🗓️ Contexte

Article publié le 27 mai 2026 sur Tom’s Hardware, relatant un conflit public entre le chercheur en sécurité Nightmare-Eclipse (alias Chaotic Eclipse) et Microsoft/MSRC, ayant conduit à la publication de plusieurs zero-days Windows sans coordination de divulgation responsable.

⚔️ Conflit chercheur / éditeur

Le différend a débuté début avril avec la publication sans préavis du zero-day BlueHammer. Eclipse affirme que Microsoft a refusé toute communication, supprimé son compte Microsoft utilisé pour les rapports de bugs, puis banni son compte GitHub. Il allègue également ne pas avoir reçu de paiement du programme MSRC Bug Bounty (qui prévoit des récompenses de 30 000 $ à 250 000 $ selon la criticité). Eclipse a migré vers GitLab suite au bannissement.

Eclipse déclare avoir été personnellement menacé par Microsoft et annonce une « échéance » au 14 juillet, laissant entendre la publication de nouveaux zero-days.

🛠️ Zero-days publiés

Eclipse revendique six zero-days Windows publiés, avec code de preuve de concept (PoC) complet ou partiel :

  • BlueHammer : élévation de privilèges vers SYSTEM via Windows Defender
  • RedSun : élévation de privilèges vers SYSTEM via Windows Defender
  • UnDefend : désactivation de Windows Defender
  • GreenPlasma : élévation de privilèges vers SYSTEM via le service CTFMon
  • MiniPlasma : élévation de privilèges via une faille dans le driver Windows Cloud Filter
  • YellowKey : contournement de BitLocker permettant l’ouverture de volumes chiffrés

⚠️ BlueHammer, RedSun et UnDefend sont confirmés en exploitation active dans la nature.

💬 Réactions d’experts

William Dormann (Tharros) estime que la qualité du MSRC s’est dégradée suite à des licenciements, et que des exigences procédurales nouvelles (comme la soumission d’une vidéo de l’exploit) pourraient expliquer les frictions.

Microsoft n’a fait aucune déclaration publique sur le sujet.

📰 Nature de l’article

Article de presse spécialisée relatant un incident de divulgation conflictuelle, avec inventaire technique des vulnérabilités publiées et contexte du différend entre chercheur indépendant et éditeur.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Nightmare-Eclipse (unknown) —

TTP

  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1006 — Direct Volume Access (Defense Evasion)

Malware / Outils

  • BlueHammer (other)
  • RedSun (other)
  • UnDefend (tool)
  • GreenPlasma (other)
  • MiniPlasma (other)
  • YellowKey (tool)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ tomshardware.com — source non référencée (0pts)
  • ✅ 8965 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Nightmare-Eclipse (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.tomshardware.com/tech-industry/cyber-security/microsofts-github-bans-security-researcher-who-posted-zero-day-windows-exploits-because-company-ruined-their-life-expert-claims-action-is-vindictive-and-promises-further-retaliation