Pesquisador vaza duas falhas graves no Windows, incluindo bypass do BitLocker

Um pesquisador de segurança identificado como Chaotic Eclipse publicou, nesta semana, códigos de exploração para duas vulnerabilidades inéditas no Windows, batizadas de YellowKey e GreenPlasma. As falhas afetam o Windows 11 e o Windows Server 2022 e 2025, e nenhuma das duas tem correção disponível até o momento.

O mesmo pesquisador já havia vazado anteriormente os exploits BlueHammer e RedSun, dois problemas de escalonamento de privilégios que passaram a ser explorados ativamente logo após a divulgação pública. O padrão se repete, e desta vez o risco é ainda maior.

YellowKey consegue acessar discos criptografados sem a senha

A vulnerabilidade mais grave das duas é o YellowKey, uma falha que permite burlar o BitLocker, sistema de criptografia de disco nativo do Windows, e acessar arquivos protegidos sem precisar da chave ou da senha do usuário.

O ataque usa o Windows Recovery Environment (WinRE), basicamente o ambiente de recuperação que o Windows inicializa automaticamente quando detecta algum problema no boot. Esse ambiente tem uma característica pouco conhecida, ao ser carregado, o sistema procura por diretórios com um nome específico em drives conectados e repete automaticamente operações de disco registradas nesses arquivos.

O exploit coloca arquivos especialmente manipulados em um pendrive ou na partição EFI do próprio dispositivo alvo. Quando o sistema entra no WinRE, esses arquivos deletam um componente de configuração do ambiente de recuperação. O resultado é que, em vez de abrir a tela normal de recuperação, o Windows abre um prompt de comando com acesso total ao disco ainda descriptografado.

O pesquisador de segurança Will Dormann confirmou que o exploit funciona e explicou que o problema está na forma como o WinRE processa logs de transações do sistema de arquivos NTFS antes de pedir qualquer autenticação.

Proteção padrão do BitLocker não é suficiente

O BitLocker tem dois modos principais de operação. No modo padrão, chamado TPM-only, o disco é desbloqueado automaticamente na inicialização sem exigir nenhuma ação do usuário. É esse modo que o YellowKey explora.

Isso porque, para que a descriptografia automática funcione, o sistema já precisa ter acesso às chaves antes que o usuário faça qualquer coisa, e é exatamente nessa janela que o ataque age.

A boa notícia é que o exploit publicado não funciona em computadores configurados com TPM mais PIN, onde o usuário precisa digitar um código antes do sistema inicializar. A má notícia é que o próprio Chaotic Eclipse afirma ter encontrado uma forma de contornar essa proteção também, só que não publicou esse código. Segundo o pesquisador, nem a própria Microsoft entendeu ainda qual é a causa raiz real da vulnerabilidade.

O pesquisador Kevin Beaumont confirmou a validade do exploit e recomendou como mitigação ativar o BitLocker com PIN e definir uma senha no BIOS ou UEFI do computador.

GreenPlasma permite escalar privilégios no sistema

A segunda vulnerabilidade, o GreenPlasma, é uma falha no CTFMON, componente do Windows responsável por serviços de entrada de texto. Um usuário comum consegue criar objetos de memória em áreas do sistema que deveriam ser acessíveis apenas ao SYSTEM, o nível mais alto de permissão do Windows.

Serviços e drivers do sistema operacional confiam cegamente nesses caminhos por esperar que usuários comuns não tenham como escrever neles. Com o GreenPlasma, isso deixa de ser verdade.

O código publicado está incompleto de propósito. O pesquisador removeu a parte que concluiria a escalada de privilégios, mas deixou o suficiente para que alguém com conhecimento técnico avançado consiga completar o ataque.

Microsoft sob pressão por patches silenciosos

Chaotic Eclipse afirma que a decisão de vazar os exploits está diretamente ligada à forma como a Microsoft trata as vulnerabilidades reportadas por pesquisadores. O pesquisador acusa a empresa de ter corrigido silenciosamente o RedSun, uma falha anterior sua, sem emitir nenhum comunicado, sem atribuir um identificador CVE e sem reconhecer publicamente a vulnerabilidade, mesmo enquanto ela era explorada ativamente.

A Microsoft disse à publicação BleepingComputer que investiga problemas de segurança reportados e que apoia a prática de divulgação coordenada de vulnerabilidades. O pesquisador prometeu uma nova divulgação no próximo Patch Tuesday.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.