Un chercheur anonyme qui signe l'Eclipse Chaotique / Nightmare -Eclipse a encore une fois secoué l'écosystème Windows avec deux nouveaux zéro- jours - baptisé par lui comme Clé jaune et GreenPlasma- qui indiquent la surface d'attaque physique et la logique de privilège du système d'exploitation. Bien que les détails techniques soient encore en cours d'analyse et que Microsoft n'ait pas publié d'avis public sur ces échecs, la description du chercheur et les reproductions indépendantes font état de graves problèmes dans le fonctionnement de WinRE (Windows Recovery Environment) et du sous-système CTFMON, respectivement, qui méritent une attention immédiate de la part des administrateurs et des utilisateurs avancés.
YellowKey, selon le chercheur, permet à BitLocker de sauter lorsque l'ordinateur démarre sur WinRE après avoir inséré un lecteur USB qui contient des fichiers spécialement manipulés dans un\ Information de volume système\ dossier FsTx. L'opération décrite nécessite le redémarrage de WinRE avec l'USB connecté et, avec une séquence spécifique (par exemple en maintenant CTRL pour forcer un shell), une invite cmd.exe est obtenue avec le lecteur chiffré déjà accessible. Des chercheurs indépendants ont reproduit le vecteur et pointé vers un comportement anormal des opérateurs de type transactionnel NTFS qui permettent aux données dans une unité d'affecter le contenu d'une autre, qui non seulement endommage la confidentialité de BitLocker mais expose également une classe de corruption entre les volumes qui mérite une analyse approfondie.
GreenPlasma est situé dans un autre flanc : une élévation des privilèges associés à la création arbitraire de sections de mémoire par CTFMON, le composant historique qui gère l'entrée de texte et les services linguistiques sur Windows. Bien que le PdC publié par le chercheur soit incomplet et ne parvienne pas à fournir un shell SYSTEM final à lui seul, le vecteur décrit permettrait à un utilisateur non privilégié de créer des objets sur des itinéraires qui devraient être limités à des processus à haut privilège, ce qui peut faciliter la manipulation de services ou de conducteurs qui font implicitement confiance à ces itinéraires.
Ces révélations ne viennent pas dans le vide: le même chercheur avait publié le mois dernier trois zéro jours qui ont affecté Microsoft Defender (BlueHammer, RedSun et UnDefense), et qui, selon lui, n'ont pas été gérés à leur satisfaction par Microsoft. La situation s'est aggravée pour transformer la divulgation en pression publique; Microsoft réaffirme qu'elle appuie la coordination de la divulgation et qu'elle enquête sur les rapports par l'intermédiaire de son centre d'intervention en matière de sécurité ( Centre de réponse de sécurité de Microsoft) mais la dynamique entre chercheurs et fournisseurs est maintenant l'un des facteurs qui conditionne la vitesse et la transparence des patchs.
Parallèlement, des rapports publiés par la firme française Intrinsec reprennent une technique différente de la dérivation à BitLocker qui profite d'une régression dans le gestionnaire de démarrage et de la vérification des images WinRE pour charger un WIM contrôlé par l'attaquant. Cette technique, liée à la CVE publiquement appelée CVE-2025-48804, montre que la chaîne de confiance de démarrage peut échouer si une version vulnérable de bootmgfw.efi signée par un certificat encore fiable (PCA 2011) peut être chargée; l'atténuation stratégique de ce problème passe par la migration vers des certificats plus récents (CA 2023) et la révocation des anciens, en plus de garder Secure Boot et firmware à jour. Plus de contexte sur BitLocker et les meilleures pratiques sont disponibles dans la documentation officielle de Microsoft ( BitLocker - Microsoft Apprendre) et dans les bases de données sur la vulnérabilité du public telles que NVD ( CVE-2025-48804).
Qu'est-ce que cela signifie pour les entreprises et les utilisateurs? D'abord, il est crucial de comprendre le vecteur: beaucoup de ces techniques exigent accès physique à l'équipement (insertion USB, manipulation des partitions EFI, démarrage externe des médias). Cette exigence ne les rend pas triviaux, mais elle les rend très dangereux dans des environnements où le contrôle physique de l'accès est faible (bureaux partagés, salle de classe, dispositifs de transit). Deuxièmement, l'existence de défaillances dans WinRE et dans le sous-système de gestion de la mémoire signifie que se défendre avec des politiques logicielles ne suffit pas; des contrôles de démarrage, un firmware et des processus de réponse sont nécessaires.
Les actions spécifiques et prioritaires qui devraient être considérées comme des gestionnaires et des utilisateurs avancés comprennent: appliquer toutes les mises à jour et firmware Windows dès qu'ils sont disponibles; configurer BitLocker avec forte authentification pré-démarrage(p. ex. TPM + PIN ou startup PIN) et éviter de s'appuyer exclusivement sur la protection TPM sans PIN - bien que le chercheur affirme que son explosion affecte également TPM + PIN, un PIN au moins augmente la barrière contre plusieurs vecteurs physiques -; force la migration du gestionnaire de démarrage à mettre à jour les certificats et déployer la révocation des anciennes signatures dans des environnements gérés; et minimise l'exposition aux médias amovibles par des politiques qui limitent l'exécution automatique et enregistrent l'insertion d'unités USB. En outre, dans les environnements d'entreprise, il est approprié de déployer des contrôles tels que Windows Defender Application Control (WDAC) ou AppLocker pour limiter l'exécution de binaires non autorisés et les règles BitLocker qui désactivent WinRE ou limitent ses fonctions sur les équipements critiques.
De la détection et de la réponse, je recommande d'auditionner l'existence de\ Information sur le volume système\ FsTx répertoires dans des volumes amovibles et d'examiner le démarrage et le journal WinRE pour les événements inhabituels; il est également prudent pour les équipes de fin de journée de surveiller la création de sections de mémoire et la gestion des objets de répertoire par des processus avec un faible privilège. Pour les organisations plus sérieuses, la ségrégation physique des dispositifs critiques et l'utilisation de mesures telles que les gestionnaires de démarrage signés par le matériel ou la prévention externe de démarrage par l'intermédiaire de l'UEFI/firmware sont des investissements raisonnables.
Enfin, cette série de divulgations illustre deux choses: d'une part, que la zone d'attaque physique et de récupération du système reste un vecteur attrayant et incompris; d'autre part, que les relations entre chercheurs et fabricants déterminent dans une large mesure comment et quand les risques sont atténués. Il est légitime d'exiger une plus grande transparence et des processus de réponse plus agiles, mais il incombe également aux gestionnaires et aux utilisateurs de mettre en œuvre les mesures disponibles aujourd'hui pour réduire le champ d'exposition. Maintenir les patchs, durcir le pré-démarrage et contrôler l'accès physique sont, pour l'instant, les défenses les plus efficaces contre les menaces telles que YellowKey et GreenPlasma.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...