Um pesquisador anônimo que assina como Chaotic Eclipse / Nightmare-Eclipse voltou a sacudir o ecossistema Windows com dois novos zero-days —bautizados por ele como YellowKey e GreenPlasma — que apontam para a superfície de ataque físico e para a lógica de privilégios do sistema operacional. Embora os detalhes técnicos ainda estejam sendo analisados e a Microsoft não publicou um advisory público que abarque estas falhas, a descrição do pesquisador e as reproduções independentes apontam problemas sérios no funcionamento do WinRE (Windows Recovery Environment) e no subsistema CTFMON, respectivamente, que merecem atenção imediata por parte de administradores e usuários avançados.
YellowKey, de acordo com o pesquisador, permite saltar BitLocker quando a equipe arranca em WinRE após inserir uma unidade USB que contém arquivos especialmente manipulados em uma pasta \System Volume Information\FsTx. A exploração descrita exige reiniciar em WinRE com o USB conectado e, com uma sequência concreta (por exemplo, mantendo o CTRL para forçar um shell), obtém-se um prompt de cmd.exe com a unidade cifrada já acessível. Pesquisadores independentes replicaram o vetor e apontam para um comportamento anómalo de funcionamento tipo Transactional NTFS que permitem que dados em uma unidade afetem o conteúdo de outra, o que não só prejudica a confidencialidade de BitLocker, mas também expõe uma classe de corrupção entre volumes que merece uma análise profunda.
GreenPlasma se situa em outro flanco: uma elevação de privilégios associada à criação arbitrária de seções de memória por parte de CTFMON, o componente histórico que gerencia a entrada de texto e serviços de língua no Windows. Embora o PoC publicado pelo pesquisador esteja incompleto e não consiga entregar por si só um shell SYSTEM final, o vetor descrito permitiria que um usuário sem privilégios crie objetos em rotas que deveriam estar limitadas a processos de alto privilégio, o que pode facilitar manipulações de serviços ou drivers que confiam implicitamente nessas rotas.
Essas revelações não chegam em vazio: o mesmo pesquisador havia publicado no mês passado três zero-days que afetavam a Microsoft Defender (BlueHammer, RedSun e UnDefend), e que, segundo ele, não foram gerenciadas à sua satisfação por parte da Microsoft. A situação tem escalado até converter a divulgação em pressão pública; a Microsoft reafirma que apoia a coordenação na divulgação e que investiga relatos através de seu centro de resposta de segurança ( Microsoft Security Response Center), mas a dinâmica entre pesquisadores e fornecedores é agora um dos fatores que condiciona a velocidade e a transparência dos adesivos.
Em paralelo, relatos publicados pela assinatura francesa Intrinsec retomaram uma técnica diferente de bypass a BitLocker que aproveita uma regressão no gestor de arranque (boot manager) e a verificação de imagens WinRE para carregar um WIM controlado pelo atacante. Essa técnica, ligada ao CVE referenciado publicamente como CVE‐2025‐48804, mostra que a cadeia de confiança de arranque pode falhar se uma versão vulnerável de bootmgfw.efi assinada por um certificado ainda confiável (PCA 2011) pode ser carregada; a mitigação estratégica para este problema passa por migrar para certificados mais recentes (CA 2023) e revogar os antigos, além de manter o Secure Boot e o firmware atualizados. Mais contexto sobre BitLocker e práticas recomendadas estão disponíveis na documentação oficial da Microsoft ( BitLocker - Microsoft Learn) e em bases de dados públicas de vulnerabilidades como NVD ( CVE-2025-48804).
O que isso significa para empresas e usuários? Primeiro, é crucial entender o vetor: muitas dessas técnicas requerem acesso físico ao equipamento (inserção USB, manipulação de partições EFI, inicialização de meios externos). Esse requisito não as torna trivial, mas sim as torna muito perigosas em ambientes onde o controle de acesso físico é fraco (oficinas compartilhadas, salas de aula, dispositivos em trânsito). Segundo, a existência de falhas em WinRE e no subsistema de manejo de memória implica que se defender apenas com políticas de software não é suficiente; são necessários controles de arranque, firmware e processos de resposta.
Acções concretas e prioritárias a considerar administradores e usuários avançados incluem: aplicar todas as atualizações do Windows e firmware assim que estiverem disponíveis; configurar o BitLocker com autenticação prearranque forte(por exemplo, TPM+PIN ou start-up PIN) e evitar confiar exclusivamente na proteção TPM sem PIN (embora o pesquisador afirme que seu exploit afeta também TPM+PIN, um PIN pelo menos aumenta a barreira contra vários vetores físicos); forçar a migração do gestor de arranque a certificados atualizados e implantar revogação de assinaturas antigas em ambientes gerenciados; e minimizar a exposição a meios removíveis através de políticas que restrinjam a execução automática e registram a inserção de unidades USB. Além disso, em ambientes corporativos, é conveniente implantar controles como Windows Defender Application Control (WDAC) ou AppLocker para limitar a execução de binários não autorizados e regras de BitLocker que desfazem WinRE ou limitem suas funções em equipamentos críticos.
Desde a detecção e resposta, recomendo auditar a existência de diretórios \System Volume Information\FsTx em volumes removíveis e revisar logs de arranque e de WinRE para eventos incomuns; também é prudente que os equipamentos de endpoint monitorizem a criação de seções de memória e a manipulação de objetos de diretório por processos com baixo privilégio. Para organizações mais sérias, a segregação física de dispositivos críticos e a utilização de medidas como gestores de arranque assinados por hardware ou prevenção de arranque de meios externos através da UEFI/firmware são investimentos razoáveis.
Finalmente, esta série de divulgações ilustra duas coisas: por um lado, que a superfície de ataque físico e de recuperação do sistema continua sendo um vetor atraente e pouco compreendido; por outro, que as relações entre pesquisadores e fabricantes determinam em grande medida como e quando os riscos são atenuados. É legítimo exigir maior transparência e processos mais ágils de resposta, mas também é responsabilidade de administradores e usuários aplicar as medidas disponíveis hoje para reduzir a janela de exposição. Manter adesivos, endurecer pré-arranque e controlar o acesso físico são agora as defesas mais eficazes contra ameaças como YellowKey e GreenPlasma.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...