【安全圈】研究人員公布概念驗證，利用 Windows BitLocker 零日漏洞可訪問受保護驅動器

關鍵詞

漏洞

一名網絡安全研究人員公布了針對兩個未修復的微軟 Windows 漏洞的概念驗證（PoC）利用程序，這兩個漏洞分別名為 YellowKey 和 GreenPlasma，其中 YellowKey 可繞過 BitLocker 加密，GreenPlasma 是一個權限提升漏洞。

這位名為 Chaotic Eclipse 或 Nightmare Eclipse 的研究人員稱，BitLocker 繞過漏洞就像一個后門，因為存在漏洞的組件僅在 Windows 恢復環境（WinRE）中出現，該環境用于修復 Windows 系統的啟動相關問題。

此次公布的漏洞利用緊隨該研究人員之前披露的 BlueHammer（CVE - 2026 - 33825）和 RedSun（無編號）本地權限提升（LPE）零日漏洞，這兩個漏洞在公開披露后不久便開始在實際中被利用。

與之前的情況一樣，該研究人員表示，公開披露 YellowKey 和 GreenPlasma 漏洞以及如何利用它們，是因為對微軟處理漏洞報告的方式不滿。

Chaotic Eclipse（在 GitHub 上名為 Nightmare - Eclipse）表示，他們將繼續泄露針對未記錄的 Windows 漏洞的利用程序，甚至承諾在下一個 “補丁星期二” 給大家 “一個大驚喜”。

YellowKey：繞過 BitLocker 加密

該研究人員稱，YellowKey 可繞過 BitLocker 加密，影響 Windows 11 以及 Windows Server 2022/2025 系統。利用方法是在 USB 驅動器或 EFI 分區上放置特制的 “FsTx” 文件，重啟進入 WinRE，然后按住 CTRL 鍵觸發一個命令行窗口。

此外，無需外部存儲設備，將文件復制到目標驅動器的 EFI 分區，也能實現對 BitLocker 的繞過。

據 Chaotic/Nightmare Eclipse 稱，觸發的命令行窗口可無限制訪問受 BitLocker 保護的存儲卷。

獨立安全研究員凱文?博蒙特（Kevin Beaumont）證實 YellowKey 漏洞利用有效，并認同 BitLocker 存在后門。他建議使用 BitLocker PIN 碼和 BIOS 密碼作為緩解措施。

Chaotic Eclipse 在今日的更新中表示，“公眾仍不清楚真正的根本原因”，并且即使在啟用可信平臺模塊（TPM）和 PIN 碼的環境中，該漏洞依然可被利用。不過，針對此版本的漏洞利用程序尚未發布。

該研究人員稱：“我認為即使對微軟安全響應中心（MSRC）來說，要找到問題的真正根本原因也需要一些時間。我一直不明白為什么這個漏洞隱藏得如此之深。”

“不，TPM + PIN 碼并無幫助，無論如何該漏洞都可被利用。我問過自己，它在 TPM + PIN 碼環境下還能起作用嗎？答案是肯定的，我只是不發布這個概念驗證，我覺得目前已公開的內容已經夠糟糕了。”

薩羅斯實驗室（Tharros Labs）的首席漏洞分析師威爾?多爾曼（Will Dormann）也證實，使用 USB 驅動器上的 FsTx 文件，YellowKey 漏洞利用確實有效，但使用 EFI 分區無法復現該漏洞。

他向 BleepingComputer 解釋說：“YellowKey 結合 Windows 恢復鏡像，利用了 NTFS 事務。PIN 碼提示出現在進入 Windows 恢復環境之前。”

多爾曼詳細說明了漏洞利用過程，為了啟動 Windows 恢復環境，“Windows 會在連接的驅動器上查找 \System Volume Information\FsTx 目錄，并會重放任何 NTFS 日志。”

默認情況下，僅使用 TPM 的 BitLocker 配置會自動解鎖加密驅動器，無需用戶干預。如果系統為了方便能透明解密磁盤，那么攻擊者最終可能找到濫用該過程的方法，這并不意外。

多爾曼說：“YellowKey 就是利用此類弱點的一個例子。” 他解釋說，由于該漏洞利用了啟動時的自動解鎖功能，當前的 YellowKey 漏洞利用在 TPM + PIN 碼環境下不起作用。

值得注意的是，使用受 BitLocker 保護的驅動器測試 YellowKey，必須在 TPM 存儲加密密鑰的原始設備上進行。

因此，Chaotic Eclypse 目前的 YellowKey 漏洞利用對被盜驅動器無效，但可在無需憑證的情況下訪問僅用 TPM 保護的 BitLocker 磁盤。

GreenPlasma 漏洞利用

GreenPlasma 是一個權限提升安全漏洞，可被利用來獲取具有 SYSTEM 權限的命令行窗口。Chaotic Eclipse 將其描述為 “Windows CTFMON 任意節創建權限提升漏洞”。

普通用戶可在 SYSTEM 可寫的目錄對象內創建任意內存節對象，這可能導致對信任這些位置的特權服務或驅動程序進行操縱。

不過，泄露的概念驗證并不完整，缺少實現完整 SYSTEM 權限命令行窗口所需的組件。盡管如此，Chaotic Eclipse 表示：“如果你足夠聰明，就能將其轉化為完全的權限提升。”

這位不滿的研究人員補充說，新創建的節可被影響，從而操縱數據以及包括內核模式驅動在內的各種服務，使其信任標準用戶無法訪問的特定路徑。

雖然尚不清楚是什么確切原因導致 Chaotic Eclipse 大量泄露漏洞利用程序，但該研究人員暗示在下個月的 “補丁星期二” 會給微軟 “一個大驚喜”。

此外，他們還稱 “微軟悄悄修復了 RedSun 漏洞”，并批評微軟這種悄無聲息的做法，以及未像 BlueHammer 漏洞那樣為該漏洞分配編號。

BleepingComputer 已聯系微軟，就 Chaotic Eclipse 最新泄露漏洞利用程序一事征求評論，微軟發言人表示，公司致力于調查報告的安全問題，“并盡快更新受影響設備，以保護客戶。”

微軟發言人告訴 BleepingComputer：“我們也支持協調漏洞披露，這是一種被廣泛采用的行業做法，有助于確保在公開披露前，對問題進行仔細調查和處理，既保護客戶，也支持安全研究社區。”

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！