Notebookcheck Logo

Mardröms Eclipse bannlyst från GitHub och GitLab, lovar attack den 14 juli

En maskerad person med huva arbetar på en bärbar dator i ett mörkt rum.
ⓘ Freepik.com
En maskerad person med huva arbetar på en bärbar dator i ett mörkt rum.
Nightmare Eclipse har tagits bort från GitHub och GitLab inom några dagar och hotar en ny Windows-utnyttjandeversion på Patch Tuesday, 14 juli 2026.
Business Security Hack / Data Breach Windows Software Microsoft

Säkerhetsforskaren bakom sex Windows nolldagsavslöjanden på sex veckor har tagits bort från både GitHub och GitLab inom några dagar efter varandra och arbetar nu uteslutande från en personlig blogg. Forskaren, som går under Nightmare-Eclipse, Chaotic Eclipse och Dead Eclipse, har svarat med ett uttryckligt hot som riktar sig till den 14 juli, datumet för nästa månads Patch Tuesday.

Microsoft anklagades för att flagga och torka GitHub-förvaret runt 23 maj 2026. Forskaren flyttade till GitLab, men GitLab stängde av kontot den 26-27 maj för att vara värd för beväpnad nolldagars exploateringskod. Med båda de stora plattformarna för kodhosting nu stängda publicerar forskaren direkt till sin egen blogg och har signalerat att störningen inte har ändrat sina planer.

Sex nolldagar på sex veckor

Sedan början av april 2026 har Nightmare Eclipse offentligt släppt beväpnade proof-of-concept för sex Windows-sårbarheter: BlueHammer, RedSun, UnDefend, YellowKey, Green Plasma, och MiniPlasma. Ingen av dem avslöjades genom samordnade kanaler före publicering. Alla sex komponenterna som utsattes ligger i eller under säkerhetslagret för slutpunkten.

Microsoft har nu åtgärdat tre av de sex. BlueHammer tilldelades CVE-2026-33825 och fixades i Patch Tuesday den 14 april. RedSun och UnDefend åtgärdades utanför bandet den 21 maj som CVE-2026-41091 och CVE-2026-45498 efter att Huntress bekräftat aktivt utnyttjande av alla tre i verkliga attacker. CISA lade till alla tre i sin katalog över kända exploaterade sårbarheter, och federala myndigheter måste åtgärda CVE-2026-41091 och CVE-2026-45498 senast den 3 juni.

Gul nyckel, GreenPlasma och MiniPlasma är fortfarande inte patchade vid publiceringsdatumet. MiniPlasma riktar sig till Windows Cloud Filter-drivrutinen och kan eskalera ett standardanvändarkonto till SYSTEM på helt patchade Windows 11-system som kör de senaste uppdateringarna från maj 2026. BleepingComputer och flera oberoende forskare bekräftade att exploateringen fungerar utan modifiering.

Vad kan den 14 juli betyda?

I ett undertecknat inläggvände sig forskaren direkt till Microsoft: "Markera detta datum, 14 juli. Jag kommer att se till att dina ben krossas den dagen." De angav att inga nya avslöjanden planeras för juni, även om de förbehöll sig rätten att ändra kurs. Tidigare inlägg varnade för en avsikt att eskalera till sårbarheter för fjärrkörning av kod om Microsoft fortsatte att avfärda sina rapporter.

Att vara de-platformed från både GitHub och GitLab tar bort de enklaste distributionskanalerna för kompilerade binärer och källkod, men en personlig blogg med direkta nedladdningar uppnår samma resultat för alla forskare som är villiga att underhålla den. Säkerhetsanalytiker på Barracuda Networks har noterat att exploateringskedjan Nightmare Eclipse, som kombinerar privilegieeskalering via BlueHammer, RedSun eller MiniPlasma med Defender-undertryckning via UnDefend, redan har setts i bekräftade nätverksintrång. Det återstår att se om nytt material kommer att dyka upp den 14 juli som ett proof-of-concept, en release för fjärrkodsexekvering eller något annat. Denna forskare utfärdade alla tidigare varningar innan han gjorde en faktisk avslöjande.

Google LogoAdd as a preferred source on Google
Mail Logo

Relaterade artiklar

> Bärbara datorer, laptops - tester och nyheter > Nyheter > Nyhetsarkiv > Nyhetsarkiv 2026 05 > Mardröms Eclipse bannlyst från GitHub och GitLab, lovar attack den 14 juli
Darryl Linington, 2026-05-28 (Update: 2026-05-28)