GreenPlasma

📰 Source : SecurityWeek — Date : 17 juin 2026 Microsoft a publié un avis de sécurité reconnaissant l’existence de CVE-2026-50656 (score CVSS 7.8), une vulnérabilité d’élévation de privilèges dans le Microsoft Malware Protection Engine de Microsoft Defender, publiquement désignée sous le nom RoguePlanet. 🔍 Détails techniques La vulnérabilité exploite une race condition dans Microsoft Defender et permet à un attaquant d’obtenir des privilèges SYSTEM. Un proof-of-concept (PoC) a été publié par le chercheur Nightmare Eclipse (alias Chaotic Eclipse), démontrant une élévation de privilèges locale (LPE) sur Windows 10 et Windows 11 avec les correctifs de juin 2026 installés. ...

📅 Source : Cyber Security News — 10 juin 2026 (Patch Tuesday) 🔍 Contexte Le chercheur Nightmare Eclipse (également suivi sous les alias Chaotic Eclipse et Dead Eclipse) a publié sur GitHub un exploit proof-of-concept (PoC) nommé RoguePlanet, ciblant une vulnérabilité zero-day non encore référencée par Microsoft dans Microsoft Windows Defender. ⚙️ Nature de la vulnérabilité RoguePlanet exploite une race condition de type TOCTOU (Time-of-Check to Time-of-Use) dans la logique de traitement interne de Windows Defender. Un utilisateur non privilégié peut rediriger une opération fichier effectuée par Defender (qui s’exécute en tant que SYSTEM) via des NTFS junction points, afin d’exécuter du code arbitraire au niveau de privilège le plus élevé (Local Privilege Escalation — LPE). ...

🗓️ Contexte Article publié le 27 mai 2026 sur Tom’s Hardware, relatant un conflit public entre le chercheur en sécurité Nightmare-Eclipse (alias Chaotic Eclipse) et Microsoft/MSRC, ayant conduit à la publication de plusieurs zero-days Windows sans coordination de divulgation responsable. ⚔️ Conflit chercheur / éditeur Le différend a débuté début avril avec la publication sans préavis du zero-day BlueHammer. Eclipse affirme que Microsoft a refusé toute communication, supprimé son compte Microsoft utilisé pour les rapports de bugs, puis banni son compte GitHub. Il allègue également ne pas avoir reçu de paiement du programme MSRC Bug Bounty (qui prévoit des récompenses de 30 000 $ à 250 000 $ selon la criticité). Eclipse a migré vers GitLab suite au bannissement. ...

📰 Source : BleepingComputer — Date de publication : 17 mai 2026 Un chercheur en sécurité connu sous les pseudonymes Chaotic Eclipse ou Nightmare Eclipse a publié un exploit proof-of-concept (PoC) pour une vulnérabilité zero-day Windows baptisée MiniPlasma, permettant une escalade de privilèges jusqu’au niveau SYSTEM sur des systèmes Windows 11 entièrement à jour (incluant les mises à jour Patch Tuesday de mai 2026). 🔍 Détails techniques La faille affecte le driver cldflt.sys (Cloud Filter driver) et plus précisément la routine HsmOsBlockPlaceholderAccess. Elle permet la création de clés de registre arbitraires dans la ruche .DEFAULT sans vérification d’accès appropriée, via une API non documentée CfAbortHydration. Cette vulnérabilité avait été initialement découverte et signalée à Microsoft en septembre 2020 par James Forshaw (Google Project Zero), assignée sous l’identifiant CVE-2020-17103 et supposément corrigée en décembre 2020. Le chercheur affirme que le correctif n’a jamais été réellement appliqué ou a été silencieusement révoqué. ...

🗓️ Contexte Publié le 13 mai 2026 par Cybernews, cet article rapporte la troisième vague de divulgations publiques de zero-days Windows par un chercheur anonyme se faisant appeler “Chaotic Eclipse” ou “Nightmare Eclipse”, qui affirme avoir été lésé personnellement par Microsoft. 🔓 Exploit 1 : “Yellow Key” — Bypass BitLocker L’exploit nommé “Yellow Key” permet de contourner entièrement le chiffrement BitLocker sur les systèmes affectés. Le vecteur d’attaque requiert : Brancher une clé USB contenant l’exploit sur la machine cible Redémarrer dans l’environnement de récupération Windows (WinRE) Entrer une combinaison de touches spécifique Un shell avec accès non restreint au volume chiffré est alors obtenu Le chercheur suspecte que le composant vulnérable a été intentionnellement planté dans l’environnement de récupération, car il est présent dans une installation Windows normale mais sans les fonctionnalités déclenchant le bypass. Les systèmes affectés sont Windows 11, Windows Server 2022 et Windows Server 2025 (Windows 10 non concerné). L’exploit est disponible publiquement sur GitHub et a été confirmé fonctionnel par le chercheur KevTheHermit. ...

🔍 Contexte Source : blog personnel « Chaotic Eclipse » (deadeclipse666.blogspot.com), publications entre le 2 avril et le 13 mai 2026. L’auteur, opérant sous le pseudonyme Nightmare-Eclipse, publie une série de divulgations publiques de vulnérabilités ciblant Microsoft Windows, en réponse à ce qu’il décrit comme un traitement abusif de sa part par le Microsoft Security Response Center (MSRC). 📋 Chronologie des divulgations 2 avril 2026 : Publication de BlueHammer (GitHub : Nightmare-Eclipse/BlueHammer) — première divulgation publique, sans explication technique. 12 avril 2026 : Publication de UnDefend (GitHub : Nightmare-Eclipse/UnDefend) — outil qualifié de « DOS tool » et de 0-day, permettant à tout utilisateur d’exécuter du code avec privilèges administrateur en contournant Windows Defender. L’auteur précise que combiné à BlueHammer, la machine est entièrement compromise. 15 avril 2026 : Publication de RedSun (GitHub : Nightmare-Eclipse/RedSun) en réponse au patch de CVE-2026-33825. L’auteur mentionne que MSRC avait été informé mais avait ignoré le signalement. 12 mai 2026 : Publication simultanée de YellowKey (GitHub : Nightmare-Eclipse/YellowKey) et GreenPlasma (GitHub : Nightmare-Eclipse/GreenPlasma). L’auteur annonce vouloir impliquer d’autres entreprises. 13 mai 2026 : L’auteur signale que Microsoft a silencieusement patché RedSun sans CVE ni advisory, malgré une exploitation active. Il confirme que YellowKey fonctionne même dans un environnement TPM+PIN et refuse de publier le PoC complet. ⚠️ Éléments notables L’auteur affirme disposer d’un dead man switch sophistiqué, hébergé hors de son domicile, contenant des divulgations massives supplémentaires. Il mentionne explicitement Tom Gallagher (MSRC leadership) dans ses remerciements sarcastiques. Les messages sont signés cryptographiquement via PGP (Ed25519), la clé publique est publiée sur le blog. L’auteur annonce des divulgations de RCE à venir et une « surprise » pour le prochain Patch Tuesday. YellowKey est décrit comme une backdoor dont la cause racine reste inconnue du public et potentiellement de MSRC. 🎯 Nature de l’article Il s’agit d’une série de divulgations publiques offensives (full disclosure) motivées par un conflit personnel avec Microsoft/MSRC, accompagnées de menaces crédibles de divulgations futures. Le but principal est d’exercer une pression publique sur Microsoft en exposant des vulnérabilités non corrigées. ...

🗓️ Contexte Publié le 13 mai 2026 par Cybernews, cet article rapporte la troisième vague de divulgations publiques de zero-days Windows par un chercheur en sécurité anonyme, opérant sous les alias “Chaotic Eclipse” et “Nightmare Eclipse”. Ces publications sont systématiquement effectuées juste après le Patch Tuesday de Microsoft. 🔓 Exploit 1 : “Yellow Key” — Bypass de BitLocker Le premier exploit, nommé “Yellow Key”, permet de contourner entièrement le chiffrement BitLocker sur les systèmes affectés. Le vecteur d’attaque nécessite : ...