Исследователь опубликовал эксплойт для обхода BitLocker через USB-накопитель
Неизвестный исследователь, действующий под псевдонимами Nightmare-Eclipse и Chaotic Eclipse, опубликовал в открытом доступе два новых эксплойта для операционной системы Windows. Первый из них, получивший название YellowKey, позволяет обойти защиту дискового шифрования BitLocker и получить полный доступ к зашифрованным данным. Второй, GreenPlasma, связан с локальным повышением привилегий до уровня системы.
Уязвимость YellowKey: обход BitLocker через флешку
Обнародованный эксплойт YellowKey затрагивает Windows 11, Windows Server 2022 и Windows Server 2025 и, по мнению исследователя, «почти ощущается как бэкдор». Для проведения атаки необходимо физически получить доступ к целевому компьютеру и иметь под рукой USB-накопитель со специально подготовленными файлами. Процедура выглядит следующим образом: на флешку копируется папка FsTx в скрытый системный каталог «System Volume Information», после чего система перезагружается в среду восстановления Windows (WinRE). Во время загрузки WinRE при удержании клавиши CTRL открывается командная строка с неограниченным доступом к расшифрованному тому, защищенному BitLocker.
Специалисты уже подтвердили работоспособность эксплойта. Ведущий аналитик Tharros Labs Уилл Дорманн объяснил, что проблема связана с особенностями обработки транзакций NTFS в среде восстановления Windows. При загрузке WinRE воспроизводит логи из каталогов FsTx, в результате чего удаляется конфигурационный файл winpeshl.ini, и вместо штатного интерфейса среды восстановления запускается командная строка, при этом диск остается разблокированным.
Исследователь утверждает, что уязвимость существует и в конфигурациях с TPM+PIN, однако версию эксплойта для такого сценария он публиковать не стал, посчитав, что «того, что уже в открытом доступе, достаточно».
Важно отметить, что текущая версия YellowKey работает только на оригинальном устройстве, где чип TPM хранит ключи расшифровки. Украденный жесткий диск, подключенный к другому компьютеру, с помощью этого эксплойта расшифровать не удастся.
Уязвимость GreenPlasma: повышение привилегий
Второй опубликованный эксплойт, GreenPlasma, затрагивает механизм CTFMON (Collaborative Translation Framework) и позволяет непривилегированному пользователю создавать произвольные объекты разделов памяти в системных директориях, доступных на запись только на уровне SYSTEM. Это потенциально открывает возможность для манипуляции высокопривилегированными сервисами и драйверами. В отличие от YellowKey, опубликованный код для GreenPlasma неполон и пока не дает немедленного доступа к командной оболочке с правами системы, однако, по мнению автора, «достаточно умный» атакующий сможет доработать его до полноценного вектора атаки.
Мотивы исследователя и реакция Microsoft
Публикация эксплойтов стала очередным эпизодом в конфликте Chaotic Eclipse с Microsoft. Ранее он уже раскрыл уязвимости BlueHammer (CVE-2026-33825) и RedSun, которые вскоре начали активно использоваться в реальных кибератаках. Причиной исследователь называет недовольство тем, как корпорация обрабатывает сообщения об уязвимостях, а также угрозы в его адрес со стороны сотрудников Microsoft. По его словам, «выбранный подход к раскрытию информации» вынужденный, но это единственный способ заставить компанию реагировать.
В ответ на запросы СМИ представитель Microsoft заявил, что компания расследует сообщения об уязвимостях и обновит затронутые системы для защиты клиентов как можно скорее.
Рекомендации по защите
В качестве временной меры защиты эксперты рекомендуют отключать компьютеры при отсутствии физического контроля над ними, а также использовать дополнительные методы аутентификации, например BIOS-пароль. Хотя исследователь утверждает, что настройка TPM+PIN не является панацеей, специалисты сходятся во мнении, что включение PIN-кода значительно усложняет атаку и снижает риск.
