Нет ничего опаснее скучающего инженера с отверткой, и нет ярости страшнее, чем ярость исследователя безопасности, которого предали. В прошлом месяце исследователь безопасности Chaotic Eclipse (также известный как Nightmare-Eclipse) опубликовал два эксплойта нулевого дня — BlueHammer и RedSun, — которые заставляли Windows Defender выдавать права системного администратора. Они пошли на это после того, как их отчеты об уязвимостях были якобы отклонены командой безопасности Microsoft, что привело к своего рода вендетте. Eclipse снова сделал это, опубликовав два новых эксплойта нулевого дня. Первый — чрезвычайно серьезный эксплойт BitLocker под названием Yellow Key, который предоставляет полный доступ к заблокированному диску. Второй, GreenPlasma, не имеет полного доказательства концепции (PoC), но, по утверждениям, выполняет локальное повышение привилегий и получает доступ на уровне системы. Учитывая послужной список Eclipse, можно смело предположить, что он работает так, как заявлено.,YellowKey можно активировать, просто скопировав несколько файлов на USB-накопитель и перезагрузившись в среду восстановления Windows. Мы проверили это сами, и, конечно же, это не только работает, но и имеет все признаки бэкдора, вплоть до того, что файлы эксплойта исчезают с USB-накопителя после однократного использования.,Процесс предельно прост: возьмите любой USB-накопитель, получите права на запись в «System Volume Information» и скопируйте в него папку «FsTx» и ее содержимое. Нажмите Shift+Перезагрузка, чтобы войти в среду восстановления Windows, но затем переключитесь на удержание клавиши Control и не отпускайте ее. Машина перезагрузится и, не задавая вопросов и не показывая меню, предоставит вам повышенную командную строку с полным доступом к ранее заблокированному диску, без запроса ключей.,Сказать, что это опасно, — значит ничего не сказать. Это не только немедленная проблема, поскольку BitLocker нельзя доверять для шифрования дисков, но и способ выполнения эксплойта, а также исчезновение его файлов вызывают очень неприятные корпоративные и/или политические вопросы. По сообщениям, YellowKey также работает в Windows Server 2022 и 2025, но не в Windows 10.,BitLocker защищает миллионы машин по всему миру: домашние, корпоративные и правительственные, особенно с учетом того, что он включен по умолчанию в Windows 11. Насколько нам известно, диск нельзя извлечь из машины Алисы и открыть на машине Боба, поскольку ключи шифрования находятся в TPM Алисы, но несложно просто украсть ноутбук, мини-ПК или даже настольный компьютер.,Eclipse отмечает, что использование полной конфигурации TPM и PIN-кода не помогает, поскольку у них, по-видимому, есть вариант для этого сценария, PoC которого они не публиковали. Они также заявляют, что уязвимость хорошо скрыта, и что они «могли бы заработать безумные деньги, продав это, но никакая сумма денег не встанет между мной и моей решимостью против Microsoft».,Что касается GreenPlasma, то он должен дать злоумышленнику полный доступ на уровне системы (даже выше администратора) путем манипулирования процессом CTFMon для размещения созданного объекта раздела памяти — участка памяти, которым могут обмениваться процессы или который может быть сопоставлен с файлом — в любом разделе Диспетчера объектов Windows, к которому пользователь SYSTEM имеет доступ на запись, обходя обычные средства контроля доступа.,С этого момента эксплойт-код может получить доступ к областям памяти, к которым он не должен иметь доступа, и использовать это для любых махинаций, самая очевидная из которых — получение полного системного доступа. Это уже плохо для настольной системы, поскольку любая программа может получить полный доступ, но особенно плохо для серверных сред, где любой обычный пользователь может получить контроль над сервером и, следовательно, над данными всех остальных.,Тем временем, на момент написания этого текста, официального ответа от компании по поводу YellowKey или GreenPlasma нет. BlueHammer уже пропатчен, а Chaotic утверждает, что Microsoft тихо пропатчила RedSun, но и по этому поводу нет официальных сведений.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira
