Nightmare-Eclipse : 6 zero-days Windows publiés par vengeance, exploitation active confirmée

Les faits

Depuis le 2 avril 2026, un acteur se faisant appeler "Nightmare-Eclipse" — également référencé sous les noms "Dead Eclipse" et "Chaotic Eclipse" — publie à intervalles réguliers des exploits fonctionnels pour des vulnérabilités non corrigées dans Windows et Windows Defender. Au total, six exploits ont été rendus publics en six semaines, dans ce que la communauté de sécurité décrit comme une campagne de représailles délibérée contre Microsoft.

Les trois premiers exploits — baptisés BlueHammer, RedSun et UnDefend — ciblent directement Windows Defender, présent sur l'ensemble des systèmes Windows 10 et 11. BlueHammer est enregistré sous CVE-2026-33825 et exploite une condition de course (TOCTOU) dans le moteur de Defender pour élever les privilèges d'un utilisateur non privilégié vers le niveau SYSTEM. RedSun (CVE-2026-41091) exploite un chemin de code différent, en abusant du mécanisme de rollback de fichiers cloud de Defender pour obtenir le même résultat. UnDefend (CVE-2026-45498) adopte une approche distincte : il rend l'endpoint visuellement sain aux yeux de Defender tout en dégradant ses capacités de détection — une désactivation furtive de la protection endpoint sans alerte.

Trois exploits supplémentaires ont suivi : YellowKey (CVE-2026-45585) et deux exploits sans CVE assigné au moment de leur publication, GreenPlasma et MiniPlasma. Huntress Labs a confirmé dans un rapport publié le 15 mai 2026 que BlueHammer, RedSun et MiniPlasma ont tous trois été observés dans des intrusions réelles documentées, utilisés en chaîne contre des PME nord-américaines.

La chaîne d'attaque documentée par Huntress est particulièrement préoccupante. L'attaquant obtient d'abord une exécution de code restreinte (phishing, vulnérabilité applicative, RDP avec identifiants volés), escalade vers SYSTEM avec l'un des exploits Nightmare-Eclipse, active UnDefend pour aveugler Defender, puis dépose sa charge persistante (backdoor, beacon C2, ransomware). Selon les analyses forensiques de Huntress, cette chaîne transforme une compromission à faibles privilèges en contrôle total du système en moins de trois minutes.

La motivation déclarée de Nightmare-Eclipse est la vengeance contre Microsoft. Des messages sur son blog et GitHub (supprimés mais archivés) décrivent un litige avec le Microsoft Security Response Center (MSRC) : bounties non versés, compte supprimé, absence de réponse qualitative. Plusieurs chercheurs estiment qu'il s'agit d'un ancien employé ou prestataire de Microsoft ayant une connaissance intime de l'architecture interne de Defender — le niveau de détail technique des exploits va au-delà d'une simple rétro-ingénierie externe.

RedSun et UnDefend n'ont été patchés que lors du Patch Tuesday de mai 2026 (13 mai), soit six semaines après leur publication publique. Pendant six semaines, deux exploits fonctionnels d'escalade de privilèges et de contournement d'antivirus étaient disponibles librement et déjà exploités activement. Microsoft a publié le 28 mai 2026 un communiqué officiel sur son blog MSRC condamnant la divulgation non coordonnée et signalant que son unité Digital Crimes Unit pourrait engager des poursuites pénales. La réaction de la communauté a été vive : plusieurs chercheurs ont rappelé que c'est précisément la lenteur de réponse du MSRC qui crée les conditions de telles situations.

Dans ses derniers messages, Nightmare-Eclipse a annoncé : publier prochainement des vulnérabilités RCE, préparer une surprise pour le Patch Tuesday du 9 juin 2026, et activer un mécanisme de dead man's switch déclenchant automatiquement la publication de nouveaux exploits si certaines conditions ne sont pas remplies. La communauté de sécurité surveille très attentivement l'actualité autour de ce profil à l'approche du 9 juin. Sources : Barracuda Networks, Huntress Labs, BleepingComputer, SOCRadar, CISA KEV (CVE-2026-41091 et CVE-2026-45498 ajoutés le 13 mai 2026).

Impact et exposition

Tout système Windows 10 ou 11 non patché au niveau du Patch Tuesday de mai 2026 est potentiellement exposé à BlueHammer, RedSun et UnDefend. L'exploitation nécessite un premier accès à faibles privilèges, ce qui en fait un outil d'escalade post-compromission redoutable. Si de nouveaux exploits RCE sont publiés le 9 juin, les organisations non patchées feront face à une exposition supplémentaire sans correctif disponible.

Recommandations

• Appliquer en priorité le Patch Tuesday de mai 2026, notamment CVE-2026-33825, CVE-2026-41091 et CVE-2026-45498 — vérifier dans Paramètres > Windows Update
• Déployer les IOC publiés par Huntress Labs pour détecter BlueHammer, RedSun et MiniPlasma dans les journaux Windows (Event ID 4688, 4624, journaux Defender)
• Activer la protection anti-tamper sur Windows Defender via Microsoft Intune ou GPO pour empêcher les tentatives de désactivation de type UnDefend
• Maintenir une veille active le 9 juin 2026 via MSRC, CISA KEV et BleepingComputer — possibilité de nouveaux exploits zero-day
• Revoir les politiques d'exposition RDP et renforcer le MFA sur tous les accès distants