Die erste der neuen Lücken, YellowKey, zielt auf die Laufwerksverschlüsselung BitLocker. Nach Darstellung der Forscher von LevelBlue kann „jeder Angreifer mit physischem Zugang und einem USB-Gerät BitLockers Verschlüsselung außer Kraft setzen und in kürzester Zeit uneingeschränkten Zugriff auf verschlüsselte Laptops erlangen". Dafür müsse lediglich ein präpariertes USB-Gerät in ein Zielgerät gesteckt, ein Neustart in die Windows-Wiederherstellungsumgebung (WinRE) erzwungen und eine bestimmte Tastenkombination eingegeben werden. Weder Zugangsdaten noch eine PIN oder ein TPM-Bypass seien nötig, so LevelBlue.

GreenPlasma betrifft Windows 10, Windows 11 und Windows Server. Die Schwachstelle nutzt laut LevelBlue eine Windows-Komponente zur Verwaltung von Texteingabediensten, um Rechte bis auf SYSTEM-Ebene auszuweiten. Der veröffentlichte Proof-of-Concept stoppt jedoch vor der finalen SYSTEM-Stufe, sodass für eine vollständige Ausnutzung Kenntnisse über Windows-Interna erforderlich wären. Bei erfolgreicher Ausnutzung ermögliche die Lücke das Abgreifen von Zugangsdaten, laterale Bewegung, Persistenz und das Umgehen von Sicherheitsmechanismen auf vollständig gepatchten Systemen.

„GreenPlasma ist eine lokale Rechteausweitung, die wir aber häufig in Verbindung mit Social-Engineering-Angriffen sehen", sagt Karl Sigler, Security Research Manager bei SpiderLabs Threat Intelligence von LevelBlue. Ein typisches Szenario sei, dass ein Angreifer ein Opfer zur Installation einer Fernwartungssoftware (RMM) überrede und über diesen Zugang den Exploit auslöse, um sich von einem normalen Nutzerkonto auf SYSTEM-Rechte zu heben.

MiniPlasma wiederum ist ein Exploit für CVE-2020-17103, eine Schwachstelle zur Rechteausweitung im Windows Cloud Files Mini Filter Driver, die Googles Project Zero bereits 2020 an Microsoft gemeldet hatte. Obwohl Microsoft damals einen Patch herausgab, funktioniert der ursprüngliche PoC von Google nach wie vor unverändert. Nightmare Eclipse will daraus einen Exploit entwickelt haben, der die vollständige Kontrolle über ein verwundbares System erlaubt.

Die drei zuvor veröffentlichten Lücken sind BlueHammer und RedSun, mit denen sich Microsoft Defender gegen Nutzer einsetzen lässt, sowie UnDefend, womit Angreifer die Erkennungsfähigkeit von Defender schrittweise schwächen können. Bislang hat Microsoft nur für BlueHammer (CVE-2026-33825) offiziell eine CVE vergeben und einen Patch bereitgestellt; diese Lücke steht im KEV-Katalog der CISA. RedSun habe Microsoft laut Nightmare Eclipse stillschweigend behoben – ohne CVE und ohne öffentlichen Hinweis, trotz Anzeichen für Ausnutzung. Die übrigen Schwachstellen sind nicht gepatcht.

Die Einschätzungen zur Gefährlichkeit gehen auseinander. „MiniPlasma ist relativ leicht auszunutzen und vermutlich am unmittelbarsten besorgniserregend", sagt Kieran Human, Lead Cybersecurity Engineer bei ThreatLocker. YellowKey setze physischen Zugang voraus, was das Risiko außerhalb von Insider-Szenarien senke, und GreenPlasma sei in seiner jetzigen Form unvollständig.

Microsoft verwies darauf, dass man sich zur koordinierten Offenlegung von Schwachstellen bekenne, einem Branchenstandard, der Erkenntnisse vor ihrer Veröffentlichung gründlich untersuchen lasse. Genau dieses Modell habe Nightmare Eclipse jedoch verworfen, sagt Christine Barry von Barracuda: Die Veröffentlichungen würden bewusst direkt nach dem Patchday getaktet. Sie verweist auch darauf, dass eine der Lücken angeblich 2020 gepatcht wurde, auf aktuellen Windows-11-Systemen aber weiterhin ausnutzbar sei.