Nightmare-Eclipse零日漏洞爆發：六星期、六個漏洞、一場對微軟嘅江湖追殺令

漏洞摘要同修補狀態

截至2026年5月底，六個漏洞中有三個已被修復，另外三個——特別係MiniPlasma——仍然係直接嘅營運風險。

MiniPlasma 特別危險，因為佢容許一個普通用戶喺已安裝所有2026年5月更新嘅 Windows 11 系統上取得 SYSTEM 級別權限 。佢利用咗 BlueHammer 都攻擊過嘅 cldflt.sys 雲端檔案驅動程式，透過重新觸發一個微軟聲稱早喺2020年12月已修復，但研究員話根本未完全修復嘅漏洞（CVE-2020-17103） 。

研究員嘅動機：一場針對MSRC嘅抗議

研究員明確表示，呢一連串公開披露係對微軟安全回應中心（MSRC）「處理不當」嘅報復。根據公開聲明同報導，佢之前私下提交嘅漏洞報告被MSRC置之不理、處理緩慢，甚至被提出過分嘅要求——據講包括要求佢拍片示範個漏洞點樣運作 。研究員多次聲稱，MSRC 威脅要「摧毀我嘅人生，而佢哋真係咁做咗」 。

後來幾次發布嘅時機都刻意揀喺微軟 Patch Tuesday 嘅第二日，為咗令曝光度同壓力最大化。YellowKey 同 GreenPlasma 喺5月12日發布，MiniPlasma 緊隨其後喺5月17日出現 。

微軟嘅回應同法律威脅

5月27日，微軟發表咗一篇題為《共同嘅責任：透過協調漏洞披露保護客戶》嘅網誌文章 。文章內容包括：

• 點名六個漏洞「全部都唔係透過負責任方式披露」 。
• 呼籲保安社群遵從「協調漏洞披露」（CVD）嘅做法。
• 包含嚟自微軟「數碼犯罪部門」嘅隱晦法律威脅，警告呢種武器化嘅公開披露可能會帶來法律後果 。

微軟強硬嘅言辭升級咗衝突，但冇解決核心問題：三個零日漏洞依然未修復。而發布程式碼嘅平台——GitHub（約5月23日）同 GitLab（幾日後）——就採取行動，終止咗研究員嘅帳號 。

實際攻擊同機構警報

到咗4月中，最初嗰三個 Defender 漏洞已經全部被用於實際攻擊。Huntress 同 Barracuda 發現，攻擊者直接由 GitHub 公開倉庫攞走 PoC 程式碼，仲用咗同俄羅斯地理位置相關嘅基礎設施 。

CISA 反應好快。BlueHammer 喺4月22日被加入 KEV 目錄，要求聯邦機構喺5月6日前修補 。RedSun 同 UnDefend 之後亦被加入，限期係6月3日 。呢啲行動反映咗深層嘅憂慮：當保安工具本身就係攻擊途徑嘅時候，傳統嘅防禦模型就會崩潰。

社群反應：一個崩壞嘅披露制度

網絡保安社群對呢次事件有兩種截然不同嘅評價。

對研究員嘅批評主要嚟自 Barracuda、ThreatLocker 同 LevelBlue，佢哋形容呢場「運動」既危險又適得其反 。喺冇修補程式嘅情況下公開武器化嘅攻擊碼，令全球企業用戶陷入即時風險。

對微軟嘅批評同樣尖銳。好多研究員指出，如果MSRC嘅流程更加尊重同有回應，成場鬧劇本來可以避免。呢次披露重新揭開咗一啲積怨已久嘅問題：緩慢嘅分類、唔透明嘅溝通、同埋對嗰啲唔符合企業賞金模式嘅漏洞發現者採取敵對態度 。

其中一個好諷刺嘅現實係：微軟喺三個漏洞仲未修復嘅同時威脅要告人——評論家認為呢種做法只係做樣，而且分錯咗輕重 。

跟住落嚟會點？

研究員雖然沉寂咗，但冇完全消失。喺失去平台使用權後，佢轉咗去一個個人網誌，並明確威脅會喺7月14日（下一個 Patch Tuesday） 再嚟一次大規模公開漏洞 。個威脅係咪可信冇人知，但個模式已經確立咗。

對保安團隊嚟講，當下最重要嘅任務好清晰：套用 Defender 嗰兩個緊急修補程式，為 YellowKey 實施緩解措施（刪除 autofstx.exe 嘅 BootExecute 登錄值，同埋為 BitLocker 啟用 TPM+PIN） ，同埋將 MiniPlasma 視為一個冇官方修復方案嘅即時威脅嚟處理。要密切留意針對未來 Patch Tuesday 發布嘅新 PoC，同埋為而家攻擊者有系統地針對嘅 Defender 組件準備好補償控制措施。

Nightmare-Eclipse 事件唔單止係關於六個漏洞。呢次係一次壓力測試，檢驗緊平台供應商同佢哋依賴嘅研究員之間嘅關係。當呢段關係破裂嘅時候，後果就會係公開、可利用、而且極其嚴重。