RoguePlanet et GreatXML : élévation de privilèges et contournement BitLocker sous Windows

🔍 Contexte Publié le 17 juin 2026 par Serhii Melnyk (LevelBlue SpiderLabs), cet article présente une analyse technique approfondie de deux preuves de concept (PoC) publiées sous les alias Nightmare-Eclipse / MSNightmare, peu après le Patch Tuesday de juin 2026 de Microsoft. 🚀 RoguePlanet : Élévation de privilèges locale via Microsoft Defender RoguePlanet est une technique d’élévation de privilèges locale (LPE) permettant à un utilisateur standard d’obtenir une exécution en contexte SYSTEM sans exploitation noyau ni corruption mémoire. Elle repose sur une chaîne en 7 étapes orchestrant des composants Windows légitimes : ...

29 juin 2026 · 4 min

0-day Windows Defender ' RoguePlanet ' : élévation de privilèges SYSTEM via race condition

📅 Source : Cyber Security News — 10 juin 2026 (Patch Tuesday) 🔍 Contexte Le chercheur Nightmare Eclipse (également suivi sous les alias Chaotic Eclipse et Dead Eclipse) a publié sur GitHub un exploit proof-of-concept (PoC) nommé RoguePlanet, ciblant une vulnérabilité zero-day non encore référencée par Microsoft dans Microsoft Windows Defender. ⚙️ Nature de la vulnérabilité RoguePlanet exploite une race condition de type TOCTOU (Time-of-Check to Time-of-Use) dans la logique de traitement interne de Windows Defender. Un utilisateur non privilégié peut rediriger une opération fichier effectuée par Defender (qui s’exécute en tant que SYSTEM) via des NTFS junction points, afin d’exécuter du code arbitraire au niveau de privilège le plus élevé (Local Privilege Escalation — LPE). ...

13 juin 2026 · 3 min

Un chercheur banni de GitHub publie 6 zero-days Windows après un conflit avec Microsoft/MSRC

🗓️ Contexte Article publié le 27 mai 2026 sur Tom’s Hardware, relatant un conflit public entre le chercheur en sécurité Nightmare-Eclipse (alias Chaotic Eclipse) et Microsoft/MSRC, ayant conduit à la publication de plusieurs zero-days Windows sans coordination de divulgation responsable. ⚔️ Conflit chercheur / éditeur Le différend a débuté début avril avec la publication sans préavis du zero-day BlueHammer. Eclipse affirme que Microsoft a refusé toute communication, supprimé son compte Microsoft utilisé pour les rapports de bugs, puis banni son compte GitHub. Il allègue également ne pas avoir reçu de paiement du programme MSRC Bug Bounty (qui prévoit des récompenses de 30 000 $ à 250 000 $ selon la criticité). Eclipse a migré vers GitLab suite au bannissement. ...

27 mai 2026 · 3 min

Zero-day Windows MiniPlasma : escalade de privilèges SYSTEM via cldflt.sys, PoC publié

📰 Source : BleepingComputer — Date de publication : 17 mai 2026 Un chercheur en sécurité connu sous les pseudonymes Chaotic Eclipse ou Nightmare Eclipse a publié un exploit proof-of-concept (PoC) pour une vulnérabilité zero-day Windows baptisée MiniPlasma, permettant une escalade de privilèges jusqu’au niveau SYSTEM sur des systèmes Windows 11 entièrement à jour (incluant les mises à jour Patch Tuesday de mai 2026). 🔍 Détails techniques La faille affecte le driver cldflt.sys (Cloud Filter driver) et plus précisément la routine HsmOsBlockPlaceholderAccess. Elle permet la création de clés de registre arbitraires dans la ruche .DEFAULT sans vérification d’accès appropriée, via une API non documentée CfAbortHydration. Cette vulnérabilité avait été initialement découverte et signalée à Microsoft en septembre 2020 par James Forshaw (Google Project Zero), assignée sous l’identifiant CVE-2020-17103 et supposément corrigée en décembre 2020. Le chercheur affirme que le correctif n’a jamais été réellement appliqué ou a été silencieusement révoqué. ...

19 mai 2026 · 3 min
Dernière mise à jour le: 4 juillet 2026 📝