Пользователь GitHub под псевдонимом Nightmare-Eclipse опубликовал информацию о двух новых уязвимостях под названиями YellowKey и GreenPlasma, затрагивающих системы Windows 11. Обе были обнародованы 12 мая, в тот же день, когда Microsoft выпустила свои обновления Patch Tuesday, что создало серьезные проблемы для гиганта из Редмонда.
Первый из двух эксплойтов, YellowKey, представляет собой уязвимость обхода защиты, затрагивающую BitLocker только в Windows 11. По утверждению Nightmare-Eclipse, YellowKey ощущается как бэкдор, оставленный Microsoft, который может позволить правоохранительным органам обойти шифрование, однако на данный момент это неподтвержденное заявление.
YellowKey основан на том, что злоумышленник копирует опубликованную папку FsTx на USB-накопитель, подключает его к целевому компьютеру с Windows, на котором включен BitLocker, а затем перезагружается в среду восстановления Windows (Windows Recovery Environment Agent), удерживая при этом комбинацию клавиш. Если все сделано правильно, открывается командная оболочка с неограниченным доступом к тому, защищенному BitLocker.
Объясняя, почему они считают это бэкдором, Nightmare-Eclipse заявляет:
«Почему я говорю, что это бэкдор? Компонент, ответственный за эту ошибку, не встречается больше нигде (даже в интернете), кроме как внутри образа WinRE, и что вызывает подозрения, так это тот факт, что точно такой же компонент с тем же именем присутствует и в обычной установке Windows, но без функциональности, которая вызывает проблему обхода bitlocker. Почему? Я просто не могу придумать объяснения, кроме того, что это было сделано намеренно».
Отмечается, что эта уязвимость затрагивает только Windows 11, Windows Server 2022 и Windows Server 2025, но Windows 10 не затронута.
Второй эксплойт называется GreenPlasma, который может предоставить атакующему повышенные привилегии, позволяя ему нанести ущерб системам или украсть данные. К счастью, опубликованный код Proof of Concept не даст атакующему полный доступ к оболочке SYSTEM. К сожалению, «умный» человек может превратить это в полную эскалацию привилегий, что может представлять угрозу для общественности.
Proof of Concept создает произвольный объект раздела памяти в любом объекте каталога, доступном для записи пользователем SYSTEM, используя Collaborative Translation Framework (CTF), который, как известно, небезопасен и был в центре предыдущих уязвимостей.
Неясно, как Microsoft отреагирует на эту новость; будем надеяться, что они смогут быстро устранить проблему и выпустить исправление раньше следующего Patch Tuesday, чтобы пользователи не пострадали. Можно не сомневаться, что злоумышленники будут использовать эти эксплойты, особенно GreenPlasma, во вредоносных целях.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Paul Hill
