Внутри кампании Nightmare-Eclipse: Шестинедельная вендетта против Microsoft Windows
С начала апреля до середины мая 2026 года исследователь Nightmare Eclipse опубликовал шесть 0 day эксплойтов для Windows, протестуя против работы Центра безопасности Microsoft (MSRC). Кампания вынудила Microsoft выпустить внеочередные патчи, привела к директивам CISA и возобновила дебаты об ответственном разглашении...
What were the key details and timeline of the zero-day exploit spree by the researcher known as Nightmare-Eclipse, Chaotic Eclipse, or DeadThe six Windows zero-days released over six weeks in an escalating retaliatory campaign against Microsoft.
Промпт ИИ
Create a landscape editorial hero image for this Studio Global article: What were the key details and timeline of the zero-day exploit spree by the researcher known as Nightmare-Eclipse, Chaotic Eclipse, or Dead. Article summary: Here is a comprehensive summary of the Nightmare-Eclipse / Chaotic Eclipse zero-day campaign against Microsoft, based on reporting through late May 2026.. Topic tags: general, general web, user generated, education. Reference image context from search candidates: Reference image 1: visual subject "The anonymous security researcher who has already maliciously exposed three Windows zero-days this year has revealed two more, dropping them just after Microsoft's monthly Patch Tu" source context "Disgruntled researcher releases two more Microsoft zero-days" Reference image 2: visual subject "The anonymous security researcher who has already maliciously exposed three
openai.com
В начале апреля 2026 года исследователь в области безопасности, действующий под псевдонимами Nightmare-Eclipse, Chaotic Eclipse и Dead Eclipse, начал беспрецедентную атаку на Microsoft Windows. За шесть недель он опубликовал рабочий код для шести уязвимостей «нулевого дня». Его целью была не прибыль или репутация, а акт возмездия против Центра безопасности Microsoft (MSRC). Эта кампания заставила Microsoft выпустить внеочередные обновления, привела к экстренным директивам Агентства по кибербезопасности США (CISA) и оставила три критических эксплойта без патча, подвергая миллионы компьютеров реальным атакам .
Эксперты компаний Barracuda и ThreatLocker охарактеризовали эту серию как эскалацию личной обиды, а не как скоординированное раскрытие информации . Хронология событий вскрывает уязвимости не только в продуктах Microsoft, но и в ее отношениях с независимыми исследователями, демонстрируя, как один разгневанный человек может нарушить работу всей экосистемы безопасности.
Хронология атак: шесть эксплойтов за шесть недель
В таблице ниже представлена полная хронология публикации эксплойтов, статус их исправления и реакция институтов.
Дата
Событие
3 апреля
На GitHub опубликован BlueHammer — эксплойт для локального повышения привилегий (LPE) через Microsoft Defender, дающий права
NT AUTHORITY\SYSTEM
. Сообщение: «Я не блефовал» ("I was not bluffing") .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Каков краткий ответ на вопрос «Внутри кампании Nightmare-Eclipse: Шестинедельная вендетта против Microsoft Windows»?
С начала апреля до середины мая 2026 года исследователь Nightmare Eclipse опубликовал шесть 0 day эксплойтов для Windows, протестуя против работы Центра безопасности Microsoft (MSRC).
Какие ключевые моменты необходимо проверить в первую очередь?
С начала апреля до середины мая 2026 года исследователь Nightmare Eclipse опубликовал шесть 0 day эксплойтов для Windows, протестуя против работы Центра безопасности Microsoft (MSRC). Кампания вынудила Microsoft выпустить внеочередные патчи, привела к директивам CISA и возобновила дебаты об ответственном разглашении уязвимостей, когда исследователи чувствуют, что их игнорируют.
Что мне делать дальше на практике?
Исследователь был заблокирован на GitHub и GitLab, но пообещал новую волну публикаций 14 июля — в день очередного «вторника патчей» от Microsoft.
BlueHammer выпущен в открытый доступ с полным демонстрационным кодом (PoC) .
~10 апреля
Зафиксирована активная эксплуатация BlueHammer с инфраструктуры, привязанной к России, по данным Barracuda и Huntress .
14 апреля
«Вторник патчей» от Microsoft: исправление для BlueHammer под номером CVE-2026-33825 (CVSS 7.8) .
16 апреля
Опубликованы RedSun (LPE через механизм отката облачных файлов Defender) и UnDefend (отключает обновления антивирусных сигнатур Defender). Huntress подтверждает, что все три эксплойта активно используются злоумышленниками .
~17 апреля
CISA добавляет CVE-2026-41091 (RedSun) и CVE-2026-45498 (UnDefend) в каталог известных эксплуатируемых уязвимостей (KEV), предписывая госорганам США устранить их до 3 июня .
12 мая
Через день после «вторника патчей» за май выпущены YellowKey (обход BitLocker через среду восстановления WinRE) и GreenPlasma (повышение привилегий в CTFMON до SYSTEM) .
17 мая
Выпущен MiniPlasma — позволяет получить права SYSTEM на полностью обновленной Windows 11 .
19 мая
ThreatLocker подтверждает, что MiniPlasma работает на системах со всеми последними обновлениями .
21 мая
Microsoft выпускает внеочередные обновления для устранения RedSun и UnDefend .
~23 мая
GitHub удаляет аккаунт Nightmare-Eclipse .
~26–27 мая
GitLab также блокирует связанные с исследователем аккаунты .
27 мая
Microsoft публикует заявление «Общая ответственность» ("A shared responsibility"), осуждая публикацию эксплойтов и предупреждая о возможных правовых действиях со стороны своего подразделения по цифровым преступлениям (Digital Crimes Unit) .
14 июля (угроза)
Исследователь предупреждает о новой массовой публикации эксплойтов .
Сводка по эксплойтам и статус исправлений
К концу мая 2026 года три из шести уязвимостей были исправлены. Три оставались нерешенными, при этом MiniPlasma представлял наиболее серьезную оперативную угрозу.
Эксплойт
Тип / Цель
CVE
CVSS
Статус
BlueHammer
Повышение привилегий в Microsoft Defender → SYSTEM
CVE-2026-33825
7.8
Исправлен (14 апреля)
RedSun
Повышение привилегий в Microsoft Defender
CVE-2026-41091
7.8
Исправлен (внеочередное обновление 21 мая)
UnDefend
Отключение обновлений сигнатур Defender
CVE-2026-45498
4.0
Исправлен (внеочередное обновление 21 мая)
YellowKey
Обход шифрования BitLocker через WinRE
CVE-2026-45585
6.8
Без патча — только временные меры защиты
GreenPlasma
Повышение привилегий в CTFMON до SYSTEM
Не назначен
Не назначен
Без патча
MiniPlasma
Повышение привилегий → SYSTEM на полностью обновленной Windows 11
Не назначен
Не назначен
Без патча — подтверждено ThreatLocker
MiniPlasma особенно опасен, потому что позволяет обычному пользователю получить максимальные привилегии SYSTEM на системе со всеми свежими обновлениями . Он использует тот же драйвер облачных файлов cldflt.sys, что и BlueHammer, повторно активируя уязвимость 2020 года, которая, по мнению исследователя, так и не была полностью исправлена Microsoft .
Мотивация исследователя: протест против MSRC
Исследователь недвусмысленно назвал публикацию эксплойтов актом возмездия за плохое обращение со стороны MSRC. Согласно публичным заявлениям, его предыдущие закрытые отчеты отклонялись, рассматривались медленно или сопровождались требованиями, которые исследователь счел чрезмерными — сообщается, что от него потребовали предоставить видеодемонстрацию работы эксплойта .
В заявлениях исследователя повторяется утверждение: «Мне лично сказали, что они разрушат мою жизнь, и они это сделали» ("I was told personally by them that they will ruin my life and they did") . Время публикации последних эксплойтов — на следующий день после «вторника патчей» — было намеренным, чтобы максимизировать эффект и давление. YellowKey и GreenPlasma были выпущены 12 мая сразу после майского цикла обновлений, а MiniPlasma — 17 мая .
Ответ Microsoft и юридическая угроза
27 мая Microsoft опубликовала в корпоративном блоге статью под заголовком «Общая ответственность: защита клиентов через скоординированное раскрытие уязвимостей» («A shared responsibility: Protecting customers through coordinated vulnerability disclosure») . В посте:
Все шесть эксплойтов были названы «раскрытыми неответственно» .
Сообщество специалистов по безопасности призвали следовать практике координированного раскрытия (CVD).
Содержалась завуалированная угроза от Digital Crimes Unit Microsoft: публичное распространение рабочего кода эксплойта может повлечь юридические последствия .
Хотя риторика Microsoft обострила конфликт, она не решила главную проблему: три уязвимости остались без исправлений. Платформы, на которых был размещен код, — GitHub (около 23 мая) и GitLab (несколькими днями позже) — предприняли меры, удалив аккаунты исследователя .
Активная эксплуатация и сигнал тревоги от регуляторов
К середине апреля все три изначальных эксплойта для Defender активно использовались злоумышленниками. Компании Huntress и Barracuda обнаружили, что хакеры используют PoC-код прямо из публичных репозиториев GitHub, а их инфраструктура привязана к российским IP-адресам .
CISA отреагировало оперативно. BlueHammer был добавлен в каталог KEV 22 апреля с требованием к федеральным агентствам установить патч до 6 мая . Позже в каталог были добавлены RedSun и UnDefend с дедлайном 3 июня . Такая скорость реакции отражает глубокую озабоченность: когда сами инструменты безопасности становятся вектором атаки, традиционные модели защиты перестают работать.
Реакция сообщества: сломанный процесс раскрытия
Реакция сообщества кибербезопасности разделилась.
Критика в адрес исследователя прозвучала от Barracuda, ThreatLocker и LevelBlue. Компании охарактеризовали кампанию как опасную и контрпродуктивную — публикация рабочих эксплойтов без патча ставит под немедленный удар корпоративных пользователей .
Критика в адрес Microsoft была не менее острой. Многие отметили, что всей этой истории можно было бы избежать при более уважительном и оперативном реагировании MSRC. Инцидент возродил давние претензии: медленная сортировка отчетов, непрозрачная коммуникация и враждебное отношение к исследователям, не вписывающимся в рамки корпоративных программ Bug Bounty .
Особенно показательный момент: Microsoft угрожала юридическими мерами, в то время как три эксплойта оставались без патча — шаг, который многие комментаторы назвали показным и несвоевременным .
Что дальше?
Исследователь замолчал, но не исчез. Потеряв доступ к платформам, он перешел на личный блог и прямо пригрозил новой массовой публикацией 14 июля — в день следующего «вторника патчей» . Насколько реальна эта угроза, пока неизвестно, но тенденция очевидна.
Для служб безопасности приоритет ясен: необходимо немедленно установить внеочередные патчи для Defender, внедрить меры защиты от YellowKey (удалить значение autofstx.exe в реестре BootExecute и включить TPM+PIN для BitLocker) и расценивать MiniPlasma как живую угрозу, у которой нет официального способа устранения. Также следует отслеживать новые публикации PoC-кода, приуроченные к будущим «вторникам патчей», и подготовить компенсирующие меры контроля для компонентов Defender, которые теперь систематически становятся мишенью.
История Nightmare-Eclipse — это не просто история о шести уязвимостях. Это стресс-тест для взаимоотношений между вендорами платформ и исследователями. Когда эти отношения рушатся, последствия становятся публичными, пригодными для атак и крайне серьезными.
BluHammer and YellowKey: Windows Zero-Days that ...
Comments
0 comments