Anteriormente, um especialista em cibersegurança usando o pseudônimo Nightmare-Eclipse descreveu vulnerabilidades que denominou YellowKey e GreenPlasma e chegou a criar exploits para elas. A Microsoft ofereceu uma solução alternativa temporária para o problema do YellowKey.
Fonte da imagem: BoliviaInteligente / unsplash.com
O ataque YellowKey explora uma vulnerabilidade no Ambiente de Recuperação do Windows (WinRE) que pode ser usada para burlar a criptografia do BitLocker. A Microsoft ainda não corrigiu completamente essa vulnerabilidade, mas propôs uma mitigação parcial, que exigirá algumas ações por parte dos administradores de sistema. A melhor maneira de se proteger contra o YellowKey, segundo a Microsoft, é configurar o BitLocker para acessar simultaneamente o TPM e exigir um PIN; também é possível remover o arquivo AutoFSTX.exe do BootExecute no WinRE. Usuários do BitLocker cujos sistemas já estão protegidos por um PIN não precisam se preocupar com o YellowKey; os demais são aconselhados a seguir as instruções da Microsoft e executar um script para resolver o problema.
Especialistas em cibersegurança da LevelBlue estudaram as vulnerabilidades expostas pelo Nightmare-Eclipse e observaram que a Microsoft ainda não resolveu a maioria dos problemas. A empresa protegeu o Windows contra a exploração do BlueHammer para o Windows Defender, mas não contra o RedSun e o UnDefend. O ataque YellowKey foi parcialmente mitigado, mas o problema com a vulnerabilidade GreenPlasma permanece sem solução — felizmente, o pesquisador não o divulgou por completo.
Em relação ao YellowKey, os especialistas da LevelBlue recomendaram desativar a inicialização a partir de unidades USB nos sistemas, ativar o mecanismo ASR no Microsoft Defender e tomar outras precauções. Deve-se observar que a exploração das vulnerabilidades identificadas requer acesso direto ao computador ou acesso remoto por meio de credenciais comprometidas — por exemplo, através de uma conta VPN roubada.