Nightmare Eclipse Windows Zero-Day: Trilogie im Live-Angriff bestätigt

Die Nightmare Eclipse Windows zero-day Trilogie hat den Sprung von Proof-of-Concept-Code auf GitHub zu einem bestätigten, realen Angriff geschafft: Huntress fand BlueHammer, RedSun und UnDefend gemeinsam in einer Angriffskette, die mit einer kompromittierten FortiGate-VPN-Appliance begann.
Was ist passiert
Ein Forscher unter dem Pseudonym „Nightmare Eclipse“ (auch als „Chaotic Eclipse“ bekannt) hat seit April 2026 sechs Windows-Zero-Days veröffentlicht, nachdem nach eigener Aussage die Zusammenarbeit mit Microsofts MSRC gescheitert war — der Forscher gibt an, seine Meldungen seien unbezahlt und unbeachtet geblieben. Die sechs sind BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey, GreenPlasma und MiniPlasma.
Huntress bestätigt jetzt, dass die ersten drei — BlueHammer, RedSun und UnDefend — gemeinsam in einem einzigen realen Angriff eingesetzt wurden. BlueHammer und RedSun sind zwei unabhängige Codepfade zum selben Ziel: die Eskalation eines unprivilegierten lokalen Zugangs zu SYSTEM-Rechten, einmal über eine Race Condition während des Echtzeit-Scans von Defender, einmal über einen direkten Schreibzugriff in System32. UnDefend läuft parallel dazu und blockiert unbemerkt die Signatur-Updates von Microsoft Defender, während es dem EDR-Dashboard einen falschen, gesunden Systemstatus meldet — der kompromittierte Rechner erscheint im Dashboard sauber. Einstiegspunkt des Angriffs war eine kompromittierte FortiGate-VPN-Appliance, was diesen Vorfall direkt mit dem laufenden Edge-Device-Angriffsbogen 2026 verknüpft.
RedSun und UnDefend wurden am 21. Mai 2026 in einem außerplanmäßigen Update gepatcht. Der Patch für BlueHammer ist bereits seit dem 14. April verfügbar — der älteste der drei Fixes ist damit rund drei Monate alt, dennoch bleiben laut Forscherschätzungen zehntausende Windows-Endpunkte ungepatcht. Derselbe Forscher hatte für den 14. Juli 2026 eine weitere, als „bone shattering“ angekündigte Massenveröffentlichung neuer Exploits angedroht, zog die Drohung am 12. Juli aber zurück und begründete dies mit Erschöpfung durch den Prozess des Findens und Bewaffnens von Bugs.
Warum das wichtig ist
Das ist nicht nur eine Patch-Geschichte — es ist ein Governance-Fallbeispiel. Ein einzelner unabhängiger Forscher, der außerhalb jedes koordinierten Offenlegungsprozesses agiert, hat innerhalb von drei Monaten mehr ausnutzbare Windows-Endpoint-Security-Bypässe produziert als die meisten organisierten Bedrohungsakteur-Gruppen in einem Jahr veröffentlichen. Für Sicherheitsteams im deutschen Mittelstand liegt das praktische Risiko darin, dass „wir haben Microsoft Defender“ als Kontrolle behandelt wird, obwohl es sich um ein Produkt handelt, das selbst zur Angriffsfläche werden kann. In Kombination mit einem kompromittierten Edge-Gerät als Einstiegspunkt zeigt diese Angriffskette, dass Patch-Management-Annahmen, die auf vorhersehbaren Offenlegungszeitplänen der Hersteller beruhen, nicht mehr gelten, wenn der Offenlegungsweg selbst zusammengebrochen ist.
Was Sie jetzt tun sollten
- Bestätigen Sie, dass alle drei Patches installiert sind: BlueHammer (Update vom 14. April 2026) sowie RedSun und UnDefend (außerplanmäßiges Update vom 21. Mai 2026) — prüfen Sie den Windows-Update-Verlauf gegen diese Daten, statt anzunehmen, ein allgemeines kumulatives Update decke alle drei ab.
- Prüfen Sie, ob Ihre FortiGate- oder andere VPN-Edge-Geräte ausstehende Patches haben; diese Angriffskette nutzte eine kompromittierte VPN-Appliance als Einstiegspunkt, bevor sie zu Defender-gerichteten Werkzeugen wechselte.
- Verlassen Sie sich nicht auf den eigenen Statusanzeige von Defender als Nachweis der Systemgesundheit — UnDefend fälscht genau dieses Signal. Gleichen Sie den Endpunkt-Status mit einer zweiten, unabhängigen Überwachungsquelle ab (EDR-Telemetrie eines anderen Herstellers oder zentrales Patch-Compliance-Reporting).
- Überwachen Sie ungewöhnliche SYSTEM-Prozesserstellungen unmittelbar nach VPN-Authentifizierungsereignissen sowie jeden Stillstand bei den Zeitstempeln der Defender-Signatur-Updates in Ihrer Flotte.
DIESEC Einschätzung
Dieses Muster beobachten wir 2026 zunehmend: Einzelne Forscher, die sich von Hersteller-Offenlegungsprogrammen schlecht behandelt fühlen, entscheiden sich immer häufiger für eine öffentliche, bewaffnete Offenlegung statt für Schweigen — und die entstehenden Werkzeuge bleiben nicht lange theoretisch. Unabhängig davon, wie man zur Beschwerde des Forschers steht: Für Verteidiger bleibt die operative Realität dieselbe — ein Bypass existiert, er ist öffentlich, und er wurde nun in einem realen, mit einer Edge-Device-Kompromittierung verknüpften Angriff beobachtet.
Nicht sicher, ob Ihre Windows-Flotte bei einem dieser drei Patches noch ein Zeitfenster offen hat oder ob Ihre VPN-Edge-Geräte aktuell sind? Kontaktieren Sie DIESEC für eine schnelle Patch-Verifizierung und Endpoint-Gesundheitsprüfung.
Quellen: Huntress | SOCRadar
Veröffentlicht: 2026-07-15 | Kategorie: Tägliche News | ~5 Min. Lesezeit

