Nightmare Eclipse zbanowany na GitHub i GitLab, obiecuje atak 14 lipca

Badacz bezpieczeństwa stojący za sześcioma ujawnieniami dnia zerowego w systemie Windows w ciągu sześciu tygodni został usunięty zarówno z GitHub, jak i GitLab w ciągu kilku dni i obecnie działa wyłącznie z osobistego bloga. Badacz, który występuje pod pseudonimami Nightmare-Eclipse, Chaotic Eclipse i Dead Eclipse, zareagował wyraźną groźbą skierowaną do 14 lipca, czyli daty przyszłomiesięcznego Patch Tuesday.

Microsoft został oskarżony o oflagowanie i wyczyszczenie repozytoriów GitHub około 23 maja 2026 roku. Badacz przeniósł się do GitLab, ale GitLab zawiesił konto w dniach 26-27 maja za hostowanie uzbrojonego kodu exploita zero-day. Ponieważ obie główne platformy hostujące kod są teraz zamknięte, badacz publikuje bezpośrednio na swoim własnym blogu i zasygnalizował, że zakłócenie nie zmieniło jego planów.

Sześć dni zero w sześć tygodni

Od początku kwietnia 2026 roku Nightmare Eclipse opublikował publicznie proof-of-concept dla sześciu luk w systemie Windows: BlueHammer, RedSun, UnDefend, YellowKey, Green Plasma i MiniPlasma. Żaden z nich nie został ujawniony za pośrednictwem skoordynowanych kanałów przed publikacją. Wszystkie sześć atakowanych komponentów znajduje się w warstwie zabezpieczeń punktu końcowego lub poniżej niej.

Microsoft załatał już trzy z tych sześciu komponentów. BlueHammer został przypisany do CVE-2026-33825 i naprawiony we wtorek 14 kwietnia. RedSun i UnDefend zostały załatane poza pasmem 21 maja jako CVE-2026-41091 i CVE-2026-45498 po tym, jak Huntress potwierdziła aktywne wykorzystanie wszystkich trzech w rzeczywistych atakach. CISA dodała wszystkie trzy do swojego katalogu znanych wykorzystanych podatności, a agencje federalne muszą załatać CVE-2026-41091 i CVE-2026-45498 do 3 czerwca.

YellowKey, GreenPlasma i MiniPlasma pozostają niezałatane na dzień publikacji. MiniPlasma atakuje sterownik Windows Cloud Filter i może eskalować standardowe konto użytkownika do SYSTEMU na w pełni załatanych systemach Windows 11 z najnowszymi aktualizacjami z maja 2026 roku. BleepingComputer i wielu niezależnych badaczy potwierdziło, że exploit działa bez modyfikacji.

Co może oznaczać 14 lipca?

W poście podpisanym https://deadeclipse666.blogspot.com/badacz zwrócił się bezpośrednio do Microsoftu: "Proszę zaznaczyć tę datę, 14 lipca. Upewnię się, że tego dnia Państwa kości zostaną połamane" Badacze zaznaczyli, że nie planują żadnych nowych ujawnień w czerwcu, choć zastrzegli sobie prawo do zmiany kursu. Poprzednie posty ostrzegały o zamiarze eskalacji do luk w zabezpieczeniach zdalnego wykonywania kodu, jeśli Microsoft będzie nadal odrzucał ich raporty.

Usunięcie z platformy GitHub i GitLab usuwa najłatwiejsze kanały dystrybucji skompilowanych plików binarnych i kodu źródłowego, ale osobisty blog z bezpośrednim pobieraniem osiąga ten sam rezultat dla każdego badacza, który chce go utrzymać. Analitycy bezpieczeństwa z Barracuda Networks zauważyli, że łańcuch exploitów Nightmare Eclipse, który łączy eskalację uprawnień poprzez BlueHammer, RedSun lub MiniPlasma z tłumieniem Defendera poprzez UnDefend, był już widziany w potwierdzonych włamaniach do sieci. Dopiero okaże się, czy nowy materiał pojawi się 14 lipca jako dowód koncepcji, zdalne wykonanie kodu, czy coś innego. Badacz ten wydał wszelkie wcześniejsze ostrzeżenia przed dokonaniem faktycznego ujawnienia.