Un chercheur en cybersécurité publie des exploits proof-of-concept pour deux vulnérabilités non corrigées de Microsoft Windows : YellowKey contourne BitLocker et GreenPlasma élève les privilèges.
Chaotic Eclipse, aussi connu sous Nightmare Eclipse sur GitHub, qualifie le contournement BitLocker de porte dérobée. Ce composant vulnérable existe uniquement dans l’Environnement de récupération Windows (WinRE), qui répare les problèmes de démarrage.
Ce chercheur suit ses révélations passées sur BlueHammer (CVE-2026-33825) et RedSun, deux élévations locales de privilèges zero-day que des attaquants exploitent peu après leur divulgation publique.
Il divulgue YellowKey et GreenPlasma avec des instructions d’exploitation parce que Microsoft gère mal les rapports de bugs.
Il promet de continuer à diffuser des exploits pour les failles Windows non documentées et annonce une « grosse surprise » au prochain Patch Tuesday.
Le contournement BitLocker YellowKey
YellowKey touche Windows 11 et Windows Server 2022/2025. L’utilisateur place des fichiers FsTx forgés sur une clé USB ou la partition EFI, redémarre en WinRE et maintient la touche CTRL pour ouvrir un shell.
Ce shell accède sans restriction au volume de stockage protégé par BitLocker, même sans stockage externe si les fichiers vont sur la partition EFI du disque cible.
Kevin Beaumont, chercheur indépendant, valide l’exploit et confirme la porte dérobée dans BitLocker. Il conseille un code PIN BitLocker et un mot de passe BIOS.
Chaotic Eclipse précise que la cause racine reste inconnue du public. L’exploitation réussit même avec un TPM (Trusted Platform Module) et un PIN, mais il retient ce PoC.
Il ajoute que Microsoft mettra du temps à identifier la cause racine, car la faille se cache bien.
Will Dormann, analyste chez Tharros Labs, reproduit l’exploit avec une clé USB, mais pas avec la partition EFI. Il explique que YellowKey exploite les transactions NTFS et l’image de récupération Windows. Le prompt PIN surgit avant l’entrée en WinRE.
Windows recherche les répertoires System Volume InformationFsTx sur les disques attachés et rejoue les logs NTFS. Cela supprime X:WindowsSystem32winpeshl.ini, lance CMD.EXE au lieu de WinRE et garde le disque déverrouillé.
Les configurations BitLocker avec TPM seul déverrouillent les disques automatiquement. Les attaquants abusent de ce mécanisme. YellowKey exploite ce déverrouillage automatique au boot, mais échoue avec TPM+PIN.
Les tests exigent l’appareil original où le TPM stocke les clés. L’exploit actuel ouvre les disques TPM-seuls sans identifiants, mais pas les disques volés.
L’élévation de privilèges GreenPlasma
GreenPlasma est une faille d’élévation qui procure un shell aux permissions SYSTEM. Chaotic Eclipse la décrit comme une vulnérabilité de création arbitraire de sections dans CTFMON.
Un utilisateur non privilégié crée des objets de sections mémoire dans des répertoires accessibles à SYSTEM. Cela manipule des services ou pilotes privilégiés qui font confiance à ces emplacements.
Le PoC fuité reste incomplet sans la partie pour un shell SYSTEM complet, mais un utilisateur intelligent le complète en élévation totale.
La nouvelle section influence les données et services, y compris les pilotes en mode noyau, qui font confiance à des chemins inaccessibles aux utilisateurs standards.
Source : GitHub
Chaotic Eclipse reproche à Microsoft d’avoir corrigé discrètement RedSun sans identifiant, contrairement à BlueHammer.
Un porte-parole de Microsoft indique que l’entreprise enquête sur les failles signalées et met à jour les appareils touchés rapidement pour protéger les clients. Elle soutient la divulgation coordonnée des vulnérabilités avant publication publique.