Un investigador reveló dos nuevas vulnerabilidades de Windows: YellowKey, que permite saltar la protección de BitLocker a través del entorno de recuperación, y GreenPlasma, que facilita la escalada de privilegios. Estas fallas afectan a Windows 11 y Windows Server, permitiendo accesos no autorizados incluso con TPM y PIN. El autor ha criticado la gestión de Microsoft, prometiendo nuevas revelaciones próximamente.



 Un investigador de ciberseguridad anónimo que reveló tres vulnerabilidades de Microsoft Defender ha vuelto con dos nuevos zero-days que incluyen una omisión de BitLocker y una escalada de privilegios que afecta al Framework de Traducción Colaborativa de Windows (CTFMON).

Los defectos de seguridad estos han sido denominados YellowKey YellowKey y GreenPlasma GreenPlasma, respectivamente, por el investigador, quien utiliza los alias Chaotic Eclipse y Nightmare-Eclipse.

El investigador describió YellowKey aquí como "uno de los descubrimientos más insanos que he encontrado", comparando la omisión de BitLocker con el funcionamiento de una puerta trasera, ya que el error está presente solo en el Entorno de Recuperación de Windows (WinRE), un marco integrado diseñado para solucionar y reparar problemas comunes del sistema operativo que no se puede arrancar.

YellowKey afecta a Windows 11 y Windows Server 2022/2025. A nivel general, implica copiar archivos "FsTx" especialmente diseñados en una unidad USB o en la partición EFI, conectar la unidad USB al ordenador Windows objetivo con las protecciones de BitLocker activadas, reiniciar en WinRE y activar un shell manteniendo presionada la tecla CTRL.

"Creo que llevará tiempo incluso para que el MSRC encuentre la verdadera causa raíz del problema. Simplemente nunca logré entender por qué esta vulnerabilidad está taaan bien oculta", explicó el investigador aquí. "Lo segundo es que no, el TPM+PIN no ayuda, el problema sigue siendo explotable independientemente".

El investigador de seguridad Will Dormann, en una publicación compartida en Mastodon, dijo: "Pude reproducir [YellowKey] con una unidad USB conectada", y añadió: "parece que los bits de NTFS Transaccional en una unidad USB pueden eliminar el archivo winpeshl.ini en OTRA UNIDAD (X:). Y obtenemos un símbolo del sistema cmd.exe, con BitLocker desbloqueado en lugar del entorno de recuperación de Windows esperado".

"Si bien la omisión de BitLocker solo con TPM aquí es ciertamente interesante, creo que el punto clave aquí es que un directorio \System Volume Information\FsTx en un volumen tiene la capacidad de modificar el contenido de otro volumen cuando se reproduce", señaló Dormann. "Para mí, esto en sí mismo suena como una vulnerabilidad".

La segunda vulnerabilidad señalada por Chaotic Eclipse es un caso de escalada de privilegios de seguridad que podría explotarse para obtener un shell con permisos de SYSTEM. Surge como resultado de lo que se ha descrito como la creación de secciones arbitrarias de Windows CTFMON.

La prueba de concepto (PoC) publicada está incompleta y carece del código necesario para obtener un shell SYSTEM completo. En su forma actual, el exploit puede permitir que un usuario sin privilegios cree objetos de sección de memoria arbitrarios dentro de objetos de directorio escribibles por SYSTEM, permitiendo potencialmente la manipulación de servicios o controladores privilegiados que confían implícitamente en esas rutas, ya que un usuario estándar no tiene acceso de escritura a dichas ubicaciones.

Este desarrollo se produce casi un mes después de que el investigador publicara tres zero-days de Defender denominados BlueHammer, RedSun y UnDefend, tras expresar presuntamente su insatisfacción con la gestión de Microsoft del proceso de divulgación de vulnerabilidades. Dichas deficiencias han sido desde entonces objeto de explotación activa.

Mientras que a BlueHammer se le asignó oficialmente el identificador CVE-2026-33825 y fue parcheado por Microsoft el mes pasado, Chaotic Eclipse afirmó que el gigante tecnológico parece haber solucionado "silenciosamente" RedSun sin emitir ningún aviso.

"Espero que al menos intenten resolver la situación de manera responsable, no estoy seguro de qué tipo de reacción esperaban de mí cuando echaron más gasolina al fuego después de BlueHammer", dijo el investigador. "El fuego durará lo que quieran, a menos que lo apaguen o hasta que no quede nada que quemar".

Chaotic Eclipse también prometió una "gran sorpresa" para Microsoft, coincidiendo con el próximo lanzamiento de Patch Tuesday en junio de 2026.

Al ser contactado para hacer comentarios, un portavoz de Microsoft dijo previamente que "tiene un compromiso con el cliente de investigar los problemas de seguridad reportados y actualizar los dispositivos afectados para proteger a los clientes lo antes posible", y que apoya la divulgación coordinada de vulnerabilidades, la cual "ayuda a garantizar que los problemas sean investigados y abordados cuidadosamente antes de su divulgación pública".

Ataque de degradación de BitLocker descubierto

Este desarrollo coincide con el detalle de la empresa francesa de ciberseguridad Intrinsec sobre una cadena de ataque aquí contra BitLocker que aprovecha una degradación del administrador de arranque explotando la vulnerabilidad CVE-2025-48804 (puntuación CVSS: 6.8) para omitir la protección de cifrado en sistemas Windows 11 totalmente parcheados en menos de cinco minutos.

"El principio es el siguiente: el administrador de arranque carga el archivo de Imagen de Implementación del Sistema (SDI) y el WIM referenciado por este, y verifica la integridad del WIM legítimo", afirmó Intrinsec aquí.

"Sin embargo, cuando se añade un segundo WIM al SDI con una tabla de blobs modificada, el administrador de arranque comprueba el primer WIM (legítimo) mientras arranca simultáneamente desde el segundo (controlado por el atacante). Este segundo WIM contiene una imagen WinRE infectada con 'cmd.exe', que se ejecuta con el volumen de BitLocker descifrado".

Si bien las correcciones lanzadas por Microsoft en julio de 2025 solucionaron este defecto de seguridad, el investigador de seguridad Cassius Garat señaló que el problema radica en que el Secure Boot solo verifica el certificado de firma de un binario, no su versión. Como resultado, se puede utilizar una versión vulnerable de "bootmgfw.efi" que no contiene el parche y está firmada con el certificado trusted PCA 2011 para eludir las salvaguardas de BitLocker.

Cabe señalar que Microsoft planea retirar los antiguos certificados PCA 2011 el próximo mes. "Y mientras no sea revocado, incluso un administrador de arranque antiguo y vulnerable puede cargarse sin activar una alerta", señaló Intrinsec. Para llevar a cabo el ataque, el actor malintencionado necesita tener acceso físico a la máquina objetivo.

Para contrarrestar el riesgo, es esencial habilitar un PIN de BitLocker aquí al inicio para la autenticación previa al arranque aquí y migrar el administrador de arranque al certificado CA 2023 aquí y revocar el antiguo certificado PCA 2011.

Fuente:
THN