Nightmare Eclipse kitiltották a GitHub és a GitLab, fogadalmat július 14 támadás

A hat héten belül hat Windows nulladik napi felfedés mögött álló biztonsági kutatót napokon belül eltávolították a GitHubról és a GitLabról is, és most kizárólag egy személyes blogon keresztül tevékenykedik. A kutató, aki Nightmare-Eclipse, Chaotic Eclipse és Dead Eclipse néven fut, egy kifejezett fenyegetéssel válaszolt, amely július 14-ét, a jövő havi Patch Tuesday dátumát célozza meg.

A Microsoftot azzal vádolták, hogy 2026. május 23. körül megjelölte és törölte a GitHub-tárakat. A kutató a GitLabra költözött, de a GitLab május 26-27-én felfüggesztette a fiókot, mert fegyveres nulladik napi exploit kódot tárolt. Mivel mindkét nagy kódszállítást végző platformot bezárták, a kutató közvetlenül a saját blogján publikál, és jelezte, hogy a megszakítás nem változtatta meg a terveit.

Hat nulladik nap hat hét alatt

2026. április eleje óta Nightmare Eclipse hat Windows sebezhetőségre vonatkozó fegyveres proof-of-conceptet tett közzé nyilvánosan: BlueHammer, RedSun, UnDefend, YellowKey, Green Plasma és MiniPlasma. Egyiküket sem hozták nyilvánosságra összehangolt csatornákon keresztül a közzététel előtt. Mind a hat célzott komponens a végpont biztonsági rétegén vagy az alatt található.

A Microsoft a hatból hármat már befoltozott. A BlueHammer a CVE-2026-33825-ös CVE-t kapta, és az április 14-i Patch Tuesday-ben javították. RedSun és UnDefend május 21-én CVE-2026-41091 és CVE-2026-45498 néven, miután a Huntress megerősítette, hogy mindhármat aktívan kihasználják valós támadások során. A CISA mindhármat felvette a Known Exploited Vulnerabilities katalógusába, és a szövetségi ügynökségeknek június 3-ig kell javítaniuk a CVE-2026-41091 és CVE-2026-45498 kódokat.

YellowKey, GreenPlasma és MiniPlasma továbbra is javítatlanok a közzététel időpontjában. A MiniPlasma a Windows Cloud Filter illesztőprogramot veszi célba, és a legutóbbi, 2026. májusi frissítéseket futtató, teljesen foltozott Windows 11 rendszereken egy normál felhasználói fiókot SYSTEM-re képes eszkalálni. A BleepingComputer és több független kutató megerősítette, hogy az exploit módosítás nélkül működik.

Mit jelenthet július 14-e?

Egy aláírt bejegyzésbena kutató közvetlenül a Microsofthoz fordult: "Jegyezd meg ezt a dátumot, július 14-ét. Gondoskodom róla, hogy aznap összetörjenek a csontjaid" Jelezték, hogy júniusra nem terveznek újabb nyilvánosságra hozatalokat, bár fenntartják a jogot a pályamódosításra. Korábbi bejegyzéseikben arra figyelmeztettek, hogy távoli kódvégrehajtási sebezhetőségekig akarnak eljutni, ha a Microsoft továbbra is elutasítja a jelentéseiket.

A GitHubról és a GitLabról való leválasztás eltávolítja a lefordított binárisok és a forráskód legegyszerűbb terjesztési csatornáit, de egy személyes blog közvetlen letöltésekkel ugyanezt az eredményt éri el minden olyan kutató számára, aki hajlandó azt fenntartani. A Barracuda Networks biztonsági elemzői megjegyezték, hogy a Nightmare Eclipse nevű exploit-láncot, amely a BlueHammer, RedSun vagy MiniPlasma segítségével történő jogosultságnövelést kombinálja az UnDefend segítségével történő Defender-elnyomással, már látták megerősített hálózati behatolásokban. Még nem tudni, hogy július 14-én új anyag kerül-e felszínre proof-of-conceptként, távoli kódvégrehajtás kiadásaként vagy valami másként. Ez a kutató minden előzetes figyelmeztetést kiadott, mielőtt tényleges közzétételt tett volna.