Kolejny poważny zero-day. Nowe luki omijają BitLockera.

[Muchomorek]

 I pozwalają przejąć uprawnienia SYSTEM.

Eksperci ds. cyberbezpieczeństwa alarmują o dwóch nowych lukach typu zero-day w systemie Windows, mogących mieć poważne konsekwencje dla bezpieczeństwa użytkowników i firm. Podatności, którym nadano nazwy YellowKey oraz GreenPlasma, ujawnił badacz bezpieczeństwa działający pod pseudonimem Chaotic Eclipse. Pierwsza umożliwia obejście mechanizmu szyfrowania BitLocker, druga pozwala na lokalne podniesienie uprawnień do poziomu SYSTEM za pomocą komponentu CTFMON. Luki nie zostały jeszcze załatane przez Microsoft i według analityków cyberprzestępcy mogą je szybko wykorzystać.

Problem jest szczególnie groźny, ponieważ dotyczy elementów osadzonych głęboko w architekturze Windows. BitLocker od lat stanowi jeden z podstawowych mechanizmów ochrony danych w środowiskach korporacyjnych, a usługa CTFMON odpowiada za obsługę funkcji językowych i wejścia tekstowego systemu. W praktyce oznacza to, że potencjalny atak może doprowadzić zarówno do odszyfrowania chronionych danych, jak i do pełnego przejęcia kontroli nad komputerem.
YellowKey – luka pozwalająca ominąć BitLockera

Większe zainteresowanie ekspertów wzbudziła podatność YellowKey, określona przez jej znalazcę jako ,,jedno z najbardziej szalonych odkryć" w karierze. Luka występuje w środowisku Windows Recovery Environment (WinRE), czyli specjalnym trybie odzyskiwania, uruchamianym w przypadku problemów z systemem operacyjnym.

WinRE działa poza standardowym środowiskiem Windows i posiada rozszerzone uprawnienia administracyjne. To właśnie tam badacz odkrył możliwość manipulacji procesem uruchamiania systemu w taki sposób, aby uzyskać dostęp do danych zabezpieczonych przez BitLocker.

Technicznie problem wynika z niewłaściwej walidacji komponentów rozruchowych podczas przechodzenia do środowiska odzyskiwania. Atakujący posiadający fizyczny dostęp do urządzenia może uruchomić WinRE, a następnie wykorzystać odpowiednio przygotowane skrypty lub zmodyfikowane pliki systemowe do obejścia mechanizmu ochrony dysku.

W praktyce oznacza to, że laptop firmowy zabezpieczony BitLockerem może zostać odszyfrowany bez znajomości hasła lub klucza odzyskiwania. To szczególnie niebezpieczne dla organizacji przechowujących dane poufne, dokumentację finansową czy informacje klientów.

Eksperci zwracają uwagę, że BitLocker był dotychczas uznawany za jedno z najskuteczniejszych rozwiązań szyfrujących dostępnych natywnie w Windows. Wiele przedsiębiorstw opierało swoje polityki bezpieczeństwa właśnie na tym mechanizmie. Jeśli luka YellowKey okaże się łatwa do wykorzystania, może to wymusić zmianę procedur bezpieczeństwa w tysiącach organizacji.

Według opisu badacza luka działa wyłącznie w środowisku odzyskiwania, co utrudnia jej wykrycie przez standardowe systemy EDR i rozwiązania antywirusowe. Z tego powodu część specjalistów porównuje podatność do ukrytego w architekturze Windows backdoora.
GreenPlasma – eskalacja uprawnień przez CTFMON

Druga podatność, nazwana GreenPlasma, dotyczy procesu CTFMON.exe, odpowiedzialnego za obsługę usług językowych i metod wprowadzania tekstu. Choć komponent ten działa w tle praktycznie każdego systemu Windows, niewielu użytkowników zdaje sobie sprawę, że posiada on szerokie uprawnienia systemowe.

Badacz wykazał możliwość wykorzystania błędów w komunikacji międzyprocesowej do przejęcia tokenów bezpieczeństwa i uzyskania najwyższych uprawnień SYSTEM. Oznacza to, że lokalny użytkownik z ograniczonym kontem może przejąć praktycznie całkowitą kontrolę nad komputerem.

Od strony technicznej exploit wykorzystuje manipulację mechanizmami COM (Component Object Model) oraz błędy w obsłudze procesów wejścia tekstowego. Atak pozwala ominąć część zabezpieczeń User Account Control (UAC), co w wielu przypadkach daje pełny dostęp administracyjny bez konieczności podawania hasła administratora.

Eksperci podkreślają, że tego typu podatności są wyjątkowo cenne dla cyberprzestępców. Sama luka lokalna nie umożliwia zdalnego włamania, ale po połączeniu z innym exploitem – na przykład wykonaniem złośliwego kodu przez przeglądarkę lub dokument Office – może doprowadzić do całkowitego przejęcia urządzenia.

GreenPlasma może być również wykorzystywana przez grupy ransomware. Po uzyskaniu podstawowego dostępu do systemu przestępcy mogliby podnieść uprawnienia, wyłączyć zabezpieczenia i rozpocząć szyfrowanie danych lub kradzież informacji.
Dlaczego te luki są tak niebezpieczne?

Największym problemem jest fakt, że obie podatności mają status zero-day, co oznacza brak oficjalnych poprawek bezpieczeństwa. Cyberprzestępcy często bardzo szybko analizują publiczne informacje o nowych błędach i przygotowują własne exploity, zanim producent opublikuje aktualizację.

W przypadku YellowKey zagrożenie dotyczy przede wszystkim urządzeń utraconych lub skradzionych. Firmy zakładają zwykle, że BitLocker chroni dane nawet wtedy, gdy laptop trafi w niepowołane ręce. Jeśli jednak możliwe jest obejście szyfrowania poprzez WinRE, model bezpieczeństwa ulega poważnemu zachwianiu.

GreenPlasma stanowi natomiast klasyczny przykład podatności post-exploitation. Tego rodzaju błędy są często wykorzystywane przez zaawansowane grupy APT oraz operatorów ransomware do utrzymywania dostępu i przejmowania kolejnych segmentów infrastruktury.

Analitycy zwracają też uwagę na rosnącą liczbę podatności odkrywanych w samym Windowsie. Microsoft regularnie publikuje ogromne paczki aktualizacji bezpieczeństwa – obejmujące dziesiątki, a czasem setki błędów.
Jak mogą zabezpieczyć się użytkownicy i firmy?

Do czasu wydania oficjalnych poprawek administratorzy powinni ograniczyć możliwość uruchamiania środowiska WinRE przez nieautoryzowane osoby. W środowiskach korporacyjnych rekomendowane jest również stosowanie dodatkowych mechanizmów uwierzytelniania przed startem systemu, takich jak PIN dla BitLockera lub integracja z modułem TPM 2.0.

W przypadku GreenPlasma kluczowe znaczenie ma monitorowanie prób eskalacji uprawnień oraz analiza nietypowych działań procesu CTFMON.exe. Rozwiązania EDR powinny wykrywać anomalie związane z manipulacją tokenami bezpieczeństwa i uruchamianiem podejrzanych procesów potomnych.

Eksperci zalecają również:

    ograniczenie uprawnień lokalnych użytkowników,
    stosowanie segmentacji sieci,
    regularne aktualizowanie systemów,
    monitorowanie logów bezpieczeństwa,
    wdrożenie zasad Zero Trust.

W środowiskach o wysokim poziomie bezpieczeństwa rozważa się także czasowe wyłączenie niektórych funkcji odzyskiwania systemu – do momentu publikacji łatek przez Microsoft.
Microsoft pod presją

Na razie Microsoft nie opublikował szczegółowego stanowiska dotyczącego obu luk. Nie wiadomo również, czy producent pracuje już nad poprawkami ani kiedy mogą one trafić do użytkowników. Sytuacja jest jednak dynamiczna, ponieważ informacje o podatnościach szybko się rozprzestrzeniły.

Eksperci spodziewają się, że luki mogą zostać uwzględnione w najbliższym Patch Tuesday. Do tego czasu administratorzy powinni zachować szczególną ostrożność i monitorować systemy pod kątem podejrzanej aktywności.

Nowe odkrycia pokazują również, że nawet dojrzałe mechanizmy bezpieczeństwa, takie jak BitLocker, nie są odporne na błędy projektowe i implementacyjne. Współczesne cyberzagrożenia coraz częściej wykorzystują właśnie słabości obecne głęboko w architekturze systemów operacyjnych.

Microsoft ma ogromny problem po publikacji exploitu typu zero-day o nazwie YellowKey. Narzędzie zaprezentowane przez badacza bezpieczeństwa ukrywającego się pod pseudonimem Chaotic Eclipse ma umożliwiać otwarcie dysków zabezpieczonych BitLockerem przy użyciu zwykłego pendrive'a i kilku plików zapisanych w ukrytym katalogu systemowym.

Sprawa jest wyjątkowo głośna nie tylko przez samą lukę, ale również przez sposób jej ujawnienia. Autor exploitu twierdzi, że wcześniej próbował zgłaszać podatności Microsoftowi. Według jego relacji część raportów została odrzucona lub zignorowana, dlatego zdecydował się opublikować kolejne narzędzia publicznie. W sieci pojawiły się już działające proof-of-concepty, a użytkownicy zaczęli samodzielnie testować exploit na komputerach z Windows 11 i Windows Server.

    YellowKey może stać się jedną z najgłośniejszych luk bezpieczeństwa związanych z Windows 11 w ostatnich latach. Jeśli exploit okaże się skuteczny na szerokiej gamie urządzeń, Microsoft będzie musiał błyskawicznie przygotować poprawki i odbudować zaufanie do BitLockera.

Pendrive zamiast klucza odzyskiwania

Najbardziej niepokojący element całej historii dotyczy prostoty ataku. YellowKey nie wymaga specjalistycznego sprzętu ani zaawansowanej wiedzy kryptograficznej. Według opublikowanych informacji wystarczy przygotować pamięć USB z odpowiednio spreparowanymi plikami, uruchomić komputer w środowisku odzyskiwania Windows i wykonać prostą kombinację klawiszy podczas restartu systemu.

Po chwili użytkownik ma otrzymać dostęp do wiersza poleceń z pełnym wglądem w zawartość wcześniej zaszyfrowanego dysku. Bez wpisywania hasła, bez klucza odzyskiwania i bez komunikatu ostrzegawczego. Badacze, którzy przeprowadzili własne testy, potwierdzają, że exploit działa na części konfiguracji wykorzystujących BitLockera.

Dodatkowe kontrowersje budzi zachowanie plików wykorzystywanych podczas ataku. Po użyciu mają automatycznie znikać z pamięci USB. Taki mechanizm natychmiast wywołał lawinę komentarzy sugerujących istnienie ukrytej furtki w zabezpieczeniach Windowsa. Na razie nie ma jednak dowodów wskazujących na celowe działanie Microsoftu.
BitLocker od lat był uznawany za bezpieczny

BitLocker to jedno z najważniejszych zabezpieczeń stosowanych w komputerach z Windows. Mechanizm szyfrowania jest aktywny na milionach laptopów firmowych, komputerów administracji publicznej i urządzeń prywatnych użytkowników. W Windows 11 funkcja bardzo często aktywuje się automatycznie podczas konfiguracji systemu.

Cała idea BitLockera opiera się na przechowywaniu kluczy szyfrowania w module TPM. Dzięki temu wyjęcie dysku z jednego komputera i podłączenie go do innej maszyny nie powinno umożliwić odczytu danych. YellowKey podważa jednak poczucie bezpieczeństwa związane z fizycznym przejęciem urządzenia. Kradzież laptopa może okazać się wystarczająca do uzyskania dostępu do danych właściciela.

Chaotic Eclipse twierdzi również, że dodatkowe zabezpieczenie w postaci kodu PIN dla TPM nie eliminuje problemu. Badacz utrzymuje, że posiada wariant exploitu działający również w takim scenariuszu, ale nie opublikował jeszcze pełnej demonstracji.
Microsoft milczy, internet wrze

W chwili publikacji informacji Microsoft nie wydał oficjalnego komunikatu dotyczącego YellowKey ani drugiego exploitu o nazwie GreenPlasma. Ten drugi ma umożliwiać lokalne podnoszenie uprawnień aż do poziomu SYSTEM poprzez manipulację procesem CTFMon i pamięcią współdzieloną Windowsa.

Eksperci od bezpieczeństwa zwracają uwagę, że GreenPlasma może stanowić ogromne zagrożenie dla środowisk serwerowych. W praktyce zwykły użytkownik systemu mógłby uzyskać najwyższe możliwe uprawnienia i przejąć kontrolę nad infrastrukturą Nie masz uprawnień do wyświetlania linków. Zarejestruj się lub Zaloguj kolejna odsłona konfliktu między Chaotic Eclipse a Microsoftem. W poprzednich miesiącach badacz opublikował exploity BlueHammer oraz RedSun, które również uderzały w zabezpieczenia Windows Defendera i mechanizmy uprawnień systemowych. Według autora część luk została później po cichu załatana.


Nie masz uprawnień do wyświetlania linków. Zarejestruj się lub Zaloguj

You cannot view this attachment.


You cannot view this attachment.
You cannot view this attachment.