關(guān)鍵詞

漏洞

一名網(wǎng)絡安全研究人員公布了針對兩個未修復的微軟 Windows 漏洞的概念驗證（PoC）利用程序，這兩個漏洞分別名為 YellowKey 和 GreenPlasma，其中 YellowKey 可繞過 BitLocker 加密，GreenPlasma 是一個權(quán)限提升漏洞。

這位名為 Chaotic Eclipse 或 Nightmare Eclipse 的研究人員稱，BitLocker 繞過漏洞就像一個后門，因為存在漏洞的組件僅在 Windows 恢復環(huán)境（WinRE）中出現(xiàn)，該環(huán)境用于修復 Windows 系統(tǒng)的啟動相關(guān)問題。

此次公布的漏洞利用緊隨該研究人員之前披露的 BlueHammer（CVE - 2026 - 33825）和 RedSun（無編號）本地權(quán)限提升（LPE）零日漏洞，這兩個漏洞在公開披露后不久便開始在實際中被利用。

與之前的情況一樣，該研究人員表示，公開披露 YellowKey 和 GreenPlasma 漏洞以及如何利用它們，是因為對微軟處理漏洞報告的方式不滿。

Chaotic Eclipse（在 GitHub 上名為 Nightmare - Eclipse）表示，他們將繼續(xù)泄露針對未記錄的 Windows 漏洞的利用程序，甚至承諾在下一個 “補丁星期二” 給大家 “一個大驚喜”。

YellowKey：繞過 BitLocker 加密

該研究人員稱，YellowKey 可繞過 BitLocker 加密，影響 Windows 11 以及 Windows Server 2022/2025 系統(tǒng)。利用方法是在 USB 驅(qū)動器或 EFI 分區(qū)上放置特制的 “FsTx” 文件，重啟進入 WinRE，然后按住 CTRL 鍵觸發(fā)一個命令行窗口。

此外，無需外部存儲設(shè)備，將文件復制到目標驅(qū)動器的 EFI 分區(qū)，也能實現(xiàn)對 BitLocker 的繞過。

據(jù) Chaotic/Nightmare Eclipse 稱，觸發(fā)的命令行窗口可無限制訪問受 BitLocker 保護的存儲卷。

獨立安全研究員凱文?博蒙特（Kevin Beaumont）證實 YellowKey 漏洞利用有效，并認同 BitLocker 存在后門。他建議使用 BitLocker PIN 碼和 BIOS 密碼作為緩解措施。

Chaotic Eclipse 在今日的更新中表示，“公眾仍不清楚真正的根本原因”，并且即使在啟用可信平臺模塊（TPM）和 PIN 碼的環(huán)境中，該漏洞依然可被利用。不過，針對此版本的漏洞利用程序尚未發(fā)布。

該研究人員稱：“我認為即使對微軟安全響應中心（MSRC）來說，要找到問題的真正根本原因也需要一些時間。我一直不明白為什么這個漏洞隱藏得如此之深。”

“不，TPM + PIN 碼并無幫助，無論如何該漏洞都可被利用。我問過自己，它在 TPM + PIN 碼環(huán)境下還能起作用嗎？答案是肯定的，我只是不發(fā)布這個概念驗證，我覺得目前已公開的內(nèi)容已經(jīng)夠糟糕了。”

薩羅斯實驗室（Tharros Labs）的首席漏洞分析師威爾?多爾曼（Will Dormann）也證實，使用 USB 驅(qū)動器上的 FsTx 文件，YellowKey 漏洞利用確實有效，但使用 EFI 分區(qū)無法復現(xiàn)該漏洞。

他向 BleepingComputer 解釋說：“YellowKey 結(jié)合 Windows 恢復鏡像，利用了 NTFS 事務。PIN 碼提示出現(xiàn)在進入 Windows 恢復環(huán)境之前。”

多爾曼詳細說明了漏洞利用過程，為了啟動 Windows 恢復環(huán)境，“Windows 會在連接的驅(qū)動器上查找 \System Volume Information\FsTx 目錄，并會重放任何 NTFS 日志。”

默認情況下，僅使用 TPM 的 BitLocker 配置會自動解鎖加密驅(qū)動器，無需用戶干預。如果系統(tǒng)為了方便能透明解密磁盤，那么攻擊者最終可能找到濫用該過程的方法，這并不意外。

多爾曼說：“YellowKey 就是利用此類弱點的一個例子。” 他解釋說，由于該漏洞利用了啟動時的自動解鎖功能，當前的 YellowKey 漏洞利用在 TPM + PIN 碼環(huán)境下不起作用。

值得注意的是，使用受 BitLocker 保護的驅(qū)動器測試 YellowKey，必須在 TPM 存儲加密密鑰的原始設(shè)備上進行。

因此，Chaotic Eclypse 目前的 YellowKey 漏洞利用對被盜驅(qū)動器無效，但可在無需憑證的情況下訪問僅用 TPM 保護的 BitLocker 磁盤。

GreenPlasma 漏洞利用

GreenPlasma 是一個權(quán)限提升安全漏洞，可被利用來獲取具有 SYSTEM 權(quán)限的命令行窗口。Chaotic Eclipse 將其描述為 “Windows CTFMON 任意節(jié)創(chuàng)建權(quán)限提升漏洞”。

普通用戶可在 SYSTEM 可寫的目錄對象內(nèi)創(chuàng)建任意內(nèi)存節(jié)對象，這可能導致對信任這些位置的特權(quán)服務或驅(qū)動程序進行操縱。

不過，泄露的概念驗證并不完整，缺少實現(xiàn)完整 SYSTEM 權(quán)限命令行窗口所需的組件。盡管如此，Chaotic Eclipse 表示：“如果你足夠聰明，就能將其轉(zhuǎn)化為完全的權(quán)限提升。”

這位不滿的研究人員補充說，新創(chuàng)建的節(jié)可被影響，從而操縱數(shù)據(jù)以及包括內(nèi)核模式驅(qū)動在內(nèi)的各種服務，使其信任標準用戶無法訪問的特定路徑。

雖然尚不清楚是什么確切原因?qū)е?Chaotic Eclipse 大量泄露漏洞利用程序，但該研究人員暗示在下個月的 “補丁星期二” 會給微軟 “一個大驚喜”。

此外，他們還稱 “微軟悄悄修復了 RedSun 漏洞”，并批評微軟這種悄無聲息的做法，以及未像 BlueHammer 漏洞那樣為該漏洞分配編號。

BleepingComputer 已聯(lián)系微軟，就 Chaotic Eclipse 最新泄露漏洞利用程序一事征求評論，微軟發(fā)言人表示，公司致力于調(diào)查報告的安全問題，“并盡快更新受影響設(shè)備，以保護客戶。”

微軟發(fā)言人告訴 BleepingComputer：“我們也支持協(xié)調(diào)漏洞披露，這是一種被廣泛采用的行業(yè)做法，有助于確保在公開披露前，對問題進行仔細調(diào)查和處理，既保護客戶，也支持安全研究社區(qū)。”

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！