El investigador anónimo de ciberseguridad que reveló tres vulnerabilidades en Microsoft Defender está de regreso con dos días cero más que involucran la omisión de BitLocker y la escalada de privilegios que afectan el Marco de traducción colaborativa de Windows (CTFMON).
Los investigadores que operan bajo los alias en línea Chaotic Eclipse y Nightmare-Eclipse, respectivamente, han denominado las fallas de seguridad con el nombre en código YellowKey y GreenPlasma.
El investigador describió YellowKey como «uno de los descubrimientos más locos que he hecho», comparándolo con el bypass de BitLocker que actúa como puerta trasera. Este error existe sólo en el entorno de recuperación de Windows (WinRE). El entorno de recuperación de Windows (WinRE) es un marco integrado diseñado para solucionar y reparar problemas comunes del sistema operativo que no arranca.
YellowKey afecta a Windows 11 y Windows Server 2022/2025. En un nivel alto, esto implica copiar un archivo «FsTx» especialmente diseñado en una unidad USB o partición EFI, activar la protección BitLocker, conectar la unidad USB a una computadora Windows de destino, reiniciar WinRE e iniciar un shell mientras se mantiene presionada la tecla CTRL.
«Creo que incluso al MSRC le llevará algún tiempo encontrar la verdadera causa del problema. Nunca pudimos entender por qué esta vulnerabilidad estaba tan bien oculta», explicó el investigador. «En segundo lugar, no, TPM+PIN es inútil. El problema aún se puede explotar».
«Pude reproducir (YellowKey) con la unidad USB conectada», dijo el investigador de seguridad Will Dorman en una publicación compartida en Mastodon, y agregó: «Parece que el bit NTFS transaccional en la unidad USB le permite eliminar el archivo winpeshl.ini en otra unidad (X:), y en lugar del entorno de recuperación esperado de Windows, obtiene un mensaje cmd.exe desbloqueado con BitLocker».
«Si bien la omisión de BitLocker solo para TPM es ciertamente interesante, creo que el problema oculto aquí es que el directorio \System Volume Information\FsTx en un volumen tiene la capacidad de modificar el contenido de otro volumen durante la reproducción», señaló Dormann. «Para mí, esto parece una vulnerabilidad en sí misma».
La segunda vulnerabilidad reportada por Chaotic Eclipse es un problema de seguridad de escalada de privilegios que puede explotarse para obtener un shell con privilegios de SISTEMA. Esto ocurre como resultado de lo que se describe como creación de secciones arbitrarias en Windows CTFMON.
La prueba de concepto (PoC) publicada está incompleta y carece del código necesario para obtener un shell del SISTEMA completo. En su forma actual, este exploit permite a un usuario sin privilegios crear objetos de sección de memoria arbitrarios en objetos de directorio en los que el SISTEMA puede escribir, permitiendo potencialmente la operación de servicios o controladores privilegiados que implícitamente confían en estas rutas, ya que los usuarios estándar no tienen acceso de escritura a esas ubicaciones.
El desarrollo se produce casi un mes después de que el investigador publicara tres días cero de Defender llamados BlueHammer, RedSun y UnDefend, citando frustración con el manejo del proceso de divulgación de vulnerabilidades de Microsoft. Desde entonces, esta deficiencia se ha explotado activamente en la práctica.
Aunque a BlueHammer se le asignó oficialmente el identificador CVE-2026-33825 y Microsoft lo parchó el mes pasado, Chaotic Eclipse dijo que el gigante tecnológico parece haberse dirigido «silenciosamente» a RedSun sin emitir un aviso.
«Espero que al menos intentes resolver la situación de manera responsable, pero no estoy seguro de qué tipo de reacción esperabas de mí cuando echaste más leña al fuego después del martillo azul», dijo el investigador. “El fuego arderá todo el tiempo que quieras, hasta que lo apagues o no quede nada que quemar”.
Chaotic Eclipse también prometió una «gran sorpresa» para Microsoft a tiempo para el próximo lanzamiento del Patch Tuesday en junio de 2026.
Cuando se le pidió un comentario, un portavoz de Microsoft dijo anteriormente a The Hacker News que «existe el compromiso de nuestros clientes de investigar los problemas de seguridad reportados y actualizar los dispositivos afectados lo más rápido posible para proteger a nuestros clientes», y agregó que la compañía apoya la divulgación coordinada de vulnerabilidades y que la compañía «ayuda a garantizar que los problemas se investiguen y aborden cuidadosamente antes de hacerse públicos».
Se descubre un ataque de degradación de BitLocker
El desarrollo se produce cuando la empresa francesa de ciberseguridad Intrinsec detalla una cadena de ataque contra BitLocker que explota CVE-2025-48804 (puntuación CVSS: 6,8) para aprovechar una degradación del administrador de arranque para evitar las protecciones criptográficas en un sistema Windows 11 completamente parcheado en cinco minutos.
«El principio es el siguiente: el administrador de arranque carga el archivo de imagen de implementación del sistema (SDI) y el WIM al que hace referencia y verifica la integridad del WIM legítimo», dijo Intrinsec.
«Sin embargo, cuando se agrega a SDI un segundo WIM con una tabla de blobs modificada, el administrador de arranque verifica el primer WIM (legítimo) mientras arranca simultáneamente desde el segundo WIM (controlado por el atacante). Este segundo WIM contiene una imagen de WinRE infectada con ‘cmd.exe’ que se ejecuta en el volumen de BitLocker descifrado.
Un parche lanzado por Microsoft resolvió esta falla de seguridad en julio de 2025, pero el investigador de seguridad Cassius Garat dijo que el problema radica en el hecho de que Secure Boot solo verifica el certificado de firma, no la versión del binario. Como resultado, es posible eludir las protecciones de BitLocker utilizando una versión vulnerable de ‘bootmgfw.efi’ que no incluye el parche y está firmada con un certificado PCA 2011 confiable.
Vale la pena señalar que Microsoft planea retirar los certificados PCA 2011 antiguos el próximo mes. «Y a menos que se revoque, incluso los administradores de arranque antiguos y vulnerables pueden cargarse sin activar alertas», dijo Intrinsec. Para llevar a cabo un ataque, un atacante debe tener acceso físico a la máquina objetivo.
Para combatir este riesgo, es importante habilitar el PIN de BitLocker para la autenticación previa al inicio en el momento del inicio, migrar el administrador de inicio a certificados CA 2023 y revocar los certificados PCA 2011 antiguos.
Source link
