自2026年4月初起,一位使用多个化名(Nightmare Eclipse、Chaotic Eclipse、Dead Eclipse)的安全研究员,在短短六周内连续公开披露了六个 Windows 零日漏洞的武器化概念验证(PoC)代码,涉及 BlueHammer、RedSun、UnDefend、Green Plasma、MiniPlasma 以及一个未公开名称的漏洞。此举迅速引发微软和代码托管平台的反应。5月23日左右,其 GitHub 仓库被清空,微软被指控标记并删除了这些仓库。随后他尝试转移到 GitLab,但 GitLab 在5月26–27日以托管武器化漏洞利用代码为由暂停了其账户。目前该研究员只能通过个人博客继续发布内容,并公开威胁要在7月14日——微软下一个补丁星期二——采取进一步行动。
封禁经过与直接威胁
失去两个主要代码托管平台后,Nightmare Eclipse 并未屈服。他在个人博客上发表了措辞强硬的声明,直接向微软喊话:“记下这个日期,7 月 14 日。那天我会确保你的骨头粉碎。” 他暗示 6 月不会发布新的漏洞披露,但保留改变主意的权利。在此之前的帖子中,他曾警告如果微软继续忽视其安全报告,他将从本地提权漏洞升级到远程代码执行漏洞的披露。
六个零日漏洞的处置现状
Nightmare Eclipse 披露的六个漏洞涵盖多个 Windows 组件,包括本地提权和信息泄露等类型。微软目前已修复其中三个:BlueHammer(分配编号 CVE-2026-33825)在4月14日的补丁星期二中被修补;另外两个漏洞(CVE-2026-41091 和 CVE-2026-45498)在5月21日通过带外更新修复。Huntress 确认这三个漏洞均已在真实攻击中被活跃利用。美国网络安全与基础设施安全局(CISA)已将这三者列入已知利用漏洞目录,并要求联邦机构在6月3日前完成对 CVE-2026-41091 和 CVE-2026-45498 的修复。
尚未修复的三个漏洞包括 Green Plasma、MiniPlasma 以及另一个未具名的漏洞。其中 MiniPlasma 针对 Windows Cloud Filter 驱动程序,能够在完全安装2026年5月最新更新的 Windows 11 系统上,将标准用户账户权限提升至 SYSTEM。BleepingComputer 和多位独立研究人员已确认,该利用代码无需任何修改即可正常运行。
被两个主流代码托管平台封禁固然去除了最便捷的二进制文件和源代码分发渠道,但通过个人博客直接提供下载链接同样能达到分发目的,只要研究者愿意持续维护。安全分析师指出,这种对抗性披露模式给微软的补丁响应流程带来了持续压力。
本文参考来源:Notebookcheck
微信扫描下方的二维码阅读本文
