🗓️ Contexte

Publié le 13 mai 2026 par Cybernews, cet article rapporte la troisième vague de divulgations publiques de zero-days Windows par un chercheur anonyme se faisant appeler “Chaotic Eclipse” ou “Nightmare Eclipse”, qui affirme avoir été lésé personnellement par Microsoft.

🔓 Exploit 1 : “Yellow Key” — Bypass BitLocker

L’exploit nommé “Yellow Key” permet de contourner entièrement le chiffrement BitLocker sur les systèmes affectés. Le vecteur d’attaque requiert :

  • Brancher une clé USB contenant l’exploit sur la machine cible
  • Redémarrer dans l’environnement de récupération Windows (WinRE)
  • Entrer une combinaison de touches spécifique
  • Un shell avec accès non restreint au volume chiffré est alors obtenu

Le chercheur suspecte que le composant vulnérable a été intentionnellement planté dans l’environnement de récupération, car il est présent dans une installation Windows normale mais sans les fonctionnalités déclenchant le bypass. Les systèmes affectés sont Windows 11, Windows Server 2022 et Windows Server 2025 (Windows 10 non concerné). L’exploit est disponible publiquement sur GitHub et a été confirmé fonctionnel par le chercheur KevTheHermit.

⬆️ Exploit 2 : “GreenPlasma” — Élévation de privilèges via CTFMON

Le second zero-day, nommé “GreenPlasma”, cible le processus CTFMON (ctfmon.exe), qui s’exécute en tant que SYSTEM dans chaque session interactive et gère les fonctionnalités de saisie de texte. Selon l’analyse du chercheur Het Mehta :

  • L’exploit plante une section mémoire arbitraire
  • Il manipule une chaîne de tricks de registre Windows et de règles de permissions
  • CTFMON est trompé pour interagir avec cette section mémoire
  • Cela permet d’y planter du shellcode malveillant ou de fausses bibliothèques DLL

L’auteur a délibérément publié une version incomplète de l’exploit, le présentant comme un challenge CTF, sans la pièce finale permettant d’obtenir un shell SYSTEM complet.

⚠️ Menaces supplémentaires

  • Le chercheur menace de publier des exploits encore plus sévères lors du prochain Patch Tuesday
  • Il annonce vouloir impliquer d’autres entreprises dans le conflit
  • Un mécanisme de type “dead man switch” a été évoqué le 25 avril 2026, conçu pour se déclencher automatiquement
  • Les divulgations précédentes incluent deux exploits d’élévation de privilèges via Windows Defender publiés les 2 et 15 avril 2026

📰 Nature de l’article

Article de presse spécialisée relatant des divulgations publiques de zero-days par un acteur individuel rancunier, avec analyse technique partielle des exploits publiés.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Nightmare Eclipse (unknown) —

TTP

  • T1542 — Pre-OS Boot (Defense Evasion)
  • T1078.003 — Valid Accounts: Local Accounts (Privilege Escalation)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1055 — Process Injection (Defense Evasion)
  • T1112 — Modify Registry (Defense Evasion)
  • T1574.001 — Hijack Execution Flow: DLL Search Order Hijacking (Persistence)
  • T1200 — Hardware Additions (Initial Access)

IOC

  • Fichiers : ctfmon.exe

Malware / Outils

  • Yellow Key (tool)
  • GreenPlasma (tool)

🟡 Indice de vérification factuelle : 41/100 (moyenne)

  • ⬜ cybernews.com — source non référencée (0pts)
  • ✅ 5650 chars — texte complet (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Nightmare Eclipse (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://cybernews.com/security/researcher-releases-bitlocker-bypass-and-privilege-escalation-exploit/