🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um pesquisador de segurança cibernética publicou explorações de prova de conceito (PoC) para duas vulnerabilidades não corrigidas do Microsoft Windows chamadas YellowKey e GreenPlasma, que são um desvio do BitLocker e uma falha de escalonamento de privilégios.
Conhecido como Chaotic Eclipse ou Nightmare Eclipse, o pesquisador descreve o problema de desvio do BitLocker como funcionando como um backdoor porque o componente vulnerável está presente apenas no Windows Recovery Environment (WinRE), que é usado para reparar problemas relacionados à inicialização do Windows.
As explorações mais recentes seguem a divulgação anterior do pesquisador do escalonamento de privilégios locais (LPE) BlueHammer (CVE-2026-33825) e RedSun (sem identificador) como falhas de dia zero, ambas as quais começaram a ser exploradas em estado selvagem logo após serem divulgadas publicamente.
Como em casos anteriores, o pesquisador afirmou que a decisão de divulgar publicamente as vulnerabilidades YellowKey e GreenPlasma, juntamente com orientações sobre como aproveitá-las, foi motivada pela insatisfação com o tratamento dos relatórios de bugs pela Microsoft.
Chaotic Eclipse, ou Nightmare-Eclipse no GitHub, disse que continuarão vazando exploits para vulnerabilidades não documentadas do Windows, prometendo até “uma grande surpresa” para o próximo Patch Tuesday.
O desvio do YellowKey BitLocker
O pesquisador afirma que YellowKey é um desvio do BitLocker que afeta o Windows 11 e o Windows Server 2022/2025. Envolve colocar arquivos ‘FsTx’ especialmente criados em uma unidade USB ou partição EFI, reinicializar no WinRE e acionar um shell mantendo pressionada a tecla CTRL.
Além disso, o desvio do BitLocker também deve funcionar sem armazenamento externo, copiando os arquivos para a partição EFI na unidade de destino.
De acordo com Chaotic/Nightmare Eclipse, o shell gerado ganha acesso irrestrito ao volume de armazenamento protegido pelo BitLocker.
O pesquisador de segurança independente Kevin Beaumont confirmou que a exploração do YellowKey é válida e concordou que o BitLocker tem um backdoor. Ele recomendou o uso de um PIN do BitLocker e uma senha do BIOS como atenuação.
Em uma atualização hoje, o Chaotic Eclipse disse que “a verdadeira causa raiz ainda não é desconhecida [sic] pelo público em geral” e que a vulnerabilidade pode ser explorada mesmo em um ambiente TPM (Trusted Platform Module) e PIN. No entanto, o exploit para esta versão não foi lançado.
“Acho que até o MSRC vai demorar um pouco para encontrar a verdadeira causa raiz do problema. Só nunca consegui entender por que essa vulnerabilidade está tão bem escondida”, disse o pesquisador.
"Não, TPM+PIN não ajuda, o problema ainda pode ser explorado de qualquer maneira, eu me perguntei: ainda pode funcionar em um ambiente TPM+PIN? Sim, ajuda, só não estou publicando o PoC, acho que o que está por aí já é ruim o suficiente."
Will Dormann, principal analista de vulnerabilidades do Tharros Labs, também confirmou que o exploit YellowKey funcionou com os arquivos FsTx em uma unidade USB, mas não conseguiu reproduzir o bug usando a partição EFI.
Ele explicou ao BleepingComputer que “YellowKey explora transações NTFS em combinação com a imagem de recuperação do Windows. Este prompt de PIN acontece antes de a recuperação do Windows ser inserida”.
Dormann esclareceu o processo de exploração, dizendo que para inicializar o Windows Recovery, "o Windows procura os diretórios \System Volume Information\FsTx nas unidades conectadas e irá reproduzir todos os logs NTFS."
"O resultado disso é que o X:\Windows\System32\winpeshl.ini é excluído e, quando o Windows Recovery é acessado, em vez de iniciar o ambiente real de recuperação do Windows, um CMD.EXE aparece. Com o disco ainda desbloqueado" - Will Dormann
Por padrão, as configurações do BitLocker somente TPM desbloqueiam unidades criptografadas automaticamente sem exigir interação do usuário. Se um sistema puder descriptografar um disco de forma transparente por conveniência, é razoável esperar que os invasores possam eventualmente encontrar maneiras de abusar desse processo.
“YellowKey é um exemplo de exploração para tal fraqueza”, disse Dormann, explicando que, por aproveitar o recurso de desbloqueio automático na inicialização, a atual exploração YellowKey não funciona em um ambiente TMP + PIN.
Vale ressaltar que o teste do YellowKey com uma unidade protegida pelo BitLocker deve ser realizado no dispositivo original, onde o TPM armazena as chaves de criptografia.
Como tal, a exploração YellowKey atual do Chaotic Eclypse não funciona com unidades roubadas, mas permite acesso a discos protegidos com BitLocker somente TPM sem a necessidade de credenciais.
A exploração do GreenPlasma
GreenPlasma é um problema de segurança de escalonamento de privilégios que pode ser explorado para obter um shell com permissões SYSTEM. O Chaotic Eclipse o descreve como uma "vulnerabilidade de elevação de privilégios na criação de seção arbitrária do Windows CTFMON".
Um usuário sem privilégios pode criar objetos de seção de memória arbitrários dentro de objetos de diretório graváveis por SYSTEM, permitindo potencialmente a manipulação de serviços ou drivers privilegiados
Conhecido como Chaotic Eclipse ou Nightmare Eclipse, o pesquisador descreve o problema de desvio do BitLocker como funcionando como um backdoor porque o componente vulnerável está presente apenas no Windows Recovery Environment (WinRE), que é usado para reparar problemas relacionados à inicialização do Windows.
As explorações mais recentes seguem a divulgação anterior do pesquisador do escalonamento de privilégios locais (LPE) BlueHammer (CVE-2026-33825) e RedSun (sem identificador) como falhas de dia zero, ambas as quais começaram a ser exploradas em estado selvagem logo após serem divulgadas publicamente.
Como em casos anteriores, o pesquisador afirmou que a decisão de divulgar publicamente as vulnerabilidades YellowKey e GreenPlasma, juntamente com orientações sobre como aproveitá-las, foi motivada pela insatisfação com o tratamento dos relatórios de bugs pela Microsoft.
Chaotic Eclipse, ou Nightmare-Eclipse no GitHub, disse que continuarão vazando exploits para vulnerabilidades não documentadas do Windows, prometendo até “uma grande surpresa” para o próximo Patch Tuesday.
O desvio do YellowKey BitLocker
O pesquisador afirma que YellowKey é um desvio do BitLocker que afeta o Windows 11 e o Windows Server 2022/2025. Envolve colocar arquivos ‘FsTx’ especialmente criados em uma unidade USB ou partição EFI, reinicializar no WinRE e acionar um shell mantendo pressionada a tecla CTRL.
Além disso, o desvio do BitLocker também deve funcionar sem armazenamento externo, copiando os arquivos para a partição EFI na unidade de destino.
De acordo com Chaotic/Nightmare Eclipse, o shell gerado ganha acesso irrestrito ao volume de armazenamento protegido pelo BitLocker.
O pesquisador de segurança independente Kevin Beaumont confirmou que a exploração do YellowKey é válida e concordou que o BitLocker tem um backdoor. Ele recomendou o uso de um PIN do BitLocker e uma senha do BIOS como atenuação.
Em uma atualização hoje, o Chaotic Eclipse disse que “a verdadeira causa raiz ainda não é desconhecida [sic] pelo público em geral” e que a vulnerabilidade pode ser explorada mesmo em um ambiente TPM (Trusted Platform Module) e PIN. No entanto, o exploit para esta versão não foi lançado.
“Acho que até o MSRC vai demorar um pouco para encontrar a verdadeira causa raiz do problema. Só nunca consegui entender por que essa vulnerabilidade está tão bem escondida”, disse o pesquisador.
"Não, TPM+PIN não ajuda, o problema ainda pode ser explorado de qualquer maneira, eu me perguntei: ainda pode funcionar em um ambiente TPM+PIN? Sim, ajuda, só não estou publicando o PoC, acho que o que está por aí já é ruim o suficiente."
Will Dormann, principal analista de vulnerabilidades do Tharros Labs, também confirmou que o exploit YellowKey funcionou com os arquivos FsTx em uma unidade USB, mas não conseguiu reproduzir o bug usando a partição EFI.
Ele explicou ao BleepingComputer que “YellowKey explora transações NTFS em combinação com a imagem de recuperação do Windows. Este prompt de PIN acontece antes de a recuperação do Windows ser inserida”.
Dormann esclareceu o processo de exploração, dizendo que para inicializar o Windows Recovery, "o Windows procura os diretórios \System Volume Information\FsTx nas unidades conectadas e irá reproduzir todos os logs NTFS."
"O resultado disso é que o X:\Windows\System32\winpeshl.ini é excluído e, quando o Windows Recovery é acessado, em vez de iniciar o ambiente real de recuperação do Windows, um CMD.EXE aparece. Com o disco ainda desbloqueado" - Will Dormann
Por padrão, as configurações do BitLocker somente TPM desbloqueiam unidades criptografadas automaticamente sem exigir interação do usuário. Se um sistema puder descriptografar um disco de forma transparente por conveniência, é razoável esperar que os invasores possam eventualmente encontrar maneiras de abusar desse processo.
“YellowKey é um exemplo de exploração para tal fraqueza”, disse Dormann, explicando que, por aproveitar o recurso de desbloqueio automático na inicialização, a atual exploração YellowKey não funciona em um ambiente TMP + PIN.
Vale ressaltar que o teste do YellowKey com uma unidade protegida pelo BitLocker deve ser realizado no dispositivo original, onde o TPM armazena as chaves de criptografia.
Como tal, a exploração YellowKey atual do Chaotic Eclypse não funciona com unidades roubadas, mas permite acesso a discos protegidos com BitLocker somente TPM sem a necessidade de credenciais.
A exploração do GreenPlasma
GreenPlasma é um problema de segurança de escalonamento de privilégios que pode ser explorado para obter um shell com permissões SYSTEM. O Chaotic Eclipse o descreve como uma "vulnerabilidade de elevação de privilégios na criação de seção arbitrária do Windows CTFMON".
Um usuário sem privilégios pode criar objetos de seção de memória arbitrários dentro de objetos de diretório graváveis por SYSTEM, permitindo potencialmente a manipulação de serviços ou drivers privilegiados
#samirnews #samir #news #boletimtec #windows #bitlocker #zeroday #dá #acesso #a #unidades #protegidas, #poc #lançado
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário