Nightmare Eclipse: één onderzoeker, zes zerodays en een oorlog met Microsoft
Nightmare-Eclipse, Chaotic Eclipse en Dead Eclipse publiceerde één beveiligingsonderzoeker tussen 2 april en 17 mei 2026 werkende exploit-code voor zes Windows-kwetsbaarheden.
Eén anonieme beveiligingsonderzoeker heeft tussen april en mei 2026 zes ongepatchte Windows-kwetsbaarheden publiek gemaakt uit wraak op Microsoft. Drie ervan worden actief misbruikt — en drie hebben nog steeds geen patch.
Overzicht
| Kenmerk | Details |
|---|---|
| Actieve exploits | BlueHammer, RedSun, UnDefend |
| Ongepatcht | YellowKey, GreenPlasma, MiniPlasma |
| Getroffen systemen | Windows 11, Windows Server 2022/2025 |
| Dreiging | Nieuwe aankondiging voor 14 juli 2026 |
Wie is Nightmare Eclipse?
Onder de aliassen Nightmare-Eclipse, Chaotic Eclipse en Dead Eclipse publiceerde één beveiligingsonderzoeker tussen 2 april en 17 mei 2026 werkende exploit-code voor zes Windows-kwetsbaarheden. Niet voor financieel gewin of bekendheid, maar als persoonlijke vergeldingsactie tegen Microsoft.
De aanleiding: de onderzoeker claimt jarenlang kwetsbaarheden te hebben gemeld bij het Microsoft Security Response Center (MSRC), zonder adequate reactie of beloning. Zijn Microsoft-account werd verwijderd. "When I actively asked you to communicate with me, you refused, humiliated me and made sure to insult me in front of people," schreef hij openbaar. "I got zero pennies from doing so and I still happily did like an idiot."
De zes exploits
De zes exploits vormen samen een complete aanvalsketen op Windows-systemen:
Privilege escalation (naar SYSTEM-niveau)
- BlueHammer (CVE-2026-33825) — gepatcht via Patch Tuesday april 2026
- RedSun (CVE-2026-41091) — gepatcht, actief misbruikt geweest
- MiniPlasma — escalatie via Windows Cloud Filter driver, nog ongepatcht
Windows Defender uitschakelen
- UnDefend (CVE-2026-45498) — laat een systeem gezond lijken voor Defender terwijl detectie wordt uitgeschakeld; gepatcht maar actief misbruikt geweest
Fysieke toegang / encryptie
- YellowKey (CVE-2026-45585) — omzeilt BitLocker via WinRE; nog ongepatcht
- GreenPlasma — details beperkt beschikbaar; nog ongepatcht
Samen vormen ze een gelaagde aanvalsketen: fysieke toegang via YellowKey, privilege escalation via BlueHammer of MiniPlasma, en detectie-ontwijking via UnDefend.
Microsoft reageert — en de gemeenschap ook
Op 28 mei 2026 publiceerde Microsoft een verklaring op het MSRC-blog waarin het de publicaties omschreef als "never justifiable" en aankondigde dat de Digital Crimes Unit strafrechtelijke stappen overweegt. Zowel het GitHub-account (rond 23 mei) als het GitLab-account (26-27 mei) van de onderzoeker werden verwijderd.
De reactie van de beveiligingsgemeenschap was verdeeld. Kevin Beaumont, bekend beveiligingsonderzoeker en voormalig Microsoft-medewerker, noemde Microsofts aanpak problematisch: het criminaliseren van niet-gecoördineerde disclosures lost de kwetsbaarheden niet op en schrikt legitieme beveiligingsonderzoekers af.
14 juli: de volgende aankondiging
Nightmare Eclipse heeft publiekelijk aangekondigd op 14 juli 2026 — de dag van Patch Tuesday — nieuwe informatie te publiceren. "Mark this date July 14th, I will make sure your bones are shattered that day," schreef de onderzoeker.
Of dit nieuwe exploits, interne Microsoft-documenten of iets anders betreft is onbekend. Wat wel zeker is: organisaties hebben tot die datum om hun omgevingen zo goed mogelijk te beveiligen.
Wat betekent dit voor uw organisatie?
De drie ongepatche exploits — YellowKey, GreenPlasma en MiniPlasma — vormen een direct risico. Microsoft heeft voor YellowKey aangegeven dat misbruik waarschijnlijk is gezien de beschikbare proof-of-concept code.
Aanbevolen maatregelen
- Patch direct — installeer alle beschikbare Patch Tuesday-updates van april en mei 2026
- BitLocker pincode instellen — mitigeert YellowKey (zie onze vorige post)
- USB-boot uitschakelen in BIOS/UEFI
- Endpoint Detection & Response — zorg dat uw EDR-oplossing niet uitsluitend op Windows Defender leunt
- Blijf alert op 14 juli — houd Microsoft's beveiligingsbulletins die dag nauwlettend in de gaten
Verband met YellowKey
In onze vorige post bespraken we al YellowKey als losstaande kwetsbaarheid. Nu blijkt het onderdeel van een veel groter patroon: een gecoördineerde — zij het wraakgedreven — aanvalsketen die Windows van meerdere kanten tegelijk aanvalt. Organisaties die YellowKey al hebben gemitigeerd doen er goed aan ook de overige vijf exploits te beoordelen.
Bronnen
- The Register – Microsoft 0-day feud escalates
- Barracuda Networks – Nightmare Eclipse: six zero-days, six weeks and one big grudge
- Cybersecurity News – GitLab Suspends Nightmare Eclipse
- Notebookcheck – Microsoft faces security community backlash
- Digiweerbaar – Dreigingsradar
Tags: Nightmare Eclipse · Windows Zeroday · BitLocker · Privilege Escalation · Windows Defender · CVE-2026-33825 · CVE-2026-45585 · Patch Tuesday