Nightmare-Eclipse contra Microsoft: cronología de una venganza con exploits

Resumen de exploits y estado de los parches

Tres de las seis vulnerabilidades estaban corregidas a finales de mayo de 2026. Otras tres seguían sin resolver, siendo MiniPlasma la que presentaba el riesgo operativo más directo.

MiniPlasma es especialmente peligroso porque permite a un usuario estándar obtener privilegios de nivel SYSTEM en un equipo con todas las actualizaciones de mayo de 2026 aplicadas . Explota el mismo controlador cldflt.sys de Cloud Files que ya había atacado BlueHammer, reactivando una vulnerabilidad de 2020 que, según el investigador, Microsoft nunca parcheó por completo .

La motivación del investigador: una protesta contra el MSRC

El investigador describió explícitamente las divulgaciones como una represalia por el maltrato recibido por parte del MSRC. Según sus declaraciones públicas y los reportes, sus envíos privados anteriores fueron desestimados, tratados con lentitud o respondidos con exigencias que consideró desproporcionadas; se llegó a reportar que le pidieron una demostración en vídeo del exploit . Una afirmación recurrente atribuida al investigador asegura que desde el MSRC le amenazaron con arruinar su vida y que lo hicieron .

El momento elegido para las publicaciones posteriores —justo un día después del 'Patch Tuesday' de Microsoft— se diseñó claramente para maximizar la presión y su exposición mediática. YellowKey y GreenPlasma aparecieron el 12 de mayo, inmediatamente después del ciclo de parches, y MiniPlasma les siguió el 17 de mayo .

La réplica de Microsoft y la amenaza legal

El 27 de mayo, Microsoft publicó un artículo en su blog titulado "Una responsabilidad compartida: proteger a los clientes mediante la divulgación coordinada de vulnerabilidades" . En él:

• Calificó los seis exploits de "no divulgados de forma responsable" .
• Instó a la comunidad de seguridad a seguir las prácticas de Divulgación Coordinada de Vulnerabilidades (CVD).
• Incluyó una amenaza velada de su Unidad de Delitos Digitales, advirtiendo que la divulgación pública de exploits funcionales podría acarrear consecuencias legales .

El lenguaje de Microsoft escaló el conflicto, pero no resolvió el problema central: tres vulnerabilidades de día cero seguían sin parche. Las plataformas que alojaban el código —GitHub hacia el 23 de mayo y GitLab unos días después— tomaron medidas aplicando sus políticas y cancelando las cuentas del investigador .

Explotación activa y alarmas institucionales

A mediados de abril, los tres exploits iniciales de Defender ya estaban siendo explotados de forma activa. Los equipos de Huntress y Barracuda identificaron a actores maliciosos tomando el código PoC directamente de los repositorios públicos de GitHub y usando infraestructura vinculada a geolocalizaciones en Rusia .

La CISA reaccionó con rapidez. BlueHammer fue añadido al catálogo KEV el 22 de abril con un plazo de corrección hasta el 6 de mayo para las agencias federales . RedSun y UnDefend se añadieron después, con fecha límite el 3 de junio . Estas inclusiones reflejan una profunda preocupación: cuando las propias herramientas de seguridad se convierten en el vector de ataque, los modelos de defensa tradicionales se quiebran.

Reacción de la comunidad: un proceso de divulgación roto

La comunidad de ciberseguridad respondió con un veredicto dividido.

Las críticas al investigador provinieron de firmas como Barracuda, ThreatLocker y LevelBlue, que calificaron la campaña de peligrosa y contraproducente . Publicar exploits funcionales abiertamente puso en riesgo inmediato a usuarios empresariales cuando no existía un parche disponible.

Las críticas a Microsoft fueron igualmente severas. Muchos investigadores señalaron que toda la saga podría haberse evitado con un proceso del MSRC más respetuoso y receptivo. Las divulgaciones reavivaron quejas de larga data: evaluación lenta de reportes, comunicación opaca y una postura hostil hacia los investigadores que no encajan en los moldes corporativos de los programas de recompensas .

Una dinámica particularmente llamativa: Microsoft amenazó con acciones legales mientras tres exploits seguían sin parche, un movimiento que varios comentaristas calificaron de teatral y con las prioridades mal puestas .

¿Qué viene ahora?

El investigador ha guardado silencio, pero no ha desaparecido. Tras perder el acceso a las plataformas, trasladó su actividad a un blog personal y amenazó explícitamente con otra publicación masiva el 14 de julio, coincidiendo con el próximo 'Patch Tuesday' . Queda por ver si la amenaza es creíble, pero el patrón ya está establecido.

Para los equipos de seguridad, la prioridad inmediata es clara: aplicar los parches de emergencia de Defender, implementar las mitigaciones para YellowKey (eliminar el valor autofstx.exe de BootExecute en el entorno de recuperación y activar TPM+PIN para BitLocker) , y tratar a MiniPlasma como una amenaza real sin solución oficial. Hay que monitorizar la posible publicación de nuevas PoC sincronizadas con futuros 'Patch Tuesday' y preparar controles compensatorios para los componentes de Defender, que ahora son un objetivo sistemático para los atacantes.

El episodio de Nightmare-Eclipse no trata solo de seis vulnerabilidades. Es una prueba de estrés para la relación entre los proveedores de plataformas y los investigadores de los que dependen. Cuando esa relación se rompe, las consecuencias son públicas, explotables y graves.