Zero-Day & Exploits
YellowKey e GreenPlasma: novas vulnerabilidades zero-day do Windows expõem bypass do BitLocker
Pesquisadores divulgaram duas novas vulnerabilidades zero-day afetando o Windows.
O pesquisador conhecido online como Chaotic Eclipse, também chamado de Nightmare-Eclipse, divulgou duas novas vulnerabilidades zero-day afetando sistemas Windows modernos. As falhas receberam os codinomes YellowKey e GreenPlasma.
As vulnerabilidades afetam componentes sensíveis do ecossistema Windows:
| Codinome | Componente Afetado | Impacto Principal |
| YellowKey | BitLocker / WinRE | Bypass de criptografia |
| GreenPlasma | CTFMON / CTF Framework | Escalonamento para SYSTEM |
As descobertas surgem pouco tempo após o pesquisador divulgar os casos BlueHammer, RedSun e UnDefend relacionados ao Microsoft Defender.
O que é o YellowKey?
O YellowKey é uma vulnerabilidade que permite contornar proteções do BitLocker através do Windows Recovery Environment (WinRE).
Segundo o pesquisador, a falha afeta:
- Windows 11
- Windows Server 2022
- Windows Server 2025
- Ambientes protegidos por BitLocker
O ataque funciona manipulando arquivos especiais chamados "FsTx" dentro de dispositivos USB ou partições EFI.
Fluxo simplificado do ataque:
USB com arquivos FsTx → reinicialização no WinRE → manipulação de arquivos → shell cmd.exe → volume BitLocker desbloqueadoO processo descrito envolve:
- Copiar arquivos FsTx especialmente criados
- Conectar USB ao sistema alvo
- Reiniciar no Windows Recovery Environment
- Manter CTRL pressionado
- Obter shell administrativo
- Acessar volume descriptografado
O aspecto mais preocupante é que o bypass continua possível mesmo em cenários utilizando TPM+PIN.
Como o bypass do BitLocker funciona?
Embora os detalhes completos ainda não tenham sido totalmente documentados publicamente, a vulnerabilidade parece explorar comportamento relacionado ao sistema transacional NTFS durante o WinRE.
O pesquisador Will Dormann conseguiu reproduzir o problema utilizando apenas um pendrive conectado ao sistema.
Segundo Dormann:
Fluxo conceitual observado:
FsTx → manipulação NTFS transacional → alteração do WinRE → execução cmd.exe → acesso ao volume desbloqueadoA parte mais crítica do caso envolve o fato de que um volume aparentemente consegue modificar arquivos presentes em outro volume durante o processo de recuperação do Windows.
Por que o YellowKey é considerado tão grave?
O BitLocker é amplamente utilizado como uma das principais camadas de proteção contra acesso físico não autorizado em dispositivos Windows.
Em ambientes corporativos, ele protege:
- Notebooks corporativos
- Servidores Estações administrativas
- Endpoints remotos
- Dispositivos governamentais
- Máquinas contendo dados sensíveis
O problema do YellowKey é que ele atinge justamente o ambiente de recuperação do Windows, um componente altamente privilegiado.
Se explorado com sucesso, o atacante pode:
- Obter acesso ao sistema descriptografado
- Ler arquivos sensíveis
- Extrair credenciais
- Copiar bancos de dados
- Modificar arquivos offline
- Realizar persistência
Mesmo assim, em cenários corporativos, laboratórios, aeroportos, roubos de dispositivos ou ambientes compartilhados, esse tipo de vulnerabilidade continua extremamente relevante.
GreenPlasma: escalonamento SYSTEM via CTFMON
A segunda vulnerabilidade divulgada foi apelidada de GreenPlasma.
Ela afeta o Windows Collaborative Translation Framework (CTFMON), componente utilizado internamente pelo Windows para gerenciamento de entrada de texto e frameworks de tradução/input.
Segundo o pesquisador, a vulnerabilidade permite:
| Componente | Impacto |
| CTFMON | Criação arbitrária de seções de memória |
| Objetos privilegiados | Manipulação indireta |
| Usuário padrão | Possível escalonamento para SYSTEM |
A prova de conceito divulgada ainda está incompleta, mas demonstra a capacidade de criar objetos arbitrários de seção de memória em diretórios graváveis pelo SYSTEM.
Fluxo conceitual:
usuário sem privilégios → criação arbitrária de seção → abuso de objetos privilegiados → escalonamento SYSTEMComo o GreenPlasma pode ser explorado?
Segundo as informações divulgadas, o ataque explora a confiança implícita de serviços e drivers privilegiados em determinados caminhos internos do sistema.
Na prática:
- Usuário comum cria objeto arbitrário
- Serviço privilegiado acessa objeto confiando no caminho
- Manipulação ocorre em contexto elevado
- Escalonamento de privilégios acontece
O pesquisador afirma que o exploit ainda não contém o trecho final responsável por gerar shell SYSTEM completo.
Mesmo assim, a vulnerabilidade já demonstra potencial significativo para abuso local.
Relação com BlueHammer, RedSun e UnDefend
As novas divulgações acontecem poucas semanas após Chaotic Eclipse divulgar outras vulnerabilidades críticas relacionadas ao Microsoft Defender.
As falhas anteriores incluem:
| Codinome | Status |
| BlueHammer | Corrigida (CVE-2026-33825) |
| RedSun | Corrigida silenciosamente |
| UnDefend | Divulgação pública anterior |
Segundo o pesquisador, algumas vulnerabilidades teriam sido corrigidas sem comunicação clara da Microsoft.
Em declaração pública, ele afirmou:
O pesquisador também prometeu uma "grande surpresa" relacionada à próxima Patch Tuesday da Microsoft em junho de 2026.
Novo ataque de downgrade contra o BitLocker
Além do YellowKey, pesquisadores da Intrinsec também divulgaram recentemente uma nova cadeia de ataque envolvendo downgrade do boot manager do Windows.
O ataque explora a CVE-2025-48804.
| CVE | Impacto | CVSS |
| CVE-2025-48804 | Downgrade do boot manager / bypass BitLocker | 6.8 |
O problema envolve manipulação de arquivos SDI e WIM durante o processo de boot.
Fluxo simplificado:
bootmgfw.efi vulnerável → WIM modificado → WinRE infectado → cmd.exe → BitLocker desbloqueadoSegundo os pesquisadores, a Secure Boot verifica apenas a assinatura do binário e não necessariamente sua versão.
Isso permite carregar versões antigas e vulneráveis do boot manager ainda assinadas com certificados válidos.
Conclusão
As vulnerabilidades YellowKey e GreenPlasma mostram como componentes internos do Windows continuam oferecendo caminhos complexos para bypass de segurança e escalonamento de privilégios.
O caso YellowKey é especialmente preocupante porque demonstra um possível bypass do BitLocker diretamente através do ambiente de recuperação do Windows, inclusive em cenários protegidos por TPM.
Já o GreenPlasma reforça como frameworks internos pouco observados, como o CTFMON, ainda podem abrir caminhos inesperados para obtenção de privilégios SYSTEM.
Somado aos casos recentes envolvendo BlueHammer, RedSun e ataques de downgrade do BitLocker, o cenário indica aumento na pesquisa ofensiva focada em:
- Boot process WinRE
- BitLocker Secure Boot
- Drivers privilegiados
- Objetos internos do Windows CTF
- Framework Microsoft Defender
Para ambientes corporativos, o momento exige atenção especial a proteção física, políticas de boot, criptografia pré-inicialização e endurecimento de endpoints Windows.
