YellowKey i GreenPlasma: dwa ujawnione zero-day w Windows zwiększają presję na obrońców - Security Bez Tabu

YellowKey i GreenPlasma: dwa ujawnione zero-day w Windows zwiększają presję na obrońców

Cybersecurity news

Wprowadzenie do problemu / definicja

W ekosystemie Windows ujawniono dwa nowe zagrożenia typu zero-day, nazwane YellowKey oraz GreenPlasma. Pierwsze dotyczy obejścia ochrony BitLocker w systemie Windows 11, a drugie umożliwia lokalną eskalację uprawnień do poziomu System. Publiczne udostępnienie materiałów proof-of-concept zwiększa ryzyko praktycznego wykorzystania obu problemów, ponieważ skraca czas potrzebny na przygotowanie działających scenariuszy ataku.

Znaczenie tych luk wynika z faktu, że uderzają one w dwa istotne filary bezpieczeństwa urządzeń końcowych: ochronę danych w spoczynku oraz integralność modelu uprzywilejowania. W praktyce oznacza to wzrost ryzyka zarówno w przypadku utraty sprzętu, jak i po uzyskaniu lokalnego dostępu do systemu.

W skrócie

  • YellowKey to technika obejścia BitLocker wymagająca fizycznego dostępu do urządzenia.
  • Atak wykorzystuje specyficzne zachowanie środowiska odzyskiwania Windows Recovery Environment.
  • GreenPlasma to lokalna luka eskalacji uprawnień do poziomu System.
  • Publiczne PoC obniżają próg wejścia dla atakujących i zwiększają presję na zespoły bezpieczeństwa.
  • Połączenie obu błędów może wspierać bardziej złożone łańcuchy ataku na stacje robocze i laptopy.

Kontekst / historia

Informacje o obu podatnościach zostały upublicznione przez badacza działającego pod pseudonimem Chaotic Eclipse, znanego z wcześniejszych publikacji dotyczących problemów bezpieczeństwa w produktach Microsoft. Według dostępnych opisów YellowKey nie przypomina klasycznej podatności aplikacyjnej z jednoznacznie wskazaną przyczyną, lecz ma związek z mniej przejrzystym komponentem obecnym w obrazie WinRE.

Sprawa szybko zwróciła uwagę społeczności bezpieczeństwa, ponieważ niezależne testy miały potwierdzać skuteczność obejścia BitLocker także na aktualnych kompilacjach Windows 11. Pojawiły się również sygnały, że skuteczność ataku może dotyczyć niektórych konfiguracji wykorzystujących TPM PIN, choć wpływ tego elementu może zależeć od konkretnej implementacji środowiska odzyskiwania oraz ustawień platformy.

Analiza techniczna

YellowKey koncentruje się na ścieżce rozruchu systemu i wykorzystaniu Windows Recovery Environment. Opisany scenariusz zakłada przygotowanie nośnika zawierającego pliki proof-of-concept, podłączenie go do urządzenia z włączonym BitLockerem, a następnie przejście do WinRE poprzez wymuszenie odpowiedniego restartu. Kluczowy element ataku polega na uzyskaniu dostępu do wiersza poleceń w kontekście, który pozwala operować na zaszyfrowanym woluminie bez standardowego procesu uwierzytelnienia użytkownika.

Z perspektywy architektury bezpieczeństwa jest to istotny problem, ponieważ podważa założenie, że szyfrowanie pełnego dysku skutecznie zabezpieczy dane po fizycznym przejęciu urządzenia. Badacz wskazywał także możliwość alternatywnego przygotowania ścieżki ataku poprzez operacje na partycji EFI, co sugeruje, że ryzyko może obejmować szerzej proces rozruchu i komponenty pomocnicze, a nie wyłącznie pojedynczy nośnik zewnętrzny.

GreenPlasma reprezentuje inny wektor. W tym przypadku chodzi o lokalną eskalację uprawnień, pozwalającą osiągnąć poziom System poprzez utworzenie arbitralnego obiektu sekcji pamięci w lokalizacji zapisywalnej przez konto System. Publiczny proof-of-concept nie zawiera pełnego łańcucha prowadzącego do kompletnej powłoki System, ale dostarcza prymitywu, który może zostać wykorzystany do dalszej manipulacji komponentami systemowymi, usługami, a potencjalnie również elementami działającymi bliżej warstwy jądra.

Operacyjnie oba błędy można traktować jako oddzielne, jednak z punktu widzenia przeciwnika tworzą logiczne ogniwa większego łańcucha. YellowKey zwiększa szansę na uzyskanie dostępu do danych na przejętym urządzeniu, a GreenPlasma może wspierać utrwalenie obecności, obchodzenie zabezpieczeń lokalnych i rozwój kolejnych etapów kompromitacji.

Konsekwencje / ryzyko

Najbardziej bezpośrednią konsekwencją YellowKey jest ryzyko kompromitacji danych w spoczynku na urządzeniach chronionych przez BitLocker. Szczególnie istotne są tu scenariusze utraty laptopa, kradzieży sprzętu, czasowego przejęcia komputera przez osobę nieuprawnioną lub działań prowadzonych przez insajdera mającego fizyczny dostęp do urządzenia. W sektorach przetwarzających dane poufne taki wektor należy traktować bardzo poważnie.

W przypadku GreenPlasma zagrożenie pojawia się po uzyskaniu lokalnego wykonania kodu. Eskalacja do System umożliwia obchodzenie zabezpieczeń, modyfikację zaufanych procesów, utrudnianie detekcji oraz budowanie trwałości w systemie. W środowisku korporacyjnym może to przyspieszyć przejście od pojedynczego punktu wejścia do incydentu obejmującego więcej zasobów i tożsamości.

Dodatkowym czynnikiem ryzyka jest samo publiczne ujawnienie kodu proof-of-concept. Nawet niepełne demonstratory techniczne obniżają próg wejścia dla mniej zaawansowanych aktorów, którzy nie muszą samodzielnie odkrywać błędu, lecz jedynie dostosować gotowe materiały do własnych potrzeb operacyjnych.

Rekomendacje

Organizacje powinny potraktować ujawnienie YellowKey i GreenPlasma jako sygnał do przeglądu założeń ochrony endpointów, zwłaszcza laptopów z Windows 11. Sama obecność BitLocker nie powinna być traktowana jako jedyny środek ochrony danych na urządzeniu, szczególnie w scenariuszach fizycznego przejęcia sprzętu.

  • Ograniczyć ryzyko fizycznego dostępu do urządzeń poprzez egzekwowanie zasad bezpiecznego przechowywania i szybkiego zgłaszania utraty sprzętu.
  • Przeanalizować konfigurację WinRE oraz ustawienia rozruchu, w tym UEFI, Secure Boot i możliwość startu z nośników zewnętrznych.
  • Zabezpieczyć ustawienia firmware hasłem administracyjnym i rozważyć blokadę bootowania z USB tam, gdzie jest to operacyjnie możliwe.
  • Zweryfikować, czy konfiguracje TPM PIN faktycznie zapewniają oczekiwany poziom odporności w danym modelu wdrożenia.
  • Wzmocnić kontrole lokalnego wykonania kodu, stosować application control i ograniczać uprawnienia użytkowników końcowych.
  • Monitorować artefakty wskazujące na próby uzyskania dostępu do WinRE, manipulacje przy rozruchu oraz nietypowe działania w kontekście konta System.
  • Przygotować procedury reagowania na utratę urządzenia, zakładając możliwość dostępu do danych lokalnych, poświadczeń i aktywnych sesji.

Podsumowanie

YellowKey i GreenPlasma pokazują, że bezpieczeństwo Windows należy oceniać nie tylko przez pryzmat zdalnych exploitów, ale również przez słabsze ogniwa w procesie rozruchu, odzyskiwania systemu i lokalnym modelu uprzywilejowania. Obejście BitLocker uderza w ochronę danych w spoczynku, a eskalacja do System zwiększa skuteczność kolejnych etapów ataku.

Publiczne ujawnienie obu błędów podnosi prawdopodobieństwo szybkiej adaptacji przez przeciwników. Z tego powodu zespoły bezpieczeństwa powinny wdrożyć działania kompensacyjne i zwiększyć monitoring jeszcze przed pojawieniem się pełnych poprawek lub oficjalnych wytycznych producenta.

Źródła

  1. SecurityWeek — Researcher Drops YellowKey, GreenPlasma Windows Zero-Days — https://www.securityweek.com/researcher-drops-yellowkey-greenplasma-windows-zero-days/
  2. GitHub — YellowKey notes / proof-of-concept materials — https://github.com/
  3. GitHub — GreenPlasma proof-of-concept materials — https://github.com/
  4. Microsoft Learn — BitLocker documentation — https://learn.microsoft.com/