Исследователь безопасности опубликовал эксплойты «доказательства концепции» (proof-of-concept, PoC) для двух неисправленных уязвимостей Windows под названиями YellowKey и GreenPlasma. Они позволяют обходить защиту BitLocker и повышать привилегии в системе.
Исследователь, известный под ником Chaotic Eclipse, пояснил, что уязвимость фактически работает как бэкдор, поскольку уязвимый компонент присутствует только в среде восстановления Windows (WinRE).
Новые эксплойты стали продолжением предыдущих публикаций исследователя об уязвимостях «нулевого дня» BlueHammer (CVE-2026-33825) и RedSun, которые позволяли локально повышать привилегии (LPE). Обе уязвимости начали активно эксплуатироваться в реальных атаках вскоре после публичного раскрытия.
Как и в предыдущих случаях, решение публично раскрыть уязвимости YellowKey и GreenPlasma вместе с инструкциями по их эксплуатации было связано с недовольством тем, как Microsoft обрабатывает сообщения об ошибках.
Chaotic Eclipse заявил, что продолжит публиковать эксплойты для недокументированных уязвимостей Windows и даже пообещал «большой сюрприз» к следующему «Вторнику Патчей».
Обход защиты BitLocker через YellowKey
Исследователь утверждает, что YellowKey — это уязвимость обхода BitLocker, затрагивающая Windows 11 и Windows Server 2022/2025. Атака предполагает размещение специально подготовленных файлов «FsTx» на USB-накопителе или EFI-разделе, после чего система перезагружается в WinRE, а удерживание клавиши Ctrl вызывает запуск shell.
Кроме того, обход BitLocker должен работать и без внешнего накопителя — для этого достаточно скопировать файлы в EFI-раздел целевого диска. По словам исследователя, полученный shell получает неограниченный доступ к тому дисковому тому, который защищен BitLocker.
Независимый исследователь в области безопасности Кевин Бомонт (Kevin Beaumont) подтвердил, что эксплойт YellowKey действительно работоспособен, и согласился с тем, что в BitLocker фактически присутствует бэкдор. В качестве меры защиты он рекомендовал использовать PIN-код BitLocker и пароль BIOS.
13 мая Chaotic Eclipse заявил, что «настоящая первопричина проблемы все еще неизвестна широкой публике» и что уязвимость может эксплуатироваться даже в среде с TPM (Trusted Platform Module) и PIN-кодом. Однако эксплойт для такого сценария пока не опубликован.
Исследователь отметил:
Я думаю, что даже MSRC потребуется время, чтобы найти настоящую первопричину проблемы. Мне так и не удалось понять, почему эта уязвимость настолько хорошо скрыта.
Нет, TPM+PIN не спасает — уязвимость все равно можно эксплуатировать. Я и сам задавался вопросом, будет ли это работать в конфигурации TPM и PIN. Да, будет. Просто я не публикую PoC, потому что считаю, что уже опубликованных материалов более чем достаточно, чтобы создать проблемы
Главный аналитик уязвимостей в Tharros Labs Уилл Дорманн (Will Dormann) также подтвердил, что эксплойт YellowKey работает с файлами FsTx на USB-накопителе, однако ему не удалось воспроизвести уязвимость при использовании EFI-раздела.
Он пояснил:
YellowKey использует NTFS-транзакции в сочетании с образом среды восстановления Windows. Запрос PIN-кода появляется еще до входа в Windows Recovery.
Дорманн уточнил процесс эксплуатации уязвимости, объяснив, что для загрузки среды восстановления Windows ищет каталоги \System Volume Information\FsTx на подключенных накопителях и воспроизводит все NTFS-журналы:
В результате файл X:\Windows\System32\winpeshl.ini удаляется, и при входе в Windows Recovery вместо запуска настоящей среды восстановления Windows открывается CMD.EXE. При этом диск остается разблокированным.
По умолчанию конфигурации BitLocker только с TPM автоматически разблокируют зашифрованные диски без необходимости взаимодействия с пользователем. Если система может прозрачно расшифровывать диск ради удобства, логично ожидать, что злоумышленники рано или поздно найдут способы злоупотребить этим механизмом.
Дорманн, пояснил, что поскольку атака использует функцию автоматической разблокировки при загрузке, текущая версия эксплойта YellowKey не работает в среде TPM+PIN.
Также стоит отметить, что тестирование YellowKey на диске, защищенном BitLocker, должно выполняться на исходном устройстве, где TPM хранит ключи шифрования.
Таким образом, текущий эксплойт YellowKey от Chaotic Eclypse не работает с украденными дисками, однако позволяет получать доступ к дискам, защищенным BitLocker только с TPM, без необходимости ввода учетных данных.
Эксплойт GreenPlasma
GreenPlasma — это уязвимость повышения привилегий, которая может использоваться для получения shell с правами SYSTEM. Chaotic Eclipse описывает ее как «уязвимость повышения привилегий Windows CTFMON Arbitrary Section Creation».
Демонстрация эксплуатации уязвимости GreenPlasma. Источник: GitHub
Непривилегированный пользователь может создавать произвольные объекты секций памяти внутри объектов каталогов, доступных для записи со стороны SYSTEM, что потенциально позволяет манипулировать привилегированными службами или драйверами, доверяющими этим расположениям.
Однако опубликованный PoC является неполным и не содержит компонент, необходимый для получения полноценного shell с правами SYSTEM. Тем не менее, как утверждает Chaotic Eclipse, «если вы достаточно умны, то сможете превратить это в полноценное повышение привилегий».
Недовольный исследователь также добавил, что созданная секция может использоваться для манипулирования данными и различными службами, включая драйверы режима ядра, заставляя их доверять определенным путям, к которым обычные пользователи не имеют доступа.
Хотя точные обстоятельства, которые спровоцировали серию публикаций эксплойтов от Chaotic Eclipse, остаются неизвестными, исследователь намекнул на «большой сюрприз» для Microsoft в следующий «Вторник Патчей». Кроме того, он заявил, что «Microsoft тихо исправила уязвимость RedSun», и раскритиковал компанию за скрытность и отказ присвоить уязвимости идентификатор, как это уже произошло в случае с BlueHammer.
Представитель Microsoft так прокомментировал информацию о новых эксплойтах:
Мы также поддерживаем координированное раскрытие уязвимостей — широко распространенную отраслевую практику, которая помогает тщательно исследовать и устранять проблемы до их публичного раскрытия, обеспечивая как защиту пользователей, так и поддержку сообщества исследователей безопасности.