Vazamento revela como drives protegidos pelo Microsoft BitLocker podem ser acessados com arquivos em um pen drive – Exploit YellowKey mostra uma aparente brecha de segurança

Não há nada mais perigoso do que um engenheiro entediado com uma chave de fenda, e a fúria de um pesquisador em segurança ignorado é intensa. No mês passado, um pesquisador de segurança, conhecido como Chaotic Eclipse, divulgou duas vulnerabilidades zero-day, chamadas BlueHammer e RedSun, que permitiram que o Windows Defender oferecesse privilégios de administrador do sistema. Essa revelação ocorreu após seus relatórios serem aparentemente desconsiderados pela equipe de segurança da Microsoft, resultando em um certo revide. Recentemente, Eclipse publicou mais duas novas exploits zero-day: a primeira é uma grave vulnerabilidade no BitLocker chamada Yellow Key, que concede acesso total a um disco bloqueado. A segunda, GreenPlasma, ainda não possui uma prova de conceito completa, mas supostamente realiza uma escalada de privilégios local, permitindo acesso ao nível do sistema. Dada a reputação de Eclipse, é razoável supor que ela funcione conforme anunciado.

A vulnerabilidade YellowKey pode ser ativada simplesmente copiando alguns arquivos para um pendrive e reiniciando para o Ambiente de Recuperação do Windows. O teste indicou que não apenas funciona, mas apresenta características típicas de um backdoor, com arquivos da exploit desaparecendo do pendrive após serem usados uma vez.

O processo é bastante simples: basta pegar qualquer pendrive, ter acesso de escrita à pasta “System Volume Information”, e copiar a pasta “FsTx” e seu conteúdo. Ao reiniciar o Windows, mantendo a tecla Control pressionada, a máquina reiniciará e, sem fazer perguntas ou exibir menus, abrirá um terminal elevado com acesso total ao disco anteriormente bloqueado pelo BitLocker, sem exigir chaves de acesso.

Dizer que isso é perigoso é um eufemismo. Não apenas o BitLocker se torna uma preocupação imediata ao não ser confiável para criptografar drives, mas a forma como a vulnerabilidade opera e os arquivos desaparecem levantam questões desconfortáveis para empresas e até para o cenário político. A vulnerabilidade YellowKey supostamente também funciona no Windows Server 2022 e 2025, mas não no Windows 10.

O BitLocker protege milhões de sistemas ao redor do mundo, tanto em residências como em empresas e governos, especialmente por ser ativado por padrão no Windows 11. Embora a segurança prometa proteger os dados, é fácil imaginar que um laptop ou desktop possa ser furtado, permitindo acesso às informações criptografadas.

Além disso, a equipe de pesquisa observou que usar uma configuração completa de TPM e PIN não é uma garantia de segurança, já que aparentemente existe uma variante dessa vulnerabilidade que ainda não foi divulgada com uma prova de conceito. Eles ressaltam que esta vulnerabilidade é bem escondida e afirmam que poderiam ter lucrado bastante vendendo essa informação, mas a determinação em expor as falhas é mais importante do que qualquer quantia de dinheiro.

Quanto à GreenPlasma, esta exploit promete proporcionar ao atacante um acesso completo ao sistema, superior até mesmo ao de um administrador, manipulando o processo CTFMon para inserir um objeto de seção de memória manipulada em qualquer parte do Gerenciador de Objetos do Windows onde o usuário do sistema tenha acesso de escrita, ignorando controles de acesso regulares.

Essa exploração pode permitir o acesso a regiões de memória que não deveriam ser acessíveis, sendo possível usar isso para diversas finalidades, sendo a mais óbvia obter controle total do sistema. Isso é preocupante especialmente em ambientes de servidor, onde um usuário comum poderia obter controle do servidor e, assim, acessar os dados de todos os outros.

Até o momento, não há resposta oficial da Microsoft sobre as vulnerabilidades YellowKey ou GreenPlasma. A BlueHammer já foi corrigida, e a equipe alega que a Microsoft fez uma correção silenciosa para a RedSun, mas não há confirmação oficial sobre isso.