Um pesquisador de segurança conhecido pelos pseudônimos Chaotic Eclipse e Nightmare-Eclipse divulgou duas novas vulnerabilidades zero-day no Microsoft Windows que afetam diretamente mecanismos críticos de segurança do sistema operacional, incluindo o BitLocker e o componente Windows Collaborative Translation Framework (CTFMON).

As falhas foram apelidadas de YellowKey e GreenPlasma e surgem poucas semanas após o mesmo pesquisador publicar outros três zero-days relacionados ao Microsoft Defender. Segundo o pesquisador, as novas vulnerabilidades podem permitir bypass de criptografia, obtenção de privilégios SYSTEM e execução arbitrária de comandos em sistemas Windows vulneráveis.

A vulnerabilidade mais crítica, chamada YellowKey, afeta o Windows 11 e Windows Server 2022/2025. O problema está relacionado ao Windows Recovery Environment (WinRE), ambiente de recuperação utilizado para reparar sistemas operacionais que falharam durante a inicialização.

De acordo com a análise divulgada, o ataque funciona através da utilização de arquivos “FsTx” especialmente manipulados em um dispositivo USB ou na partição EFI do sistema. Após conectar o dispositivo ao computador alvo com BitLocker habilitado e reiniciar o sistema no ambiente WinRE, o invasor consegue acionar um shell de comandos utilizando a tecla CTRL.

O pesquisador afirma que o comportamento funciona praticamente como um backdoor oculto dentro do mecanismo de recuperação do Windows. Segundo ele, o bypass continua explorável mesmo em cenários protegidos por TPM+PIN, mecanismo considerado uma das configurações mais seguras do BitLocker.

O pesquisador de segurança Will Dormann confirmou ter conseguido reproduzir o ataque utilizando apenas um pendrive conectado ao sistema. Segundo sua análise, estruturas Transactional NTFS presentes na pasta “System Volume Information\FsTx” conseguem modificar arquivos em outro volume montado pelo ambiente de recuperação, incluindo o arquivo “winpeshl.ini”, permitindo abrir um prompt cmd.exe com o BitLocker já desbloqueado.

Além do bypass de criptografia, o segundo zero-day divulgado, chamado GreenPlasma, afeta o processo CTFMON do Windows e pode permitir escalada de privilégios para SYSTEM. A falha envolve criação arbitrária de seções de memória em diretórios acessíveis por processos privilegiados do sistema operacional.

Embora a prova de conceito divulgada esteja incompleta, especialistas alertam que o problema pode ser utilizado para manipular serviços privilegiados ou drivers que confiam implicitamente nesses caminhos de memória, criando possibilidades de execução privilegiada a partir de contas sem privilégios administrativos.

O caso ganha ainda mais relevância porque o pesquisador já havia divulgado anteriormente três falhas no Microsoft Defender chamadas BlueHammer, RedSun e UnDefend. Segundo Chaotic Eclipse, parte dessas vulnerabilidades teria sido explorada ativamente após divergências com a Microsoft sobre o processo de divulgação responsável.

Paralelamente, a empresa francesa Intrinsec revelou uma nova cadeia de ataque contra o BitLocker baseada em downgrade do boot manager do Windows através da CVE-2025-48804. O método permite contornar a proteção de criptografia mesmo em sistemas totalmente atualizados em menos de cinco minutos.

A técnica explora limitações do Secure Boot, que verifica a assinatura digital dos binários de boot, mas não valida suas versões específicas. Com isso, versões antigas e vulneráveis do arquivo “bootmgfw.efi”, ainda assinadas por certificados confiáveis da Microsoft, podem ser carregadas para burlar as proteções do BitLocker.

Segundo os pesquisadores, o ataque exige acesso físico ao equipamento, mas representa um risco importante para ambientes corporativos, notebooks corporativos, estações administrativas e dispositivos utilizados em cenários de alta sensibilidade operacional.

Como mitigação, especialistas recomendam habilitar autenticação pré-boot com PIN no BitLocker, atualizar o boot manager para os novos certificados CA 2023 e revogar os antigos certificados PCA 2011 que ainda permitem o carregamento de componentes vulneráveis.