YellowKey: BitLocker przestał chronić laptopy. Chaotic Eclipse eskaluje.

Jeśli używasz BitLocker wyłącznie z TPM — wdróż PIN do BitLocker i hasło BIOS. To blokuje opublikowany exploit YellowKey, choć badacz twierdzi że ma wariant działający również z TPM+PIN, którego jeszcze nie opublikował. Windows 10 nie jest podatny. BitLocker na serwerach Windows Server 2022 i 2025 — podatny.

Chaotic Eclipse miał przez sześć tygodni jedną trasę: Windows Defender. BlueHammer, RedSun, UnDefend — trzy różne sposoby na to żeby antywirus stał się narzędziem ataku lub przestał działać. Microsoft załatał BlueHammera, prawdopodobnie cicho naprawił RedSuna, UnDefend nadal bez łatki.

Wczoraj badacz zmienił trasę.

YellowKey nie dotyka Defendera. Dotyka BitLockera — pełnego szyfrowania dysku wbudowanego w Windows 11, domyślnie włączonego na każdym nowym laptopie, używanego przez organizacje na całym świecie jako ostatnia linia ochrony przed kradzieżą fizyczną.

Atak jest nieprzyjemnie prosty. Kilka plików na pendrive. Reboot do Windows Recovery Environment. Konkretna kombinacja klawiszy. Powłoka z nieograniczonym dostępem do zaszyfrowanego woluminu.

Nie potrzeba hasła. Nie potrzeba klucza odzyskiwania. Laptop skradziony z samochodu, z biurka, z konferencji — otwarty.

Backdoor w WinRE

Chaotic Eclipse opisuje YellowKey jako podatność która "działa jak backdoor." To nie jest przechwałka — to techniczna obserwacja. Podatny komponent siedzi wyłącznie w Windows Recovery Environment, osobnej partycji która istnieje żeby naprawiać problemy z uruchamianiem. WinRE ma inny zestaw uprawnień, inny zestaw zaufanych operacji niż normalny system. I najwyraźniej mniej rygorystyczne sprawdzanie transakcji NTFS.

Badacz napisał wprost: "Myślę że MSRC będzie potrzebować chwili żeby znaleźć prawdziwą przyczynę. Po prostu nigdy nie rozumiałem dlaczego ta podatność jest tak dobrze ukryta."

Kevin Beaumont potwierdził że exploit jest prawdziwy i zgodził się że BitLocker ma backdoor. Will Dormann z Tharros potwierdził działanie z plikami FsTx na USB. Obaj zaznaczyli że w aktualnej opublikowanej wersji atak wymaga fizycznego dostępu do maszyny — nie da się otworzyć cudzego dysku po wyjęciu go i podłączeniu do innego komputera, bo klucze szyfrowania są w TPM oryginalnej maszyny. Ale zabranie całego laptopa z pendrivem w kieszeni wystarczy.

Badacz twierdzi że ma wariant działający z konfiguracją TPM+PIN — i celowo go nie opublikował. Jak wiarygodna jest ta deklaracja? Cztery poprzednie exploity zadziałały dokładnie tak jak opisano przed publikacją.

GreenPlasma: CTF zamiast PoC

Drugi exploit opublikowany wczoraj jest inny w formie. GreenPlasma to eskalacja uprawnień przez manipulację procesem CTFMON — systemowym procesem odpowiedzialnym za obsługę tekstu, działającym jako SYSTEM w każdej sesji interaktywnej. Badacz wskazuje prymityw: nieuprzywilejowany użytkownik może tworzyć obiekty sekcji pamięci w miejscach w których normalnie nie powinien mieć dostępu zapisu. Uprzywilejowane serwisy i sterowniki jądra ufają tym lokalizacjom blindly.

Opublikowany kod nie zawiera finalnego kroku do pełnej powłoki SYSTEM. Badacz opisuje to wprost jako CTF: "Jeśli jesteś wystarczająco mądry, możesz zamienić to w pełną eskalację uprawnień."

Het Mehta, badacz który opublikował analizę techniczną dzisiaj, zwraca uwagę na coś ważnego: prymityw sam w sobie jest interesujący niezależnie od brakującego kroku. W eksploitacji Windows "mogę stworzyć obiekt w miejscu gdzie nie powinienem mieć kontroli" jest często wystarczającym punktem startowym dla kogoś z odpowiednią wiedzą domenową.

Pięć exploitów, jeden Microsoft załatał

Rachunek jest prosty i wyraźny.

BlueHammer (CVE-2026-33825): załatany w Patch Tuesday 14 kwietnia. RedSun: prawdopodobnie cicho naprawiony, brak oficjalnego komunikatu i CVE. UnDefend: brak łatki. YellowKey: brak łatki. GreenPlasma: brak łatki.

Pisaliśmy w kwietniu że Chaotic Eclipse zaczął od Defendera po tym jak MSRC odrzucił zgłoszenie przez spór o demonstrację wideo. Badacz twierdzi że to nie był błąd proceduralny — Microsoft naruszył umowę, zostawił go "bez dachu nad głową i bez niczego." Historia jest osobista w sposób który korporacyjne odpowiedzi o "wspieraniu koordynowanego ujawniania podatności" nie adresują.

Wczorajszy post zawiera dwa nowe zdania których nie było wcześniej. Pierwsze: "Następne Patch Tuesday będzie dla ciebie dużą niespodzianką, Microsoft." Drugie: "Wasze ostatnie działania zmusiły mnie do podjęcia trudnej decyzji wciągnięcia innych firm w to. Przygotujcie się na odpowiadanie na pytania."

The Register cytuje eksperta który śledzą wszystkie poprzednie wydania: "Ten badacz dotrzymał każdej poprzedniej obietnicy."

Co teraz

Dla organizacji które polegają na BitLocker jako warstwie ochrony przed kradzieżą fizyczną: PIN do BitLocker i hasło BIOS są właściwymi krokami dzisiaj, niezależnie od tego co ostatecznie okaże się zakresem podatności. YellowKey w opublikowanej wersji jest exploitem lokalnym wymagającym fizycznego dostępu — laptopy, minikomputery, stacje robocze w otwartych przestrzeniach biurowych to scenariusze o wyraźnie podwyższonym ryzyku.

Dla środowisk serwerowych z Windows Server 2022 i 2025: podatność obejmuje serwery. WinRE na serwerach zwykle nie jest dostępny przez sieć, ale fizyczny dostęp do datacenter nie jest abstrakcją.

Nie ma jeszcze odpowiedzi Microsoftu na YellowKey ani GreenPlasma. Najbliższy Patch Tuesday: czerwiec.

Źródła

BleepingComputer — szczegóły techniczne YellowKey i potwierdzenia Beaumonta i Dormanna: https://www.bleepingcomputer.com/news/security/windows-bitlocker-zero-day-gives-access-to-protected-drives-poc-released/

The Register — kontekst kampanii badacza i ocena ekspertów: https://www.theregister.com/security/2026/05/13/disgruntled-researcher-releases-two-more-microsoft-zero-days/

Tom's Hardware — szczegóły działania i ograniczenia YellowKey: https://www.tomshardware.com/tech-industry/cyber-security/microsoft-bitlocker-protected-drives-can-now-be-opened-with-just-some-files-on-a-usb-stick-yellowkey-zero-day-exploit-demonstrates-an-apparent-backdoor

hetmehta.com — analiza techniczna GreenPlasma i YellowKey: https://hetmehta.com/posts/breaking-greenplasma-yellowkey/