Un chercheur en sécurité opérant sous les pseudonymes Nightmare Eclipse, Chaotic Eclipse et Dead Eclipse a publié du code d’exploitation fonctionnel pour six vulnérabilités zero-day de Windows depuis début avril 2026 sans en avertir Microsoft au préalable. Trois d’entre elles — BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) et UnDefend (CVE-2026-45498) — ont été activement exploitées dans la nature. GitHub a supprimé le compte du chercheur vers le 23 mai, et GitLab a suivi les 26-27 mai. Dans un article de blog publié le 28 mai, Microsoft a déclaré que ces divulgations « mettent nos clients inutilement en danger » et a appelé la communauté à respecter les normes de divulgation coordonnée des vulnérabilités (CVD), ajoutant que ses équipes de sécurité travaillaient « jour et nuit » pour développer des correctifs.
Trois exploits restent non corrigés au moment de la publication : YellowKey (CVE-2026-45585, un contournement de BitLocker), GreenPlasma et MiniPlasma. Le chercheur, qui agirait par rancœur personnelle à l’égard du centre de réponse aux incidents de sécurité de Microsoft, a répondu dans un article de blog en promettant une divulgation « fracassante » le 14 juillet — date du prochain Patch Tuesday de Microsoft — et en accusant l’entreprise d’avoir supprimé le compte par lequel il avait précédemment signalé des bogues. Le chercheur en sécurité Kevin Beaumont, ancien ingénieur de Microsoft, a décrit la situation comme « un incendie de poubelle qu’ils ont eux-mêmes allumé », notant que Microsoft avait un jour embauché un chercheur qui avait lui-même publié du code zero-day sans coordination, une conduite que Redmond qualifie désormais en termes adverses.