Incubo Eclipse bandito da GitHub e GitLab, promette un attacco il 14 luglio

Il ricercatore di sicurezza dietro sei rivelazioni di Windows zero-day in sei settimane è stato rimosso sia da GitHub che da GitLab a distanza di pochi giorni l'uno dall'altro e ora opera esclusivamente da un blog personale. Il ricercatore, che si fa chiamare Nightmare-Eclipse, Chaotic Eclipse e Dead Eclipse, ha risposto con una minaccia esplicita che mira al 14 luglio, data del Patch Tuesday del mese prossimo.

Microsoft è stata accusata di aver contrassegnato e cancellato i repository di GitHub intorno al 23 maggio 2026. Il ricercatore si è spostato su GitLab, ma GitLab ha sospeso l'account il 26-27 maggio per aver ospitato codice di exploit zero-day armato. Con entrambe le principali piattaforme di hosting di codice ora chiuse, il ricercatore sta pubblicando direttamente sul proprio blog e ha segnalato che l'interruzione non ha cambiato i suoi piani.

Sei giorni zero in sei settimane

Dall'inizio di aprile 2026, Nightmare Eclipse ha rilasciato pubblicamente proof-of-concept armati per sei vulnerabilità di Windows: BlueHammer, RedSun, UnDefend, YellowKey, Green Plasma e MiniPlasma. Nessuno è stato divulgato attraverso canali coordinati prima della pubblicazione. Tutti e sei i componenti presi di mira si trovano al livello di sicurezza dell'endpoint o al di sotto di esso.

Microsoft ha ora applicato una patch a tre dei sei. A BlueHammer è stato assegnato CVE-2026-33825 e risolto nel Patch Tuesday del 14 aprile. RedSun e UnDefend sono stati risolti fuori banda il 21 maggio come CVE-2026-41091 e CVE-2026-45498, dopo che Huntress ha confermato lo sfruttamento attivo di tutti e tre in attacchi reali. Il CISA ha aggiunto tutte e tre le vulnerabilità al suo catalogo di Vulnerabilità Conosciute Sfruttate; le agenzie federali dovranno applicare le patch CVE-2026-41091 e CVE-2026-45498 entro il 3 giugno.

YellowKey, GreenPlasma e MiniPlasma rimangono senza patch alla data di pubblicazione. MiniPlasma prende di mira il driver Windows Cloud Filter e può portare un account utente standard a SYSTEM su sistemi Windows 11 completamente patchati e con gli ultimi aggiornamenti del maggio 2026. BleepingComputer e diversi ricercatori indipendenti hanno confermato che l'exploit funziona senza modifiche.

Cosa potrebbe significare il 14 luglio?

In un post firmato https://deadeclipse666.blogspot.com/il ricercatore si è rivolto direttamente a Microsoft: "Segnatevi questa data, il 14 luglio. Mi assicurerò che le vostre ossa siano frantumate quel giorno" Ha indicato che non sono previste nuove rivelazioni per giugno, anche se si è riservato il diritto di cambiare rotta. I post precedenti avvertivano dell'intenzione di passare a vulnerabilità di esecuzione di codice remoto se Microsoft avesse continuato a respingere le loro segnalazioni.

La de-piattaforma di GitHub e GitLab rimuove i canali di distribuzione più facili per i binari compilati e il codice sorgente, ma un blog personale con download diretti raggiunge lo stesso risultato per qualsiasi ricercatore disposto a mantenerlo. Gli analisti della sicurezza di Barracuda Networks hanno notato che la catena di exploit Nightmare Eclipse, che combina l'escalation dei privilegi tramite BlueHammer, RedSun o MiniPlasma con la soppressione di Defender tramite UnDefend, è già stata vista in intrusioni di rete confermate. Resta da vedere se il 14 luglio emergerà nuovo materiale come proof-of-concept, un rilascio di esecuzione di codice remoto o qualcos'altro. Questo ricercatore ha emesso tutti gli avvertimenti precedenti prima di fare una divulgazione vera e propria.