2026 áprilisa óta egy anonim biztonsági kutató, aki Chaotic Eclipse, illetve Nightmare Eclipse néven is publikál, hat Windows-sebezhetőséget hozott nyilvánosságra PoC-kóddal együtt. A YellowKey, GreenPlasma és a MiniPlasma névre keresztelt exploitokról korábban írtunk. A kutató azt állítja, hogy a Microsoft figyelmen kívül hagyta korábbi jelentéseit, indoklás nélkül zárt le bejelentéseket, nem fizetett bug bounty-díjazást, és törölte azt a Microsoft-fiókot, amelyen keresztül a hibákat jelezte. Ezeket az állításokat független forrásból egyelőre nem igazolták.
A publikált sebezhetőségek:
BlueHammer (CVE-2026-33825) – Windows Defender helyi jogosultságkiterjesztési hiba, alacsony jogosultságú felhasználóból NT AUTHORITY\SYSTEM szintre eszkalál.
RedSun (CVE-2026-41091) – szintén Defender-alapú LPE, Windows 10/11 és Server 2019+ rendszereken.
UnDefend (CVE-2026-45498) – szabványos felhasználóként kihasználható hiba, amely megakadályozza a Defender-definíciófrissítéseit.
YellowKey (CVE-2026-45585) – BitLocker-megkerülési technika, amely TPM-only konfigurációban parancssort nyit a titkosított meghajtón.
GreenPlasma (CVE nélkül) – CTFMon-szolgáltatáson keresztüli jogosultságkiterjesztés.
MiniPlasma (CVE-2020-17103) – a Windows Cloud Filter-driver (cldflt[.]sys) hibáját kihasználó LPE-exploit, amely eredetileg 2020-ban lett jelezve a Microsoftnak, de jelenleg is működik teljesen frissített Windows 11 rendszereken.
A BlueHammer, RedSun és UnDefend valós támadásokban is megjelent. A Huntress szerint a BlueHammer-t 2026. április 10-től, a RedSun és UnDefend PoC-ket pedig április 16-tól látták éles környezetben. A CISA mindhárom hibát felvette a Known Exploited Vulnerabilities-katalógusba.
A Microsoft 2026. május 27-én hivatalos közleményben ítélte el a koordinálatlan közzétételt. A vállalat szerint a hibák részleteit nem osztották meg vele a nyilvános publikálás előtt, és az ilyen közzététel szükségtelen kockázatot jelent az ügyfelekre. A Microsoft azt írta, hogy a proof-of-concept kódok közzététele javítás előtt „soha nem igazolható”, és a biztonsági csapatok dolgoznak a hatások felmérésén, az ügyfelek védelmén és a frissítéseken.
Május 23. körül a Microsoft tulajdonában lévő GitHub eltávolította a kutató fiókját és repositoryjait. A kutató GitLabra migrált, de a GitLab május 26. körül szintén blokkolta a fiókot. A kutató ezután saját blogján folytatta a kommunikációt, és július 14-re, a Microsoft következő Patch Tuesday-dátumára újabb „jelentős” lépést helyezett kilátásba.
A kutató GitHub fiókját eltávolították, blogger oldala pedig a cikk megjelenésekor nem volt elérhető. A Microsoft közleménye nem fenyegetett közvetlenül jogi lépésekkel, de jelezte, hogy Digital Crimes Unit csapata továbbra is fellép a támadók és azok ellen, akik kiberbűnözést tesznek lehetővé. A lap ugyanakkor hangsúlyozta, hogy a kutató Microsofttal szembeni konkrét panaszait függetlenül nem igazolták.
Az ügy ismét élesen megmutatja a koordinált és a teljes nyilvánosságra hozatal közötti konfliktust. A publikált exploit kódok kézzelfogható támadási útmutatót adtak a támadóknak, amit a Defenderhez kapcsolódó hibák gyors éles kihasználása is bizonyít. Ugyanakkor ha egy gyártó nem kommunikál átláthatóan a kutatókkal, nem kezeli következetesen a bejelentéseket, vagy nem ad egyértelmű választ a bounty- és attribution-vitákra, az szintén rombolja a bizalmat. A július 14-i dátum ezért külön figyelmet érdemel: a korábbi minta alapján újabb Windows-sebezhetőségek nyilvánosságra hozatala sem zárható ki.