Специалист по информационной безопасности, известный под псевдонимом Chaotic Eclipse (также известный как Nightmare-Eclipse), обнародовал сведения о двух свежих уязвимостях нулевого дня в операционных системах Windows. Первая брешь дает возможность нейтрализовать защиту BitLocker и считать содержимое зашифрованного диска, а вторая — делегировать права до уровня SYSTEM, обеспечивая полный административный контроль над целевым устройством. Ранее этот исследователь уже отметился публикацией эксплойтов BlueHammer и RedSun, затрагивавших Windows Defender, а теперь представил новые векторы атак под названиями Yellow Key и GreenPlasma.
Наиболее серьезную угрозу представляет уязвимость Yellow Key. Как заявляет эксперт, она позволяет обойти процедуру аутентификации BitLocker и получить доступ к файлам без использования ключа восстановления. Вектор атаки реализуется через среду восстановления Windows (WinRE) и актуален для Windows 11, а также серверных версий Windows Server 2022 и 2025 (в Windows 10 проблема не наблюдается). Чтобы активировать эксплойт, атакующему достаточно подключить внешний накопитель с заранее подготовленной структурой директорий (папка FsTx в разделе System Volume Information), инициировать запуск WinRE и использовать специфическую комбинацию клавиш Shift и Ctrl.
Масштаб угрозы сложно переоценить, учитывая повсеместное использование BitLocker на огромном парке устройств — от пользовательских ноутбуков до критически важной серверной инфраструктуры.
Что касается второй уязвимости, GreenPlasma, информация о ней пока ограничена. Известно лишь, что она эксплуатирует компонент CTFMON и позволяет локально эскалировать привилегии до прав системного администратора (SYSTEM), что фактически развязывает руки злоумышленнику для любых манипуляций с данными.
На данный момент Microsoft воздерживается от официальных комментариев по поводу этих находок. Стоит отметить, что компания уже выпускала патч для BlueHammer, тогда как уязвимость RedSun, по версии исследователя, могла быть устранена в фоновом режиме без специального оповещения пользователей.
Источник: iXBT
