Un investigador anónimo de ciberseguridad que reveló tres vulnerabilidades de
Microsoft Defender ha vuelto a descubrir dos vulnerabilidades Zero-Days
adicionales: una que permite eludir BitLocker y otra que provoca una
escalamiento de privilegios en el Marco de Traducción Colaborativa de Windows
(CTFMON).
El investigador, conocido en línea como
Chaotic Eclipse
y Nightmare-Eclipse, ha denominado a estos fallos de seguridad
YellowKey
y
GreenPlasma, respectivamente.
El investigador describió YellowKey como
«uno de los descubrimientos más increíbles que he encontrado»,
comparando la vulnerabilidad que permite eludir BitLocker con una puerta
trasera, ya que el fallo solo está presente en el Entorno de Recuperación de
Windows (WinRE), un marco integrado diseñado para solucionar y reparar problemas comunes de
arranque del sistema operativo.
YellowKey afecta a Windows 11 y Windows Server 2022/2025. En términos
generales, el método consiste en copiar archivos «FsTx» especialmente
diseñados en una unidad USB o en la partición EFI, conectar la unidad USB al
ordenador Windows objetivo con las protecciones BitLocker activadas, reiniciar
en WinRE y acceder a la consola manteniendo pulsada la tecla CTRL.
«Creo que incluso a MSRC le llevará tiempo encontrar la causa raíz del
problema. Nunca he logrado comprender por qué esta vulnerabilidad está tan
bien oculta»,
explicó el investigador.
«Además, TPM+PIN no soluciona el problema; la vulnerabilidad sigue siendo
explotable».
El investigador de seguridad Will Dormann, en una
publicación compartida en Mastodon, afirmó:
«Logré reproducir [YellowKey] con una unidad USB conectada. Parece que los
bits NTFS transaccionales de una unidad USB pueden eliminar el archivo
winpeshl.ini en OTRA UNIDAD (X:). Y obtenemos una consola de cmd.exe con
BitLocker desbloqueado en lugar del entorno de recuperación de Windows
esperado».
«Si bien la elusión de
BitLocker mediante TPM
es interesante, creo que lo más importante aquí es que un directorio \System
Volume Information\FsTx en un volumen tiene la capacidad de modificar el
contenido de otro volumen cuando se reproduce», señaló Dormann. «Para mí, esto en sí mismo suena a vulnerabilidad».
La segunda vulnerabilidad detectada por Chaotic Eclipse es un caso de
escalamiento de privilegios que podría explotarse para obtener una
shell con permisos de SYSTEM. Surge como resultado de lo que se ha
descrito como la creación arbitraria de secciones por parte de CTFMON de
Windows.
La prueba de concepto (PoC) publicada está incompleta y carece del código
necesario para obtener una shell completa de SYSTEM. En su forma
actual, el exploit permite a un usuario sin privilegios crear objetos
de sección de memoria arbitrarios dentro de directorios con permisos de
escritura para SYSTEM, lo que podría permitir la manipulación de servicios o
controladores privilegiados que confían implícitamente en esas rutas, ya que
un usuario estándar no tiene acceso de escritura a dichas ubicaciones.
Chaotic Eclipse también prometió una «gran sorpresa» para Microsoft,
coincidiendo con la próxima actualización de seguridad (Patch Tuesday) en
junio de 2026.
Fuente:
THN