🗓️ Contexte

Publié le 13 mai 2026 par Cybernews, cet article rapporte la troisième vague de divulgations publiques de zero-days Windows par un chercheur en sécurité anonyme, opérant sous les alias “Chaotic Eclipse” et “Nightmare Eclipse”. Ces publications sont systématiquement effectuées juste après le Patch Tuesday de Microsoft.

🔓 Exploit 1 : “Yellow Key” — Bypass de BitLocker

Le premier exploit, nommé “Yellow Key”, permet de contourner entièrement le chiffrement BitLocker sur les systèmes affectés. Le vecteur d’attaque nécessite :

  • Un accès physique à la machine cible
  • Une clé USB contenant l’exploit
  • Un redémarrage dans l’environnement de récupération Windows (WinRE)
  • Une combinaison de touches spécifique déclenchant l’apparition d’un shell avec accès non restreint au volume chiffré

Le chercheur suspecte que le composant vulnérable a été intentionnellement planté dans l’environnement de récupération, car il est présent dans une installation Windows normale mais sans les fonctionnalités déclenchant le bypass. Les systèmes affectés sont Windows 11, Windows Server 2022 et Windows Server 2025 (Windows 10 non affecté). Le chercheur KevTheHermit sur X a confirmé le fonctionnement de l’exploit.

⬆️ Exploit 2 : “GreenPlasma” — Élévation de privilèges via CTFMON

Le second zero-day, nommé “GreenPlasma”, cible le processus CTFMON (ctfmon.exe), qui s’exécute en tant que SYSTEM dans chaque session interactive. Selon l’analyse du chercheur Het Mehta :

  • L’exploit plante une section mémoire arbitraire
  • Il manipule CTFMON via une chaîne de tricks de registre Windows et de règles de permissions
  • Cela permet d’injecter du shellcode malveillant ou de fausses bibliothèques DLL dans un contexte de confiance système

Le chercheur a délibérément publié une version incomplète de l’exploit, présentée comme un challenge CTF, sans la pièce finale permettant d’obtenir un shell SYSTEM complet.

⚠️ Menaces supplémentaires

  • Le chercheur menace de publier des exploits encore plus sévères lors du prochain Patch Tuesday
  • Il annonce vouloir impliquer d’autres entreprises dans le conflit
  • Un mécanisme de “dead man switch” a été évoqué le 25 avril 2026, conçu pour se déclencher automatiquement
  • Les deux exploits sont disponibles publiquement sur GitHub

📰 Nature de l’article

Article de presse spécialisée relatant une divulgation publique de vulnérabilités zero-day non corrigées, avec analyse technique partielle des exploits publiés.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Chaotic Eclipse / Nightmare Eclipse (unknown) —

TTP

  • T1542 — Pre-OS Boot (Defense Evasion)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1112 — Modify Registry (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1200 — Hardware Additions (Initial Access)

IOC

  • Fichiers : ctfmon.exe

Malware / Outils

  • Yellow Key (tool)
  • GreenPlasma (tool)

🟡 Indice de vérification factuelle : 51/100 (moyenne)

  • ⬜ cybernews.com — source non référencée (0pts)
  • ✅ 8896 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Chaotic Eclipse / Nightmare Eclipse (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://cybernews.com/security/researcher-releases-bitlocker-bypass-and-privilege-escalation-exploit/