Um investigador de segurança informática publicou recentemente códigos de exploração funcional (PoC) para duas novas vulnerabilidades no Microsoft Windows. Denominadas de YellowKey e GreenPlasma, as falhas — ainda sem qualquer correção lançada — permitem contornar a proteção do BitLocker e escalar privilégios dentro do sistema, deixando os computadores expostos a acessos indevidos.
O especialista, conhecido online pelos pseudónimos Chaotic Eclipse ou Nightmare Eclipse, revelou as falhas em protesto contra a forma como a Microsoft tem gerido os seus relatórios de segurança. O caso repete o padrão de divulgações anteriores do mesmo autor, que já havia exposto as falhas BlueHammer e RedSun — ambas exploradas ativamente pouco depois de se tornarem públicas. Prometendo continuar a divulgar vulnerabilidades não documentadas, o investigador deixou ainda o aviso de que prepara "uma grande surpresa" para a próxima Patch Tuesday da Microsoft.
O desvio crítico do YellowKey
A vulnerabilidade YellowKey afeta diretamente o Windows 11 e o Windows Server (versões 2022 e 2025). Na prática, funciona como uma porta traseira no Ambiente de Recuperação do Windows (WinRE). Para a explorar, basta colocar ficheiros modificados do tipo "FsTx" numa pen USB ou na partição EFI do sistema. Ao reiniciar a máquina no modo de recuperação e pressionar a tecla CTRL, o atacante consegue abrir uma linha de comandos com acesso total e irrestrito ao disco, contornando a encriptação.
Investigadores independentes, incluindo Kevin Beaumont e Will Dormann, confirmaram a eficácia do ataque. Dormann explicou que a falha explora transações NTFS combinadas com a imagem de recuperação, forçando o sistema a apagar ficheiros críticos de arranque e a lançar a consola de comandos antes de solicitar o PIN de desbloqueio.
Embora a demonstração pública exija acesso físico ao dispositivo original (onde o módulo TPM guarda as chaves), o autor do descobrimento garante que a falha central vai mais além. Segundo Chaotic Eclipse, o problema persiste mesmo em ambientes protegidos por TPM conjugado com um PIN, embora tenha optado por não partilhar o código para esse cenário mais avançado por considerar a situação "suficientemente grave".
A ameaça silenciosa do GreenPlasma
A segunda falha revelada, o GreenPlasma, foca-se na escalada local de privilégios através do processo ctfmon do Windows. Esta vulnerabilidade permite que um utilizador comum crie secções de memória arbitrárias em diretórios que apenas o sistema central deveria controlar.
Ao manipular estas secções, torna-se possível enganar serviços críticos e controladores do kernel, levando-os a confiar em caminhos de ficheiros maliciosos. Embora o código partilhado no GitHub esteja intencionalmente incompleto para evitar a obtenção imediata de permissões máximas (SYSTEM), o investigador garante que a estrutura base permite alcançar o controlo total do sistema.
A par destas revelações, o especialista acusou ainda a empresa de ter corrigido a falha anterior (RedSun) de forma silenciosa e sem lhe atribuir a devida identificação oficial, justificando assim a sua postura mais agressiva, conforme detalhado no boletim de segurança oficial.
Confrontada com a situação, a Microsoft reiterou o seu compromisso em investigar todas as falhas reportadas para proteger os utilizadores o mais rapidamente possível. A tecnológica defendeu a importância da divulgação coordenada de vulnerabilidades como o método padrão da indústria para garantir que os problemas são resolvidos em segurança antes de serem expostos ao público, segundo a informação partilhada pela empresa no seu site oficial.
Nenhum comentário
Seja o primeiro!