Nur Stunden nachdem Microsoft den ersten „BlueHammer“-ZeroDay gepatcht hatte, veröffentlichte der enttäuschte und offenbar tief frustrierte Forscher „Nightmare-Eclipse“ seinen zweiten Angriff: „RedSun“. Der Exploit nutzt erneut ein kritisches Fehlverhalten von Windows Defender, um SYSTEM-Rechte zu erlangen. Doch diesmal geht es nicht nur um Technik – der Autor droht offen mit der Freigabe noch gefährlicherer Remote-Code-Execution-Lücken (RCE), weil er sich von Microsoft „verfolgt“ fühlt.
Die Lage eskaliert. Was als technischer Sicherheitsvorfall begann, hat sich zu einem offenen Konflikt zwischen einem einzelnen Sicherheitsforscher und dem Software-Riesen Microsoft entwickelt. Nur wenige Stunden nach dem offiziellen Patch-Tuesday, der die erste Lücke (CVE-2026-33825) schloss, legte der anonyme Hacker „Nightmare-Eclipse“ auf GitHub nach. Sein neues Werkzeug trägt den Namen „RedSun“ und zielt erneut auf das Herzstück der Windows-Sicherheit: den Windows Defender.
Ein neuer Weg zum SYSTEM-Recht
Während der erste Exploit („BlueHammer“) bereits schockierte, ist „RedSun“ technisch ebenso raffiniert wie gefährlich. Der Angriff nutzt eine bizarre Logiklücke im Antiviren-Programm aus. Laut dem Code des Forschers reagiert der Windows Defender auf Dateien mit einem sogenannten „Cloud-Tag“ (Cloud Files API) auf eine Weise, die er als „lächerlich“ bezeichnet: Anstatt die verdächtige Datei zu löschen oder zu quarantänen, versucht der Defender, sie an ihrem ursprünglichen Ort neu zu schreiben.
Dieses Verhalten ermöglicht es dem Angreifer, eine Race Condition (Wettlaufsituation) auszunutzen. Durch geschicktes Timing kann eine schädliche Datei überschrieben werden, während der Defender sie gerade bearbeiten will. Das Ergebnis ist die Platzierung einer ausführbaren Datei im geschützten Windows-Systemverzeichnis, was dem Angreifer sofortige SYSTEM-Privilegien verschafft.
„Es ist viel zu lustig“, schrieb der Forscher in seinem Repository. „Wenn Windows Defender merkt, dass eine bösartige Datei ein Cloud-Tag hat, entscheidet der Virenscanner aus irgendeinem dummen und lustigen Grund, dass es eine gute Idee ist, die gefundene Datei einfach wieder an ihren ursprünglichen Ort zu schreiben.“
Die persönliche Ebene: Ein Krieg der Worte
Hinter der technischen Demonstration steht eine tiefe persönliche Rache. In einem Blogbeitrag auf der Plattform Blogspot offenbarte der Forscher, dass er sich von Microsoft aktiv „verfolgt“ und „ruiniert“ fühlt. Er beschuldigt das Microsoft Security Response Center (MSRC), ihm das Leben schwer gemacht zu haben, und zitiert angebliche Drohungen seitens des Konzerns.
„Sie haben alles genommen. Sie haben den Boden mit mir gewischt und jedes kindische Spiel gespielt, das sie konnten“, schreibt der Forscher. „Ich wollte nicht böse sein, aber sie provozieren mich aktiv, RCEs (Remote Code Execution) freizugeben, was ich irgendwann tun werde… Ich werde persönlich dafür sorgen, dass es jedes Mal lustiger wird, wenn Microsoft einen Patch veröffentlicht.“
„I will personally make sure that it gets funnier every single time Microsoft releases a patch.“
Diese Drohung ist besorgniserregend: Während „RedSun“ bisher nur eine Eskalation von Rechten (Privilege Escalation) ermöglicht, deutet der Forscher an, dass er noch gefährlichere Lücken plant, die es Angreifern erlauben würden, Systeme komplett fernzusteuern, ohne dass ein Benutzer etwas tut.
Microsofts Reaktion und die Kritik an der Branche
Microsoft hat auf die ersten Vorwürfe reagiert und den Fehler CVE-2026-33825 mit einer Schwere von 7,8 bewertet. Interessanterweise würdigte das Unternehmen in seiner Meldung andere Forscher, Zen Dodd und Yuanpei XU, für die Entdeckung der ersten Lücke – eine Geste, die der anonyme Hacker als Ignoranz gegenüber seiner eigenen Arbeit interpretiert.
In einer Standarderklärung betonte Microsoft erneut sein Engagement für „koordinierte Offenlegung“ (Coordinated Vulnerability Disclosure), bei der Probleme untersucht werden, bevor sie öffentlich gemacht werden. Doch der Forscher wirft dem Konzern vor, diese Praxis nur dann zu nutzen, wenn es ihm passt, und Forscher, die nicht konform gehen, zu sabotieren.
„Sie tun alles, außer die Forschungscommunity zu unterstützen“, schreibt er. „Schauen Sie sich die Vergangenheit an: Microsoft ist das einzige große Unternehmen, das eine Spur von mehreren öffentlich gemachten Schwachstellen hat, nur weil die Forscher so verärgert waren über die Behandlung durch das MSRC.“
Die Gefahr für die Nutzer
Für die breite Masse der Windows-Nutzer bedeutet dies eine kritische Situation. Obwohl Microsoft den ersten Fehler gepatcht hat, ist „RedSun“ noch nicht behoben. Sicherheitsexperten wie Will Dormann haben bestätigt, dass der Exploit auf aktuellen Windows 10- und 11-Systemen funktioniert. Da der Angriff auf eine fundamentale Logik des Dateisystems und des Antivirenprogramms abzielt, könnte ein einfacher Patch schwierig sein, ohne die Leistung oder Funktionalität von Windows zu beeinträchtigen.
Die Gefahr ist real: Sobald ein Angreifer initialen Zugriff auf ein System hat (z. B. durch Phishing), kann er mit „RedSun“ innerhalb von Sekunden Administratorrechte erlangen und sich lateral im Netzwerk bewegen.
Fazit: Ein Warnschuss für die Sicherheitsindustrie
Der Fall „RedSun“ ist mehr als nur ein weiterer Zeroday. Er ist ein Symptom für eine wachsende Kluft zwischen der Sicherheitsforschung und großen Tech-Konzernen. Wenn Forscher das Gefühl haben, dass ihre Arbeit nicht wertgeschätzt wird oder dass sie persönlich angegriffen werden, neigen sie dazu, ihre Entdeckungen öffentlich zu machen – oft mit katastrophalen Folgen für die globale Cybersicherheit.
Solange Microsoft nicht bereit ist, den Dialog mit der Community zu suchen und Vertrauen aufzubauen, drohen weitere „RedSun“-artige Enthüllungen. Und wie der Forscher andeutet: Die nächsten könnten noch viel schlimmer sein.
[https://deadeclipse666.blogspot.com/2026/04/public-disclosure-response-for-cve-2026.html][https://infosec.exchange/@wdormann/116412019416916182]
[https://github.com/Nightmare-Eclipse/RedSun]