Nightmare Eclipse: Onrust rond Microsoft-kwetsbaarheden

Sinds 26 maart publiceert de beveiligingsonderzoeker Nightmare Eclipse (ook bekend als Chaotic Eclipse) informatie over kwetsbaarheden in Microsoft Windows in de vorm van proof-of-concepts (PoC’s). De onderzoeker volgt daarbij niet het gebruikelijke coordinated vulnerability disclosure-proces, waardoor Microsoft niet eerst de kans krijgt om een oplossing te ontwikkelen voordat informatie openbaar wordt gemaakt. De publicaties richten zich voornamelijk op beveiligingscomponenten binnen Windows, zoals Microsoft Defender en BitLocker. Ze worden via de persoonlijke blog Project Nightcrawler gedeeld en hebben de afgelopen maanden veel aandacht gekregen binnen de cybersecuritygemeenschap. Wat is er precies gebeurd?
Maart 2026: Start van de openbaarmakingen
De eerste blogberichten verschijnen eind maart. Hierin beschrijft Nightmare Eclipse dat er een conflict is ontstaan met Microsoft over het melden van beveiligingsproblemen. Volgens de onderzoeker zijn eerdere meldingen onvoldoende opgepakt en is de relatie met Microsoft definitief beëindigd. Vanaf dat moment kiest de onderzoeker ervoor kwetsbaarheden direct openbaar te maken via eigen repositories.
In de weken daarna verschijnen achtereenvolgens verschillende projecten, waaronder BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma en MiniPlasma. Een deel hiervan krijgt een CVE-nummer of beveiligingsupdate, terwijl andere op dat moment nog onopgelost blijven.
Mei 2026: Aankondiging van 14 juli
Op 23 mei publiceert Nightmare Eclipse een korte blogpost waarin één datum centraal staat: “Mark this date July 14th, I will make sure your bones are shattered that day.”
Daarnaast schrijft de onderzoeker dat er in juni waarschijnlijk niets zal worden gepubliceerd, maar dat dit afhankelijk blijft van de omstandigheden. Deze aankondiging leidt binnen de securitygemeenschap tot veel speculatie over een mogelijke grote openbaarmaking tijdens de Patch Tuesday van juli waarbij een grote hoeveelheid nieuwe kwetsbaarheden openbaar gemaakt zal worden.
Eind mei: Reactie van Microsoft
Microsoft reageert publiekelijk op de eerdere publicaties. Daarbij stelt het bedrijf dat de kwetsbaarheden niet via de officiële meldkanalen zijn aangeleverd en benadrukt het het belang van coordinated vulnerability disclosure.
Nightmare Eclipse reageert vervolgens opnieuw op de eigen blog. Daarin stelt de onderzoeker onder meer dat een eerder gebruikt MSRC-account is verwijderd en dat communicatie met Microsoft niet langer mogelijk was. Deze uitspraken zijn afkomstig van de onderzoeker zelf en zijn niet onafhankelijk bevestigd.
Juni 2026: RoguePlanet
Hoewel Nightmare Eclipse eerder had aangegeven dat er in juni waarschijnlijk geen nieuwe publicaties zouden volgen, verschijnt op 9 juni toch RoguePlanet. In een uitgebreide blogpost beschrijft de onderzoeker een exploit: een programma dat misbruik maakt van een kwetsbaarheid in Microsoft Defender om verhoogde rechten op een Windows-systeem te krijgen. Volgens de onderzoeker werkt dit ook op volledig bijgewerkte Windows 10- en Windows 11-systemen. Onafhankelijke onderzoekers hebben de werking van deze proof-of-concept geanalyseerd en bevestigd dat deze onder bepaalde omstandigheden reproduceerbaar is. Nightmare Eclipse beschrijft ook de ontwikkelgeschiedenis van RoguePlanet en hoe eerdere versies moesten worden aangepast nadat Microsoft wijzigingen had doorgevoerd in Microsoft Defender.
Juni 2026: GreatXML
Kort daarna volgt GreatXML, een proof-of-concept gericht op BitLocker en Windows Recovery Environment (WinRE). Volgens de onderzoeker toont de proof-of-concept aan dat BitLocker-beveiliging onder specifieke omstandigheden kan worden omzeild wanneer iemand fysieke toegang heeft tot een systeem.
Juni 2026: Annulering van de ‘grote’ openbaarmaking
Enkele dagen na de publicatie van RoguePlanet verschijnt een nieuwe blogpost waarin Nightmare Eclipse aangeeft dat de eerder aangekondigde openbaarmaking op 14 juli niet in de oorspronkelijke vorm zal plaatsvinden. Volgens de onderzoeker heeft de ontwikkeling van RoguePlanet aanzienlijk meer tijd gekost dan verwacht en heeft de onderzoeker voorlopig te weinig energie om een grote reeks nieuwe projecten af te ronden. Toekomstige openbaarmakingen worden daarbij echter niet uitgesloten.
14 juli 2026
Op het moment van schrijven (14 juli 2026) blijft onduidelijk of Nightmare Eclipse vandaag nog nieuwe projecten of proof-of-concepts zal publiceren via Project Nightcrawler. De onderzoeker heeft de eerder aangekondigde ‘grote’ openbaarmaking weliswaar ingetrokken, maar sluit nieuwe publicaties niet uit.
Wat betekent dit voor waterschappen?
Op dit moment is er geen reden tot paniek. Wel doen waterschappen er goed aan de officiële communicatie van Microsoft te volgen, beveiligingsupdates tijdig te installeren en alert te zijn op eventuele nieuwe proof-of-concepts of exploitcode die via Project NightCrawler wordt gepubliceerd. CERT-WM volgt de ontwikkelingen en zal relevante informatie delen wanneer daar aanleiding toe is.
Deze tijdlijn is opgesteld op 14 juli 2026 en wordt indien nodig aangevuld wanneer Nightmare Eclipse later vandaag nieuwe informatie publiceert.
