Microsofts Drohung: "Unsere Digital Crimes Unit wird weiterhin Verfahren gegen diese Akteure und diejenigen einleiten, die ihre kriminellen Aktivitäten ermöglichen – und dabei bei Bedarf mit Strafverfolgungsbehörden auf der ganzen Welt zusammenarbeiten."

Auf Kritik stößt diese Formulierung unter anderem bei dem Sicherheitsforscher Kevin Beaumont. Dieser betont in einem Blogbeitrag(öffnet im neuen Fenster), die Nichteinhaltung gängiger Responsible-Disclosure-Verfahren sei nicht per se illegal. Zudem sei das MSRC-Konto von Chaotic Eclipse gesperrt worden – und damit auch seine Möglichkeit, Sicherheitslücken verantwortungsvoll an Microsoft zu melden.

Beaumont betont, dass er die Vorgehensweise von Chaotic Eclipse ebenfalls nicht gutheißt. Dennoch hat auch Microsoft für ihn eine rote Linie überschritten. "Microsoft sollte sich darauf konzentrieren, bessere und sicherere Produkte zu entwickeln, die nicht von einer einzelnen Person leicht überlistet werden können", so der Forscher.

Zur Startseite 10 Kommentare

Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Microsoft bringt Strafverfolgung ins Spiel

Relevante Themen