Foi descoberta uma vulnerabilidade no Windows que permite quebrar a criptografia BitLocker em unidades de disco, possibilitando o acesso aos dados sem a necessidade de senha.

Um pesquisador de cibersegurança que usa o pseudônimo Chaotic Eclipse (ou Nightmare Eclipse) publicou diagramas funcionais que demonstram como explorar vulnerabilidades de dia zero no Windows — um que permite invadir o sistema de criptografia BitLocker e outro que permite elevar os privilégios do usuário a privilégios de sistema.

Fonte da imagem: github.com/Nightmare-Eclipse

O Chaotic Eclipse decidiu publicar padrões de ataque em protesto contra a política da Microsoft — a gigante do software, segundo o especialista, não divulga vulnerabilidades do Windows, mas simplesmente as corrige nos bastidores. A primeira vulnerabilidade, apelidada de “YellowKey”, permite burlar a proteção BitLocker no Windows 11 e no Windows Server 2022/2025. Ela se origina de um recurso específico de implementação: ao usar o TPM, o BitLocker descriptografa automaticamente as unidades, eliminando a necessidade de o usuário inserir uma senha a cada vez.

Para enganar o sistema, o atacante grava transações NTFS falsificadas em um pen drive ou partição EFI em arquivos FsTx. Essas transações são executadas automaticamente quando o atacante entra no modo de recuperação do sistema WinRE e inicia o shell enquanto mantém pressionada a tecla Ctrl. Como resultado, ao entrar no modo de recuperação, um hipotético atacante vê não o ambiente de recuperação real do Windows, mas uma interface de linha de comando com o “cmd.exe” em execução. É importante ressaltar que o disco já está descriptografado, permitindo o acesso a todos os seus dados.

Especialistas sugerem que esse ataque pode ser protegido exigindo um PIN antes de entrar no modo de recuperação do Windows. O autor da vulnerabilidade, no entanto, afirma ter uma versão do ataque para esse cenário, mas não a publicou. Também é importante destacar que esse esquema de ataque só funciona com acesso ao computador alvo — roubar o disco e descriptografá-lo em outro lugar é impossível.

A exploração da vulnerabilidade GreenPlasma permite que qualquer usuário eleve seus privilégios para SYSTEM. O ataque se baseia no fato de que certos componentes, como serviços e drivers privilegiados, confiam em objetos na memória com base em sua localização, sem verificar o proprietário desses objetos. A Chaotic Eclipse se recusou a publicar o modelo de ataque completo, mas esclareceu que um analista suficientemente qualificado poderia modificá-lo de forma independente e elevar os privilégios de qualquer usuário para SYSTEM. A exploração permite que os usuários coloquem objetos personalizados nessas áreas de memória confiáveis, manipulando dados e vários serviços, incluindo drivers em modo kernel.

A Microsoft já respondeu ao incidente, prometendo lançar atualizações que corrigem essas vulnerabilidades o mais rápido possível. “Também apoiamos a divulgação coordenada de vulnerabilidades, uma prática comum no setor que facilita investigações completas e a correção de problemas antes que sejam divulgados publicamente, protegendo tanto os clientes quanto a comunidade de pesquisa em segurança”, disse um representante da empresa ao BleepingComputer.

admin

Postagens recentes

OpenAI esgotou todos os teclados Codex Micro em menos de 24 horas

\nO teclado compacto Codex Micro, resultado de um desenvolvimento conjunto da OpenAI e do fabricante…

17 minutos atrás

“O confronto um-a-um é ótimo”: os desenvolvedores de Call of Duty: Modern Warfare 4 não tiveram medo da concorrência com GTA VI

\nO codiretor do estúdio americano Infinity Ward, Mark Grigsby, em entrevista ao Destructoid, falou sobre…

1 hora atrás

O agente de IA Claude poderá usar credenciais do 1Password, mas não poderá ver as senhas

\nO gerenciador de senhas e chaves digitais 1Password introduziu uma nova integração de navegador para…

2 horas atrás

Uma onda de bloqueio de contas varreu o Instagram – os usuários culpam a IA

\nNas últimas semanas, as reclamações de usuários do Instagram se tornaram mais frequentes✴sobre um aumento…

2 horas atrás

Samsung é objeto de uma nova investigação de patente nos EUA após uma reclamação da Netlist

\nOs EUA iniciaram uma investigação contra a Samsung por causa de patentes da Netlist\n\nA Comissão…

2 horas atrás