🔍 Contexte

Publié le 17 juin 2026 par Serhii Melnyk (LevelBlue SpiderLabs), cet article présente une analyse technique approfondie de deux preuves de concept (PoC) publiées sous les alias Nightmare-Eclipse / MSNightmare, peu après le Patch Tuesday de juin 2026 de Microsoft.

🚀 RoguePlanet : Élévation de privilèges locale via Microsoft Defender

RoguePlanet est une technique d’élévation de privilèges locale (LPE) permettant à un utilisateur standard d’obtenir une exécution en contexte SYSTEM sans exploitation noyau ni corruption mémoire. Elle repose sur une chaîne en 7 étapes orchestrant des composants Windows légitimes :

  1. Binaire dual-mode : le même exécutable fonctionne en contexte utilisateur et SYSTEM via un named pipe (\.pipeRoguePlanet)
  2. Saturation I/O (Poseidon) : écriture haute fréquence vers des fichiers temporaires UUID sous %TEMP%\RP_ pour stabiliser les fenêtres de timing
  3. Préparation : montage d’une ISO embarquée, création d’un répertoire %TEMP%\RP_<UUID>\System32\ contenant un wermgr.exe signé EICAR
  4. Déclenchement : création d’un ADS wermgr.exe:WDFOO, scan Defender déclenché via MpClient.dll, surveillance VSS (HarddiskVolumeShadowCopy*), pose d’un oplock
  5. Redirection par junctions NTFS : swap de points de jonction pendant la pause Defender pour rediriger les opérations vers des chemins contrôlés
  6. Injection de payload : écrasement du fichier de quarantaine (propriété SYSTEM) avec le binaire attaquant
  7. Exécution via tâche planifiée : déclenchement de QueueReporting (WER) par un utilisateur non privilégié → exécution du payload en SYSTEM

🔓 GreatXML : Contournement BitLocker via abus du fichier réponse WinRE

GreatXML cible Windows Recovery Environment (WinRE) et les systèmes protégés par BitLocker. Elle nécessite un accès administrateur préalable et se déroule en 3 étapes :

  1. Plantation (admin requis) : dépôt d’un unattend.xml malveillant et d’un ReAgent.xml modifié sur la partition de récupération cachée
  2. Armement : déclenchement d’un scan offline Defender pour positionner le flag de boot WinRE
  3. Déclenchement : depuis l’écran de verrouillage, Shift+Restart → boot WinRE → exécution du pass windowsPE → shell avec accès au volume BitLocker déchiffré, sans clé de récupération

La valeur opérationnelle réside dans la persistance : les fichiers plantés survivent à la rotation des credentials, à la révocation des accès distants et au processus de réponse à incident.

🗂️ Cluster Nightmare-Eclipse

GreatXML s’inscrit dans un ensemble de 8 PoC ciblant les composants de sécurité Windows :

  • Defender : BlueHammer, UnDefend, RoguePlanet
  • BitLocker : YellowKey, GreatXML
  • Autres : GreenPlasma (CTFMON), MiniPlasma (Cloud Files mini-filter)

📡 Indicateurs clés (RoguePlanet)

  • %TEMP%\RP_<UUID>\System32\wermgr.exe:WDFOO (ADS)
  • %TEMP%\RP_<UUID>\System32\ (répertoire System32 sous %TEMP%)
  • %TEMP%\RP_<UUID>\wdtest_temp\
  • Junctions NTFS vers \Device\*
  • Tâche planifiée \Microsoft\Windows\Windows Error Reporting\QueueReporting
  • \.pipe\RoguePlanet

📡 Indicateurs clés (GreatXML)

  • unattend.xml à la racine de la partition de récupération
  • Recovery\WindowsRE\ReAgent.xml modifié
  • Attribution d’une lettre de lecteur à la partition de récupération (diskpart/WMI)

📋 Type d’article

Analyse technique détaillée publiée par LevelBlue SpiderLabs, destinée aux équipes de détection et de threat intelligence, avec guidance de détection EDR et extraction d’IoC comportementaux.

🧠 TTPs et IOCs détectés

TTP

  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
  • T1574.010 — Hijack Execution Flow: ServicesFile Permissions Weakness (Persistence)
  • T1055 — Process Injection (Defense Evasion)
  • T1564.004 — Hide Artifacts: NTFS File Attributes (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Execution)
  • T1006 — Direct Volume Access (Defense Evasion)
  • T1025 — Data from Removable Media (Collection)
  • T1542.001 — Pre-OS Boot: System Firmware (Defense Evasion)
  • T1490 — Inhibit System Recovery (Impact)
  • T1176 — Browser Extensions (Persistence)
  • T1134 — Access Token Manipulation (Privilege Escalation)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)

IOC

  • Fichiers : RoguePlanet.exe
  • Fichiers : wermgr.exe
  • Fichiers : unattend.xml
  • Fichiers : ReAgent.xml
  • Fichiers : FirstLogon.ps1
  • Chemins : %TEMP%\RP_<UUID>\System32\wermgr.exe
  • Chemins : %TEMP%\RP_<UUID>\System32\wermgr.exe:WDFOO
  • Chemins : %TEMP%\RP_<UUID>\wdtest_temp\
  • Chemins : %TEMP%\RP_<UUID>\System32\

Malware / Outils

  • RoguePlanet (tool)
  • GreatXML (tool)
  • BlueHammer (tool)
  • UnDefend (tool)
  • YellowKey (tool)
  • GreenPlasma (tool)
  • MiniPlasma (tool)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ⬜ levelblue.com — source non référencée (0pts)
  • ✅ 32711 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 9 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 14 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.levelblue.com/blogs/spiderlabs-blog/rogueplanet-and-greatxml-detecting-local-privilege-escalation-and-bitlocker-security-boundary-abuse