Ein anonymer Forscher, der als Chaotic Eclipse / Nightmare -Eclipse unterschreibt, hat das Windows-Ökosystem wieder mit zwei neuen Nulltagen geschüttelt - getauft von ihm als Gelbe Augen und GrünPlasma- die auf die physikalische Angriffsfläche und die Privileglogik des Betriebssystems hinweisen. Obwohl technische Details noch analysiert werden und Microsoft keine öffentliche Beratung zu diesen Fehlern veröffentlicht hat, weisen die Beschreibung und unabhängige Reproduktionen des Forschers auf ernste Probleme im Betrieb von WinRE (Windows Recovery Environment) bzw. im CTFMON Subsystem hin, die unmittelbare Aufmerksamkeit von fortgeschrittenen Administratoren und Benutzern verdienen.
YellowKey, nach dem Forscher, ermöglicht BitLocker zu springen, wenn der Computer auf WinRE beginnt, nachdem ein USB-Laufwerk, das speziell manipulierte Dateien in einem \ System Volume Information\ FsTx Ordner enthält. Die beschriebene Operation erfordert den Neustart von WinRE mit dem USB-Anschluss und mit einer bestimmten Sequenz (z.B. durch Aufrechterhaltung von CTRL, um eine Shell zu zwingen), eine cmd.exe Aufforderung mit dem verschlüsselten Laufwerk bereits zugänglich. Unabhängige Forscher haben den Vektor repliziert und weisen auf ein anomales Verhalten von transaktionalen NTFS-Typ-Agenten hin, die es erlauben, dass Daten in einer Einheit den Inhalt einer anderen beeinflussen, die nicht nur BitLockers Vertraulichkeit beschädigen, sondern auch eine Klasse von Korruption zwischen Volumen, die eine eingehende Analyse verdient.
GreenPlasma befindet sich in einer anderen Flanke: eine Erhebung von Privilegien, die mit der willkürlichen Erstellung von Speicherabschnitten von CTFMON verbunden sind, die historische Komponente, die Texteingabe und Sprachdienste unter Windows verwaltet. Obwohl die vom Forscher veröffentlichte PoC unvollständig ist und es nicht schafft, eine endgültige SYSTEM-Shell auf eigene Faust zu liefern, würde der beschriebene Vektor es einem unprivilegierten Benutzer ermöglichen, Objekte auf Strecken zu erstellen, die auf Hochprivileg-Prozesse beschränkt sein sollten, die Manipulationen von Diensten oder Fahrern erleichtern können, die diesen Strecken implizit vertrauen.
Diese Offenbarungen kommen nicht im Vakuum: derselbe Forscher hatte im letzten Monat drei Zerodays veröffentlicht, die Microsoft Defender (BlueHammer, RedSun und UnDefense) betroffen, und dass, nach ihm, wurden nicht zu ihrer Zufriedenheit von Microsoft verwaltet. Die Situation hat eskaliert, die Offenlegung in den öffentlichen Druck zu verwandeln; Microsoft bekräftigt, dass es die Koordinierung in der Offenlegung unterstützt und Berichte über sein Sicherheits-Ansprechzentrum untersucht ( Microsoft Security Response Center), aber die Dynamik zwischen Forschern und Lieferanten ist jetzt einer der Faktoren, die die Geschwindigkeit und Transparenz der Patches beeinträchtigen.
Parallel dazu haben die von der französischen Firma Intrinsec veröffentlichten Berichte eine andere Technik von Bypass bis BitLocker wieder aufgenommen, die eine Regression im Boot-Manager und die Überprüfung von WinRE-Bildern nutzt, um eine vom Angreifer kontrollierte WIM zu laden. Diese Technik, verbunden mit der CVE öffentlich als CVE-2025-48804 bezeichnet, zeigt, dass die Boot-Vertrauenskette scheitern kann, wenn eine verletzliche Version von bootmgfw.efi, die von einem noch zuverlässigen Zertifikat (PCA 2011) unterzeichnet wird, geladen werden kann; die strategische Abschwächung für dieses Problem geht durch Migration auf neuere Zertifikate (CA 2023) und revoking the Olds, zusätzlich zu Secure Boot und Fir. Mehr Kontext zu BitLocker und Best Practices sind in Microsoft offizielle Dokumentation ( BitLocker - Microsoft Lernen) und in öffentlichen Verwundbarkeitsdatenbanken wie NVD ( CVE-2025-48804)
Was bedeutet das für Unternehmen und Nutzer? Zunächst ist es entscheidend, den Vektor zu verstehen: viele dieser Techniken erfordern physischer Zugang zum Gerät (USB-Einfügen, EFI-Partitionen Handling, externe Medien boot). Diese Anforderung macht sie nicht trivial, aber sie macht sie sehr gefährlich in Umgebungen, in denen die physische Zutrittskontrolle schwach ist (Außenbüros, Klassenzimmer, Durchgangsgeräte). Zweitens bedeutet die Existenz von Fehlern in WinRE und im Teilsystem Speicherverwaltung, dass die Verteidigung selbst mit Softwarerichtlinien nicht ausreicht; Bootsteuerungen, Firmware und Antwortprozesse werden benötigt.
Spezifische und prioritäre Aktionen, die als fortgeschrittene Manager und Benutzer betrachtet werden sollten, umfassen: alle Windows-Updates und Firmware anwenden, sobald sie verfügbar sind; BitLocker mit starke Vorboot-Authentifizierung(z.B. TPM + PIN oder Start-PIN) und vermeiden, ausschließlich auf TPM-Schutz ohne PIN zu vertrauen - obwohl der Forscher behauptet, dass seine Explosion auch TPM + PIN betrifft, erhöht eine PIN zumindest die Barriere gegen mehrere physikalische Vektoren -, zwingt die Migration des Boot-Managers auf aktualisierte Zertifikate und setzt den Widerruf von alten Signaturen in verwalteten Umgebungen ein; und minimiert die Exposition auf abnehmbare Medien durch Richtlinien, die automatische Ausführung und Aufnahme von USB-Einheiten. Darüber hinaus ist es in Unternehmensumgebungen angebracht, Steuerungen wie Windows Defender Application Control (WDAC) oder AppLocker zu implementieren, um die Ausführung von nicht autorisierten Binaries und BitLocker Regeln zu begrenzen, die WinRE deaktivieren oder seine Funktionen auf kritische Geräte begrenzen.
Von der Erkennung und Antwort empfehle ich, die Existenz von \ System Volume Information \ FsTx Verzeichnissen in abnehmbaren Volumes und Überprüfung Start und WinRE Log für ungewöhnliche Ereignisse zu auditieren; es ist auch für Endpoint-Teams zu überwachen die Erstellung von Speicherabschnitten und die Handhabung von Verzeichnisobjekten durch Prozesse mit niedrigem Privileg. Für ernsthaftere Organisationen sind die physische Trennung kritischer Geräte und die Verwendung von Maßnahmen wie Hardware-signed Start Manager oder externe Start-up-Prävention durch UEFI / Firmware sinnvolle Investitionen.
Schließlich zeigt diese Reihe von Divulgationen zwei Dinge: einerseits, dass der Bereich der physischen Attacke und Systemwiederherstellung ein attraktiver und unverständlicher Vektor bleibt; andererseits bestimmen die Beziehungen zwischen Forschern und Herstellern, wie und wann Risiken gemildert werden. Es ist legitim, größere Transparenz und agilere Reaktionsprozesse zu fordern, aber es ist auch die Verantwortung der Manager und Anwender, die heute zur Verfügung stehenden Maßnahmen zur Verringerung des Expositionsfensters umzusetzen. Die Aufrechterhaltung von Patches, das Aushärten von Pre-Boot und die Kontrolle des physischen Zugriffs sind jetzt die effektivsten Abwehrmaßnahmen gegen Bedrohungen wie YellowKey und GreenPlasma.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...