Codeby
@codeby_sec
Windows под прицелом: серия новых Zero-Day ставит под удар BitLocker и ядро системы
Исследователь-одиночка, скрывающийся под никами Chaotic Eclipse и Nightmare-Eclipse, продолжает свою «войну» против Microsoft. После недавнего слива трех уязвимостей в Defender, он опубликовал еще два критических бага, затрагивающих Windows 11 и серверные версии 2022/2025. В ИБ-сообществе эти находки уже получили кодовые имена YellowKey и GreenPlasma.
Ситуация накаляется: исследователь прямо заявляет, что это месть за игнорирование его отчетов со стороны MSRC (Microsoft Security Response Center), и обещает «большой сюрприз» к июньскому Patch Tuesday 2026 года.
Вот основные технические подробности, которые известны:
YellowKey: BitLocker больше не замок. Уязвимость позволяет обойти шифрование BitLocker через среду восстановления (WinRE). Исследователь называет это «настоящим бэкдором». Для реализации атаки достаточно вставить специально подготовленную USB-флешку с файлами «FsTx» и зажать клавишу CTRL при загрузке в WinRE.
Главная проблема: Даже связка TPM+PIN не защищает от этого метода.
Мнение экспертов: Известный исследователь Уилл Дорманн подтвердил воспроизводимость бага, отметив, что транзакционные файлы NTFS на внешнем диске могут манипулировать системными файлами на зашифрованном диске X:, вызывая командную строку с полным доступом.
GreenPlasma: Privilege Escalation через CTFMON. Вторая уязвимость связана с компонентом Windows Collaborative Translation Framework. Она позволяет обычному пользователю создавать объекты в памяти в директориях, доступных только для системы (SYSTEM). Хотя опубликованный PoC пока не дает «чистый» SYSTEM-shell, он открывает двери для манипуляции привилегированными сервисами и драйверами.
Атаки отката (Downgrade Attacks). Параллельно эксперты из Intrinsec продемонстрировали, что BitLocker на полностью обновленных Windows 11 можно взломать менее чем за 5 минут. Атака использует старый загрузчик (CVE-2025-48804), который хоть и имеет патч, но все еще подписан доверенным сертификатом Microsoft (PCA 2011). Secure Boot пропускает его, так как проверяет подпись, а не версию файла.
Что важно для защиты инфраструктуры прямо сейчас:
Пересмотр доверия к WinRE. Пока Microsoft не выпустила официальный патч, среда восстановления остается «входной дверью» для злоумышленника с физическим доступом.
Миграция сертификатов. Необходимо принудительно переводить менеджер загрузки на сертификаты CA 2023 и отзывать старые PCA 2011, чтобы предотвратить атаки типа Downgrade.
Мониторинг физического периметра. Все описанные методы обхода BitLocker требуют физического доступа к устройству или возможности подключения USB-носителя на этапе загрузки.
Microsoft пока ограничивается стандартными заявлениями о «приверженности безопасности клиентов», однако молчаливое исправление предыдущих багов (как в случае с RedSun) подтверждает — проблема носит массовый характер.
Все наши каналы Все наши чаты Для связи с менеджером
Исследователь-одиночка, скрывающийся под никами Chaotic Eclipse и Nightmare-Eclipse, продолжает свою «войну» против Microsoft. После недавнего слива трех уязвимостей в Defender, он опубликовал еще два критических бага, затрагивающих Windows 11 и серверные версии 2022/2025. В ИБ-сообществе эти находки уже получили кодовые имена YellowKey и GreenPlasma.
Ситуация накаляется: исследователь прямо заявляет, что это месть за игнорирование его отчетов со стороны MSRC (Microsoft Security Response Center)
Вот основные технические подробности, которые известны:
YellowKey: BitLocker больше не замок. Уязвимость позволяет обойти шифрование BitLocker через среду восстановления (WinRE). Исследователь называет это «настоящим бэкдором». Для реализации атаки достаточно вставить специально подготовленную USB-флешку с файлами «FsTx» и зажать клавишу CTRL при загрузке в WinRE.
Главная проблема: Даже связка TPM+PIN не защищает от этого метода.
Мнение экспертов: Известный исследователь Уилл Дорманн подтвердил воспроизводимость бага, отметив, что транзакционные файлы NTFS на внешнем диске могут манипулировать системными файлами на зашифрованном диске X:, вызывая командную строку с полным доступом.
GreenPlasma: Privilege Escalation через CTFMON. Вторая уязвимость связана с компонентом Windows Collaborative Translation Framework. Она позволяет обычному пользователю создавать объекты в памяти в директориях, доступных только для системы (SYSTEM). Хотя опубликованный PoC пока не дает «чистый» SYSTEM-shell, он открывает двери для манипуляции привилегированными сервисами и драйверами.
Атаки отката (Downgrade Attacks). Параллельно эксперты из Intrinsec продемонстрировали, что BitLocker на полностью обновленных Windows 11 можно взломать менее чем за 5 минут. Атака использует старый загрузчик (CVE-2025-48804), который хоть и имеет патч, но все еще подписан доверенным сертификатом Microsoft (PCA 2011). Secure Boot пропускает его, так как проверяет подпись, а не версию файла.
Что важно для защиты инфраструктуры прямо сейчас:
Пересмотр доверия к WinRE. Пока Microsoft не выпустила официальный патч, среда восстановления остается «входной дверью» для злоумышленника с физическим доступом.
Миграция сертификатов. Необходимо принудительно переводить менеджер загрузки на сертификаты CA 2023 и отзывать старые PCA 2011, чтобы предотвратить атаки типа Downgrade.
Мониторинг физического периметра. Все описанные методы обхода BitLocker требуют физического доступа к устройству или возможности подключения USB-носителя на этапе загрузки.
Microsoft пока ограничивается стандартными заявлениями о «приверженности безопасности клиентов», однако молчаливое исправление предыдущих багов (как в случае с RedSun) подтверждает — проблема носит массовый характер.
Все наши каналы Все наши чаты Для связи с менеджером
👍 11
❤ 7
🔥 6
42 2.7K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram