Um pesquisador de cibersegurança que usa o pseudônimo Chaotic Eclipse (ou Nightmare Eclipse) publicou diagramas funcionais que demonstram como explorar vulnerabilidades de dia zero no Windows — um que permite invadir o sistema de criptografia BitLocker e outro que permite elevar os privilégios do usuário a privilégios de sistema.
Fonte da imagem: github.com/Nightmare-Eclipse
O Chaotic Eclipse decidiu publicar padrões de ataque em protesto contra a política da Microsoft — a gigante do software, segundo o especialista, não divulga vulnerabilidades do Windows, mas simplesmente as corrige nos bastidores. A primeira vulnerabilidade, apelidada de “YellowKey”, permite burlar a proteção BitLocker no Windows 11 e no Windows Server 2022/2025. Ela se origina de um recurso específico de implementação: ao usar o TPM, o BitLocker descriptografa automaticamente as unidades, eliminando a necessidade de o usuário inserir uma senha a cada vez.
Para enganar o sistema, o atacante grava transações NTFS falsificadas em um pen drive ou partição EFI em arquivos FsTx. Essas transações são executadas automaticamente quando o atacante entra no modo de recuperação do sistema WinRE e inicia o shell enquanto mantém pressionada a tecla Ctrl. Como resultado, ao entrar no modo de recuperação, um hipotético atacante vê não o ambiente de recuperação real do Windows, mas uma interface de linha de comando com o “cmd.exe” em execução. É importante ressaltar que o disco já está descriptografado, permitindo o acesso a todos os seus dados.
Especialistas sugerem que esse ataque pode ser protegido exigindo um PIN antes de entrar no modo de recuperação do Windows. O autor da vulnerabilidade, no entanto, afirma ter uma versão do ataque para esse cenário, mas não a publicou. Também é importante destacar que esse esquema de ataque só funciona com acesso ao computador alvo — roubar o disco e descriptografá-lo em outro lugar é impossível.
A exploração da vulnerabilidade GreenPlasma permite que qualquer usuário eleve seus privilégios para SYSTEM. O ataque se baseia no fato de que certos componentes, como serviços e drivers privilegiados, confiam em objetos na memória com base em sua localização, sem verificar o proprietário desses objetos. A Chaotic Eclipse se recusou a publicar o modelo de ataque completo, mas esclareceu que um analista suficientemente qualificado poderia modificá-lo de forma independente e elevar os privilégios de qualquer usuário para SYSTEM. A exploração permite que os usuários coloquem objetos personalizados nessas áreas de memória confiáveis, manipulando dados e vários serviços, incluindo drivers em modo kernel.
A Microsoft já respondeu ao incidente, prometendo lançar atualizações que corrigem essas vulnerabilidades o mais rápido possível. “Também apoiamos a divulgação coordenada de vulnerabilidades, uma prática comum no setor que facilita investigações completas e a correção de problemas antes que sejam divulgados publicamente, protegendo tanto os clientes quanto a comunidade de pesquisa em segurança”, disse um representante da empresa ao BleepingComputer.