Nightmare Eclipse: один против Microsoft
Исследователи R-Vision проанализировали первые PoC серии Nightmare Eclipse, показав три разных цепочки локального повышения привилегий в Windows: YellowKey (обход BitLocker через WinRE) для CVE-2026-45585, GreenPlasma (примитив на базе CTF/Winlogon и Object Manager) и MiniPlasma (Cloud Files/registry link abuse с запуском подконтрольного wermgr.exe от NT AUTHORITY\SYSTEM). Опасность в том, что часть техник срабатывает до нормальной загрузки ОС или через механизмы, которые хуже видны в типичных SIEM-детектах, поэтому SOC и threat hunting важно опираться на конкретные артефакты (например изменения CloudFiles\BlockedApps, нетипичные registry-ссылки и запуск wermgr.exe от SYSTEM вне C:\Windows\System32/). Эти сценарии подчеркивают необходимость усиленного hardening’а восстановления (WinRE) и мониторинга нестандартных телеметрических индикаторов для раннего обнаружения атак.