北京
一位安全研究员在微软发布月度补丁的次日,直接公开了两个未修复的Windows零日漏洞的利用代码。这两个漏洞分别被命名为"YellowKey"和"GreenPlasma",前者可完全绕过BitLocker磁盘加密,后者则能实现本地权限提升。
这位研究员对微软处理此前漏洞披露的方式极为不满,称此次公开代码是"直接报复"。他进一步声称这些漏洞是微软故意植入的后门,并在公开材料中特别提及微软内部威胁情报团队MSTIC和GHOST——这种公开点名内部团队的做法在安全圈极为罕见。
YellowKey:物理接触即可破解全盘加密
YellowKey是其中最为严重的漏洞。攻击者只需物理接触目标设备,数分钟内即可完全绕过BitLocker全盘加密,获得对锁定系统驱动器的无限制访问权限。
该漏洞位于Windows恢复环境(WinRE)中,仅影响Windows 11、Windows Server 2022和Windows Server 2025。Windows 10因恢复架构的结构差异而不受影响。
攻击方式出人意料地简单:将特定命名的FsTx文件夹复制到兼容U盘,插入目标机器;或者物理拆出目标硬盘,将漏洞文件直接复制到EFI分区后重新挂载。两种方法效果相同。
随后,攻击者通过特定按键组合重启进入恢复代理,利用WinRE组件生成一个shell,即可对受保护卷进行无限制访问。
GreenPlasma:从普通用户到系统内核
第二个漏洞GreenPlasma是一处本地权限提升缺陷。该漏洞利用Windows CTFMON服务,通过创建任意内存段对象实现攻击。
无权限的攻击者可以在通常仅允许SYSTEM账户写入的目录结构中创建这些内存段对象。这使得恶意行为者能够操纵受信任的Windows服务和内核模式驱动程序,执行未授权命令。
目前公开的代码在触发时会出现用户账户控制提示,需要进一步武器化才能实现完全静默攻击。但安全研究人员指出,若与初始入侵向量完整串联,该漏洞可允许对操作系统核心进行持久、完全的访问。
企业设备面临直接威胁
此次漏洞公开的时机和方式都充满对抗色彩。研究员选择在微软Patch Tuesday后的第二天发布代码,且明确将矛头指向微软内部团队,这种公开对抗的姿态在安全社区并不多见。
BitLocker作为Windows企业版和数据中心版的核心安全功能,被广泛应用于政府和企业设备的全盘加密。YellowKey的利用门槛极低——物理接触加U盘即可——这意味着数百万台设备在补丁发布前处于裸露状态。
独立安全研究人员在分析YellowKey威胁后,强烈建议企业采取缓解措施。但在微软发布官方补丁之前,针对这两个零日漏洞的防护选择相当有限。
微软目前尚未对这两个漏洞发布官方补丁,也未就研究员关于"故意后门"的指控作出公开回应。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
