heise+ | Warum Microsofts Umgang mit Zero-Day-Veröffentlichungen Vertrauen zerstört

Los ging es mit einem blauen Hammer: Anfang April veröffentlichte jemand unter dem Pseudonym „Nightmare Eclipse“ eine Zero-Day-Lücke in Windows, die er oder sie auf den Namen „Bluehammer“ taufte. Ein begleitender Blogpost fiel zwar äußerst knapp aus und enthielt keinerlei technische Erklärungen („Ihr Genies könnt das selber rausfinden.“), zeigte aber deutlich, dass es eine Vorgeschichte und offenbar miserable Stimmung gab: „Ich habe nicht geblufft, Microsoft, und ich werde es wieder tun“, schrieb Nightmare Eclipse, der auch die Pseudonyme „Chaotic Eclipse“ und „Dead Eclipse“ nutzt.

Eclipse nutzte den Blogpost auch, um – offenbar rein sarkastisch – der Führungsriege von Microsofts Security Response Center (MSRC) und speziell Tom Gallagher, dessen Vice President of Engineering, zu danken. In den folgenden Wochen machte Eclipse seine Drohung wahr und veröffentlichte mit „RedSun“, „UnDefend“, „GreenPlasma“ „YellowKey“ und „MiniPlasma“ diverse weitere Lücken unterschiedlicher Schweregrade.

Interessanterweise scheinen nicht nur Eclipses Veröffentlichungen, sondern auch Microsofts Reaktion darauf sehr emotionsgetrieben. Statt den Stil der Disclosures zu ignorieren und geflissentlich die nun öffentlich bekannten Probleme zu beseitigen, begannen die Redmonder offenbar damit, von Eclipse genutzte Accounts löschen zu lassen. Dazu gehörte der GitHub-Account, über den die Veröffentlichungen erfolgten, ein GitLab-Account, auf den Eclipse daraufhin umstieg, und auch der Account, über den Eclipse mit dem MSRC kommuniziert hatte.

Das war die Leseprobe unseres heise-Plus-Artikels "Warum Microsofts Umgang mit Zero-Day-Veröffentlichungen Vertrauen zerstört". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.