Кошмарный Eclipse запретил доступ к GitHub и GitLab, пообещав атаковать 14 июля

Исследователь безопасности, стоящий за шестью раскрытиями "нулевого дня" в Windows за шесть недель, был удален с GitHub и GitLab в течение нескольких дней друг за другом и теперь работает исключительно в личном блоге. Исследователь, который известен под именами Nightmare-Eclipse, Chaotic Eclipse и Dead Eclipse, ответил явной угрозой, направленной на 14 июля - дату вторника патчей следующего месяца.

Microsoft обвинили в том, что она отметила и стерла репозитории GitHub примерно 23 мая 2026 года. Исследователь перешел на GitLab, но 26-27 мая GitLab приостановил действие учетной записи за размещение кода эксплойтов нулевого дня. Поскольку обе основные платформы для размещения кода теперь закрыты, исследователь публикует материалы непосредственно в собственном блоге и сообщил, что перерыв в работе не изменил его планов.

Шесть нулевых дней за шесть недель

С начала апреля 2026 года Nightmare Eclipse публично опубликовал доказательства наличия шести уязвимостей в Windows: BlueHammer, RedSun, UnDefend, YellowKey, Green Plasma и MiniPlasma. Ни один из них не был раскрыт по согласованным каналам до публикации. Все шесть атакуемых компонентов расположены на уровне безопасности конечной точки или ниже.

Microsoft уже исправила три из шести. BlueHammer получил номер CVE-2026-33825 и был исправлен во вторник исправлений 14 апреля. RedSun и UnDefend были исправлены 21 мая во внесетевом режиме как CVE-2026-41091 и CVE-2026-45498 после того, как компания Huntress подтвердила активное использование всех трех уязвимостей в реальных атаках. CISA добавила все три уязвимости в свой каталог известных эксплуатируемых уязвимостей. Федеральные агентства должны устранить CVE-2026-41091 и CVE-2026-45498 до 3 июня.

YellowKey, GreenPlasma и MiniPlasma остаются неисправленными на момент публикации. MiniPlasma нацелена на драйвер облачного фильтра Windows и может повысить статус стандартной учетной записи пользователя до SYSTEM в полностью исправленных системах Windows 11 с последними обновлениями от мая 2026 года. BleepingComputer и несколько независимых исследователей подтвердили, что эксплойт работает без изменений.

Что может означать 14 июля?

В посте, подписанном https://deadeclipse666.blogspot.com/исследователь напрямую обратился к Microsoft: "Отметьте эту дату, 14 июля. Я позабочусь о том, чтобы в этот день Ваши кости были раздроблены" Они сообщили, что в июне не планируется никаких новых разоблачений, хотя и оставили за собой право изменить курс. Предыдущие сообщения предупреждали о намерении перейти к уязвимостям с удаленным выполнением кода, если Microsoft продолжит игнорировать их отчеты.

Лишение платформ GitHub и GitLab устраняет самые простые каналы распространения скомпилированных двоичных файлов и исходного кода, но личный блог с прямой загрузкой достигает того же результата для любого исследователя, готового его вести. Аналитики по безопасности Barracuda Networks отметили, что цепочка эксплойтов Nightmare Eclipse, сочетающая повышение привилегий с помощью BlueHammer, RedSun или MiniPlasma с подавлением Защитника с помощью UnDefend, уже была замечена в подтвержденных сетевых вторжениях. Пока неясно, появится ли 14 июля новый материал в качестве пробного варианта, релиза удаленного выполнения кода или чего-то другого. Этот исследователь выпустил все предварительные предупреждения, прежде чем сделать фактическое раскрытие.