YellowKey i GreenPlasma: nowe luki zero-day w Windows osłabiają BitLocker i umożliwiają eskalację uprawnień - Security Bez Tabu

YellowKey i GreenPlasma: nowe luki zero-day w Windows osłabiają BitLocker i umożliwiają eskalację uprawnień

Cybersecurity news

Wprowadzenie do problemu / definicja

W połowie maja 2026 roku ujawniono dwie nowe podatności typu zero-day w systemie Windows, nazwane YellowKey oraz GreenPlasma. Pierwsza z nich dotyczy mechanizmów powiązanych z BitLockerem i może prowadzić do obejścia ochrony zaszyfrowanych dysków w określonych scenariuszach fizycznego dostępu. Druga wpływa na komponent CTFMON i otwiera drogę do lokalnej eskalacji uprawnień do poziomu SYSTEM.

To szczególnie niebezpieczne połączenie, ponieważ łączy zagrożenie dla poufności danych z możliwością pełnego przejęcia kontroli nad hostem. Dla organizacji korzystających z Windows na stacjach roboczych, laptopach i serwerach oznacza to konieczność ponownej oceny zarówno ochrony danych w spoczynku, jak i lokalnych granic bezpieczeństwa.

W skrócie

  • YellowKey ma umożliwiać obejście ochrony BitLocker przy fizycznym dostępie do urządzenia.
  • Atak ma wykorzystywać środowisko odzyskiwania Windows Recovery Environment oraz odpowiednio przygotowane pliki na nośniku USB lub w partycji EFI.
  • GreenPlasma jest opisywana jako lokalna podatność privilege escalation związana z frameworkiem CTFMON.
  • Luka może prowadzić do nadużycia zaufanych ścieżek i uzyskania uprawnień SYSTEM.
  • Obie podatności zostały ujawnione publicznie wraz z materiałami proof-of-concept.

Kontekst / historia

Publikacja YellowKey i GreenPlasma wpisuje się w szerszą serię doniesień o błędach bezpieczeństwa w Windows w 2026 roku. Ten sam badacz wcześniej opisywał również inne techniki oraz podatności związane z mechanizmami ochronnymi Microsoftu, w tym BlueHammer, który został zaadresowany jako CVE-2026-33825.

Sprawa ponownie zwraca uwagę na napięcie między szybkim ujawnianiem szczegółów technicznych a procesem koordynowanego disclosure. Publiczne opublikowanie kodu PoC przed wdrożeniem poprawek zwiększa presję na producenta, ale jednocześnie podnosi ryzyko szybkiego wykorzystania takich technik przez cyberprzestępców i grupy ofensywne.

Znaczenie tej sytuacji jest dodatkowo wzmacniane przez obszary, których dotyczą obie luki. YellowKey uderza w zaufanie do ochrony danych opierającej się na szyfrowaniu dysku, natomiast GreenPlasma dotyka jednego z kluczowych filarów bezpieczeństwa systemu, czyli separacji uprawnień lokalnych.

Analiza techniczna

YellowKey nie jest klasycznym atakiem na sam algorytm szyfrowania BitLocker. Z opublikowanych opisów wynika, że mechanizm obejścia koncentruje się na środowisku WinRE, a więc na etapie odzyskiwania systemu, a nie na standardowo uruchomionym Windows. Scenariusz ataku ma wykorzystywać odpowiednio przygotowane pliki umieszczone w katalogu System Volume Information\FsTx, dostarczone przez nośnik USB albo osadzone bezpośrednio w partycji EFI.

W praktyce oznacza to nadużycie logiki zaufania w procesie recovery i pre-boot, a nie bezpośrednie złamanie kryptografii. Kluczowym warunkiem powodzenia ataku pozostaje fizyczny dostęp do urządzenia albo możliwość wpłynięcia na ścieżkę rozruchową. Z perspektywy obrony to ważne rozróżnienie, ponieważ problem dotyczy bardziej granicy zaufania przed startem systemu niż samego mechanizmu szyfrowania danych.

GreenPlasma dotyczy z kolei frameworka CTFMON i została opisana jako lokalna eskalacja uprawnień. Według dostępnych materiałów proof-of-concept umożliwia tworzenie kontrolowanych obiektów sekcji pamięci w lokalizacjach zapisywalnych przez SYSTEM. Taki prymityw może następnie zostać wykorzystany w połączeniu z usługami lub sterownikami korzystającymi z zaufanych ścieżek.

Operacyjna wartość GreenPlasma jest wysoka, ponieważ umożliwia przejście z poziomu ograniczonego użytkownika do pełnych uprawnień SYSTEM. To z kolei może otworzyć drogę do wyłączania zabezpieczeń, trwałego osadzenia się w systemie, kradzieży poświadczeń oraz dalszego ruchu bocznego w środowisku organizacji.

Konsekwencje / ryzyko

YellowKey stanowi istotne zagrożenie dla organizacji, które traktują BitLocker jako podstawowy mechanizm ochrony danych na laptopach, stacjach roboczych uprzywilejowanych i serwerach brzegowych. Jeżeli obejście działa zgodnie z publicznymi opisami, utrata fizycznej kontroli nad urządzeniem może skutkować dostępem do danych mimo aktywnego szyfrowania dysku.

W przypadku GreenPlasma ryzyko pojawia się po uzyskaniu lokalnego footholdu. Tego typu błędy są szczególnie groźne w środowiskach korporacyjnych, ponieważ znacząco skracają łańcuch ataku. Napastnik, który zdobył dostęp jako zwykły użytkownik, może szybko przejść do pełnej kontroli nad hostem i przygotować grunt pod dalszą kompromitację infrastruktury.

Najbardziej niebezpieczny pozostaje scenariusz łączony. Fizyczne przejęcie urządzenia, obejście ochrony danych, a następnie wykorzystanie lokalnej eskalacji uprawnień może prowadzić do bardzo głębokiej kompromitacji. Szczególnie narażone są sektory operujące danymi wrażliwymi, własnością intelektualną lub dostępem uprzywilejowanym, takie jak administracja publiczna, finanse, przemysł, dostawcy usług zarządzanych i zespoły deweloperskie.

Rekomendacje

Organizacje powinny potraktować YellowKey jako sygnał do przeglądu modelu zagrożeń dla urządzeń chronionych przez BitLocker. Samo włączenie szyfrowania dysku nie powinno być uznawane za wystarczającą ochronę w scenariuszach, w których istnieje ryzyko fizycznego dostępu do sprzętu.

  • Ograniczyć możliwość rozruchu z nośników zewnętrznych.
  • Zabezpieczyć ustawienia UEFI i BIOS hasłem oraz kontrolować zmiany konfiguracji.
  • Weryfikować integralność partycji EFI i środowiska WinRE.
  • Wzmocnić procedury ochrony laptopów i urządzeń mobilnych poza biurem.
  • Monitorować nietypowe operacje związane z obiektami sekcji pamięci i zaufanymi ścieżkami systemowymi.
  • Egzekwować zasadę najmniejszych uprawnień oraz ograniczać lokalne możliwości logowania.
  • Aktualizować reguły detekcji o wskaźniki związane z publicznie dostępnymi PoC.
  • Śledzić komunikaty producenta i gotowość oficjalnych poprawek.

Warto również przeprowadzić ćwiczenia red team lub tabletop exercise dla scenariuszy obejmujących kradzież urządzenia oraz kompromitację pre-boot. Tego rodzaju testy pomagają ocenić, czy obecne procedury reagowania i telemetria są wystarczające wobec zagrożeń, które nie zaczynają się w standardowo uruchomionym systemie operacyjnym.

Podsumowanie

YellowKey i GreenPlasma pokazują, że ataki na Windows coraz częściej obejmują różne warstwy systemu jednocześnie, od środowiska odzyskiwania i procesu rozruchu po lokalne mechanizmy separacji uprawnień. Pierwsza luka osłabia zaufanie do ochrony danych w scenariuszach fizycznego dostępu, druga zwiększa ryzyko pełnego przejęcia hosta po uzyskaniu lokalnej obecności.

Dla zespołów bezpieczeństwa najważniejszy wniosek jest praktyczny: skuteczna obrona wymaga równoczesnego wzmacniania ochrony pre-boot, kontroli fizycznego dostępu oraz mechanizmów utrudniających lokalną eskalację uprawnień. W realiach publicznego udostępniania kodu PoC czas na reakcję staje się coraz krótszy.

Źródła

  1. Researchers uncover YellowKey and GreenPlasma Windows Zero-Days — https://securityaffairs.com/192173/hacking/researchers-uncover-yellowkey-and-greenplasma-windows-zero-days.html
  2. Researcher Drops YellowKey, GreenPlasma Windows Zero-Days — https://www.securityweek.com/researcher-drops-yellowkey-greenplasma-windows-zero-days/
  3. Threat View from the Lens of Huntress Adversary Tactics: April 2026 — https://www.huntress.com/threat-library/adversary-tactics/april-2026
  4. Chaotic Eclipse — https://deadeclipse666.blogspot.com/
  5. Microsoft Security Update Guide – CVE-2026-33825 — https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825