研究人员Chaotic Eclipse先后公布了多个零日漏洞，包括BlueHammer（CVE-2026-33825）、RedSun、UnDefend、YellowKey（CVE-2026-45585）和GreenPlasma。目前微软仅修复了BlueHammer，并公布了YellowKey的缓解措施，但多家安全公司警告，这些漏洞已可被组合成完整的攻击链。

安全公司LevelBlue指出，Chaotic Eclipse披露的五个漏洞覆盖了初始入侵、权限提升、规避检测和数据窃取等攻击全阶段，几乎构成了一套完整的攻击工具包。其中，BlueHammer和RedSun提供了两条从普通用户账户提升至SYSTEM权限的路径；UnDefend可瘫痪企业Windows环境中部署最广泛的终端防护机制；YellowKey能绕过最常见的静态数据加密保护；GreenPlasma则提供了另一种权限提升方式。尽管Chaotic Eclipse公布的概念验证代码并不完整，但LevelBlue认为，任何具备Windows内核知识的攻击者，都能基于这些漏洞成功实现权限提升。

这些漏洞的概念验证代码具有共同特征：均直接利用Windows系统自身的合法组件，且不会破坏操作系统。具体而言，攻击代码会定位受信任的系统组件，然后将攻击者控制的数据写入这些组件未预期的内存位置。因此，在利用过程中不会造成内存损坏，也不会绕过硬件安全机制。

LevelBlue列举了两种攻击场景。第一种是攻击者通过网络接触目标设备，利用BlueHammer、RedSun或GreenPlasma提升权限，再使用UnDefend禁用Microsoft Defender，从而窃取凭证并进行横向移动；第二种场景假设攻击者能物理接触目标计算机，他们可通过USB设备触发YellowKey，获得完全控制的Shell权限，直接窃取磁盘中的全部数据。若需进一步提升权限、建立网络连接或提取内存中的凭证，攻击者可结合RedSun或GreenPlasma提升至SYSTEM权限，并配合UnDefend关闭防护机制，实现数据外泄或隐蔽通信。