Een cybersecurityonderzoeker heeft een bewijs van concept gepubliceerd voor twee ongepatchte Microsoft Windows-kwetsbaarheden, genaamd YellowKey en GreenPlasma. Deze kwetsbaarheden betreffen respectievelijk het omzeilen van BitLocker en een zwakke plek voor privilege-escalatie.

De onderzoeker, bekend als Chaotic Eclipse, beschrijft de BitLocker-bypass als een soort achterdeur. Dit komt doordat het kwetsbare onderdeel alleen in de Windows Recovery Environment (WinRE) aanwezig is. WinRE wordt gebruikt om opstartproblemen in Windows te repareren.

Deze nieuwe exploits volgen op eerdere onthullingen van BlueHammer en RedSun, twee zero-day zwakke plekken die snel na openbaarmaking werden uitgebuit.

Net als bij eerdere gevallen, besloot de onderzoeker de YellowKey- en GreenPlasma-kwetsbaarheden openbaar te maken vanwege ontevredenheid over Microsofts reactie op bugmeldingen.

Chaotic Eclipse heeft toegezegd door te gaan met het lekken van exploits voor niet-gedocumenteerde Windows-kwetsbaarheden en hintte op “een grote verrassing” voor de volgende Patch Tuesday.

### De YellowKey BitLocker-bypass

YellowKey is een BitLocker-bypass die invloed heeft op Windows 11 en Windows Server 2022/2025. Hierbij worden speciaal gemaakte ‘FsTx’-bestanden op een USB-stick of EFI-partitie geplaatst, waarna de computer opnieuw wordt opgestart in WinRE. Door de CTRL-toets ingedrukt te houden, wordt een shell geactiveerd.

De bypass werkt ook zonder externe opslag door de bestanden rechtstreeks op de EFI-partitie van de doelschijf te zetten.

Volgens Chaotic Eclipse krijgt de shell onbeperkte toegang tot het opslagvolume dat door BitLocker is beschermd.

Onafhankelijk beveiligingsonderzoeker Kevin Beaumont bevestigde de geldigheid van de YellowKey-exploit en adviseerde het gebruik van een BitLocker-pincode en een BIOS-wachtwoord als beveiligingsmaatregel.

Chaotic Eclipse vermeldde dat de echte oorzaak van de kwetsbaarheid nog onbekend is voor het grote publiek en dat deze exploit ook in een TPM- en PIN-omgeving kan worden gebruikt. Echter, deze versie van de exploit is nog niet vrijgegeven.

Will Dormann, een vooraanstaand analist bij Tharros Labs, bevestigde dat de exploit werkt met FsTx-bestanden op een USB, maar hij kreeg het niet voor elkaar met de EFI-partitie.

Dormann legde uit dat YellowKey NTFS-transacties benut in combinatie met het Windows Recovery-image, waarbij de pincode wordt gevraagd voordat Windows Recovery wordt gestart.

In standaard BitLocker-configuraties die alleen TPM gebruiken, ontgrendelen de schijven automatisch zonder gebruikersinteractie. Dit betekent dat aanvallers mogelijk misbruik kunnen maken van dit proces, zoals met YellowKey.

Het is belangrijk te testen met de originele apparaatinstellingen, omdat de TPM de encryptiesleutels bewaart. De huidige exploit werkt niet met gestolen schijven, maar wel met schijven beschermd door TPM-only BitLocker, zonder inloggegevens.

### De GreenPlasma-exploit

GreenPlasma is een zwakke plek voor privilege-escalatie die kan worden misbruikt om een shell met SYSTEM-rechten te verkrijgen. Chaotic Eclipse beschrijft het als een “CTFMON-kwetsbaarheid.”

Een gebruiker zonder rechten kan willekeurige geheugenobjecten maken in mappen die door het systeem zijn beschreven. Hierdoor kunnen zij mogelijk invloed uitoefenen op services of stuurprogramma’s die deze locaties vertrouwen.

Hoewel het gelekte bewijs van concept incompleet is, zegt Chaotic Eclipse dat slimme gebruikers de exploit kunnen omzetten in een volledige privilege-escalatie.

Er blijven speculaties over de reden achter de reeks exploitlekkages van Chaotic Eclipse. De onderzoeker hint echter op verdere onthullingen op de volgende Patch Tuesday.

Microsoft werd benaderd voor commentaar en meldde toegewijd te zijn aan het onderzoeken en bijwerken van getroffen apparaten om klanten te beschermen, en steunt gecoördineerde onthullingen.

### Extra Informatie

Tijdens de Autonomous Validation Summit kun je zien hoe autonome, contextrijke validatie zwakke punten identificeert en de cyclus van herstel voltooit. Mis het niet!

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.