Nightmare Eclipse GitHub ve GitLab'den yasaklandı, 14 Temmuz'da saldırı sözü verdi

Altı hafta içinde altı Windows sıfır gün ifşasının arkasındaki güvenlik araştırmacısı, birkaç gün içinde hem GitHub hem de GitLab'den çıkarıldı ve şu anda yalnızca kişisel bir blogdan faaliyet gösteriyor. Nightmare-Eclipse, Chaotic Eclipse ve Dead Eclipse takma adlarını kullanan araştırmacı, gelecek ayki Salı Yaması'nın tarihi olan 14 Temmuz'u hedef alan açık bir tehditle yanıt verdi.

Microsoft, GitHub depolarını 23 Mayıs 2026 civarında işaretlemek ve silmekle suçlandı. Araştırmacı GitLab'a geçti, ancak GitLab 26-27 Mayıs'ta silah haline getirilmiş sıfırıncı gün istismar kodunu barındırdığı için hesabı askıya aldı. Her iki büyük kod barındırma platformunun da kapanmasıyla araştırmacı doğrudan kendi blogunda yayın yapıyor ve kesintinin planlarını değiştirmediğinin sinyalini verdi.

Altı haftada altı sıfır gün

Nightmare Eclipse, Nisan 2026'nın başından bu yana altı Windows güvenlik açığı için silahlandırılmış kavram kanıtlarını kamuya açıkladı: BlueHammer, RedSun, UnDefend, YellowKey, Yeşil Plazma ve MiniPlazma. Hiçbiri yayınlanmadan önce koordineli kanallar aracılığıyla ifşa edilmemiştir. Hedeflenen altı bileşenin tamamı uç nokta güvenlik katmanında veya altında yer almaktadır.

Microsoft şimdi altı taneden üçünü yamaladı. BlueHammer'a CVE-2026-33825 atandı ve 14 Nisan Salı Yaması'nda düzeltildi. RedSun ve UnDefend huntress'in her üçünün de gerçek dünya saldırılarında aktif olarak kullanıldığını doğrulamasının ardından 21 Mayıs'ta CVE-2026-41091 ve CVE-2026-45498 olarak bant dışı ele alındı. CISA her üçünü de Bilinen Açıklar kataloğuna eklemiş olup federal kurumların CVE-2026-41091 ve CVE-2026-45498'i 3 Haziran'a kadar yamalamaları gerekmektedir.

YellowKey, GreenPlasma ve MiniPlazma yayın tarihi itibariyle yamalanmamış durumdadır. MiniPlasma, Windows Bulut Filtresi sürücüsünü hedef alır ve en son Mayıs 2026 güncellemelerini çalıştıran tam yamalı Windows 11 sistemlerinde standart bir kullanıcı hesabını SYSTEM'e yükseltebilir. BleepingComputer ve çok sayıda bağımsız araştırmacı, istismarın değişiklik yapılmadan çalıştığını doğruladı.

14 Temmuz ne anlama geliyor olabilir?

imzalı bir gönderidearaştırmacı doğrudan Microsoft'a seslendi: "Bu tarihi işaretleyin, 14 Temmuz. O gün kemiklerinizin paramparça olmasını sağlayacağım." Haziran ayı için yeni bir ifşaat planlanmadığını, ancak rotayı değiştirme hakkını saklı tuttuklarını belirttiler. Önceki gönderiler, Microsoft'un raporlarını göz ardı etmeye devam etmesi halinde uzaktan kod çalıştırma güvenlik açıklarına yükselme niyeti olduğu konusunda uyarıda bulunmuştu.

Hem GitHub hem de GitLab'dan platformdan çıkarılma derlenmiş ikili dosyalar ve kaynak kodu için en kolay dağıtım kanallarını ortadan kaldırır, ancak doğrudan indirmeler içeren kişisel bir blog, bunu sürdürmek isteyen herhangi bir araştırmacı için aynı sonucu elde eder. adresindeki güvenlik analistleri Barracuda Networks blueHammer, RedSun veya MiniPlasma aracılığıyla ayrıcalık yükseltmeyi UnDefend aracılığıyla Defender bastırma ile birleştiren Nightmare Eclipse istismar zincirinin teyit edilmiş ağ izinsiz girişlerinde zaten görüldüğünü belirtmişlerdir. Yeni materyalin 14 Temmuz'da bir kavram kanıtı, uzaktan kod yürütme sürümü ya da başka bir şey olarak ortaya çıkıp çıkmayacağını göreceğiz. Bu araştırmacı, gerçek bir açıklama yapmadan önce her türlü uyarıyı yapmıştır.