CVE Tools
Back to feed
Хабр — Информационная безопасность ·RU News source PoC publicWindowsWinREObject Manager

Nightmare Eclipse: один против Microsoft

By sea-team··10 min read
CVE Tools coverage

Исследователи R-Vision проанализировали первые PoC серии Nightmare Eclipse, показав три разных цепочки локального повышения привилегий в Windows: YellowKey (обход BitLocker через WinRE) для CVE-2026-45585, GreenPlasma (примитив на базе CTF/Winlogon и Object Manager) и MiniPlasma (Cloud Files/registry link abuse с запуском подконтрольного wermgr.exe от NT AUTHORITY\SYSTEM). Опасность в том, что часть техник срабатывает до нормальной загрузки ОС или через механизмы, которые хуже видны в типичных SIEM-детектах, поэтому SOC и threat hunting важно опираться на конкретные артефакты (например изменения CloudFiles\BlockedApps, нетипичные registry-ссылки и запуск wermgr.exe от SYSTEM вне C:\Windows\System32/). Эти сценарии подчеркивают необходимость усиленного hardening’а восстановления (WinRE) и мониторинга нестандартных телеметрических индикаторов для раннего обнаружения атак.