Un investigador anónimo de ciberseguridad, conocido en línea como Chaotic Eclipse y Nightmare-Eclipse, ha revelado dos nuevas vulnerabilidades de día cero después de haber divulgado previamente tres fallas de **Microsoft Defender**. Las nuevas vulnerabilidades, denominadas **YellowKey** y **GreenPlasma**, representan riesgos significativos para los sistemas **Windows**. ### YellowKey: Elusión de BitLocker **YellowKey**, descrita por el investigador como "uno de los descubrimientos más insólitos que he encontrado", es una vulnerabilidad de elusión de **BitLocker** que afecta a **Windows 11** y **Windows Server 2022/2025**. Esta vulnerabilidad reside dentro del **Entorno de Recuperación de Windows (WinRE)**. El ataque implica copiar archivos "FsTx" manipulados a una unidad USB o a la partición EFI. Arrancar la computadora **Windows** objetivo (con **BitLocker** habilitado) en **WinRE** y activar una shell (manteniendo presionada la tecla CTRL) permite la elusión. El investigador señaló: "Creo que tomará tiempo incluso para **MSRC** encontrar la causa raíz real del problema... Segundo, no, TPM+PIN no ayuda, el problema sigue siendo explotable independientemente." El investigador de seguridad Will Dormann confirmó el exploit, declarando: "Pude reproducir [YellowKey] con una unidad USB conectada... parece que los bits de NTFS Transaccional en una unidad USB pueden eliminar el archivo winpeshl.ini en OTRA UNIDAD (X:). Y obtenemos un prompt de cmd.exe, con **BitLocker** desbloqueado en lugar del entorno de **Recuperación de Windows** esperado." Dormann destacó además que la capacidad de un directorio `\System Volume Information\FsTx` en un volumen para modificar el contenido de otro volumen es una vulnerabilidad en sí misma. ### GreenPlasma: Escalada de Privilegios La segunda vulnerabilidad, **GreenPlasma**, es una escalada de privilegios que puede llevar a la obtención de una shell con permisos SYSTEM. Proviene de la creación arbitraria de secciones en **Windows CTFMON**. La prueba de concepto (PoC) publicada está incompleta. Sin embargo, demuestra que un usuario sin privilegios puede crear objetos de sección de memoria arbitrarios dentro de objetos de directorio escribibles por SYSTEM. Esto podría permitir la manipulación de servicios o controladores privilegiados que confían en estas rutas. ### Antecedentes: Divulgaciones Previas y Respuesta de Microsoft Estas divulgaciones siguen a la publicación anterior del investigador de tres vulnerabilidades de día cero de **Microsoft Defender** (**BlueHammer**, **RedSun** y **UnDefend**), supuestamente debido a la insatisfacción con el manejo de vulnerabilidades de **Microsoft**. A **BlueHammer** se le asignó **CVE-2026-33825** y se corrigió, pero el investigador afirma que **RedSun** se abordó "silenciosamente" sin un aviso. El investigador ha advertido de una "gran sorpresa" para **Microsoft** que coincidirá con el próximo Patch Tuesday en junio de 2026. Un portavoz de **Microsoft** declaró anteriormente que la compañía está comprometida a investigar los problemas de seguridad reportados y apoya la divulgación coordinada de vulnerabilidades. ### Ataque de Downgrade de BitLocker En noticias relacionadas, **Intrinsec**, una empresa francesa de ciberseguridad, detalló una cadena de ataque a **BitLocker** que aprovecha la degradación del administrador de arranque explotando **CVE-2025-48804** para eludir el cifrado en sistemas **Windows 11** completamente parcheados en menos de cinco minutos. El ataque implica cargar una versión vulnerable del administrador de arranque (`bootmgfw.efi`) firmada con el certificado de confianza PCA 2011 para eludir las salvaguardas de **BitLocker**. Esto permite arrancar desde una segunda imagen WIM que contiene una imagen WinRE infectada con `cmd.exe`. Aunque **Microsoft** lanzó correcciones en julio de 2025, el problema persiste porque Secure Boot solo verifica el certificado de firma de un binario, no su versión. **Microsoft** planea retirar los certificados antiguos PCA 2011 el próximo mes. Hasta que se revoquen, incluso los administradores de arranque antiguos y vulnerables pueden cargarse sin activar alertas. Para mitigar estos riesgos, es crucial habilitar un **PIN de BitLocker** al inicio para la autenticación previa al arranque y migrar el administrador de arranque al certificado CA 2023 mientras se revoca el certificado antiguo PCA 2011.