Der Konflikt zwischen Microsoft und dem unter dem Pseudonym Chaotic Eclipse bekannten Sicherheitsforscher spitzt sich weiter zu. Nach mehreren Veröffentlichungen zu Schwachstellen in Windows 11 sperrte der Konzern dessen GitHub-Konto, auf dem der Experte Werkzeuge zur Reproduktion der entdeckten Sicherheitsprobleme bereitgestellt hatte. Dies berichtet die Webseite das-unternehmer-wissen mit einem Link zu Вild.
In den vergangenen Monaten hatte Chaotic Eclipse wiederholt auf potenzielle Sicherheitsrisiken innerhalb des Betriebssystems hingewiesen. Besonders viel Aufmerksamkeit erhielt zuletzt eine neue Schwachstelle mit dem Namen YellowKey.
Streit um die Sicherheitslücke YellowKey
Nach Angaben des Forschers ermöglicht YellowKey die Umgehung der BitLocker-Verschlüsselung und den Zugriff auf verschlüsselte Systemlaufwerke von Windows-Geräten. Zuvor hatte er bereits über die Schwachstellen BlueHammer und RedSun berichtet.
Die Sicherheitslücke erhielt eine CVE-Bewertung von 6,8 Punkten und wurde als Bedrohung mittlerer Schwere eingestuft, da für eine erfolgreiche Ausnutzung physischer Zugriff auf das Gerät erforderlich ist.
Microsoft erklärte in einer Support-Dokumentation, die Veröffentlichung technischer Details habe nicht den Grundsätzen einer koordinierten Offenlegung von Sicherheitslücken entsprochen und gegen etablierte Verfahren im Umgang mit Schwachstellen verstoßen.
GitHub-Konto kurz nach Veröffentlichung verschwunden
Wenige Zeit nach der öffentlichen Diskussion über YellowKey war das GitHub-Konto von Chaotic Eclipse nicht mehr erreichbar. Dort hatte der Forscher Quellcodes und Werkzeuge veröffentlicht, mit denen sich die gemeldeten Schwachstellen nachvollziehen ließen.
Der Vorfall löste Diskussionen innerhalb der IT-Sicherheitsbranche aus. Einige Experten sehen in der Veröffentlichung solcher Tools ein Risiko, da sie von Cyberkriminellen missbraucht werden könnten. Andere argumentieren, dass dadurch der Druck auf Softwarehersteller steigt, Sicherheitsprobleme schneller zu beheben.
Forscher erhebt schwere Vorwürfe gegen Microsoft
Nach der Sperrung seines Kontos warf Chaotic Eclipse Microsoft öffentlich vor, seinen Ruf zu schädigen. In einem Blogbeitrag sprach er von Verleumdung und erklärte zudem, dass sein Zugang zum Microsoft Security Response Center gesperrt worden sei.
Nach Angaben des Forschers habe es nach diesen Maßnahmen keinen direkten Kontakt mehr mit Vertretern des Unternehmens gegeben.
In einer weiteren Veröffentlichung schrieb er, Microsoft halte ihn seit Jahren in seinen Möglichkeiten zur Zusammenarbeit und Meldung von Sicherheitslücken zurück und er könne darüber nicht länger schweigen.
Neues Sicherheits-Enthüllungsprojekt für Juli angekündigt
Trotz der Sperrung bei GitHub versuchte Chaotic Eclipse seine Arbeit über die Plattform GitLab fortzusetzen. Allerdings wurde auch dieses Konto kurz darauf deaktiviert. Die Gründe dafür wurden bislang nicht offiziell bekannt gegeben.
Gleichzeitig kündigte der Sicherheitsforscher eine neue, nach eigenen Worten „bahnbrechende“ Entdeckung an. Die Veröffentlichung soll am 14. Juli 2026 erfolgen.
Lesen Sie auch: Outlook Probleme auf dem iPhone: Strategien gegen Sync-Fehler
