Un chercheur anonyme en cybersécurité, connu en ligne sous les noms de Chaotic Eclipse et Nightmare-Eclipse, a révélé deux nouvelles vulnérabilités zero-day après avoir précédemment divulgué trois failles de **Microsoft Defender**. Les nouvelles vulnérabilités, nommées **YellowKey** et **GreenPlasma**, présentent des risques importants pour les systèmes **Windows**. ### YellowKey : Contournement de BitLocker **YellowKey**, décrite par le chercheur comme "l'une des découvertes les plus folles que j'aie jamais faites", est une vulnérabilité de contournement de **BitLocker** affectant **Windows 11** et **Windows Server 2022/2025**. Cette vulnérabilité réside dans l'**Environnement de récupération Windows (WinRE)**. L'attaque implique la copie de fichiers "FsTx" spécialement conçus sur une clé USB ou la partition EFI. Le démarrage de l'ordinateur **Windows** cible (avec **BitLocker** activé) dans **WinRE** et le déclenchement d'un shell (en maintenant CTRL) permettent le contournement. Le chercheur a noté : "Je pense qu'il faudra un certain temps même à **MSRC** pour trouver la véritable cause profonde du problème... Deuxièmement, non, le TPM+PIN n'aide pas, le problème reste exploitable quoi qu'il arrive." Le chercheur en sécurité Will Dormann a confirmé l'exploit, déclarant : "J'ai pu reproduire [YellowKey] avec une clé USB connectée... il semble que les bits NTFS transactionnels sur une clé USB soient capables de supprimer le fichier winpeshl.ini sur une AUTRE UNITÉ (X:). Et nous obtenons une invite cmd.exe, avec **BitLocker** déverrouillé au lieu de l'environnement attendu de **Récupération Windows**." Dormann a en outre souligné que la capacité d'un répertoire `\System Volume Information\FsTx` sur un volume à modifier le contenu d'un autre volume est une vulnérabilité en soi. ### GreenPlasma : Élévation de privilèges La deuxième vulnérabilité, **GreenPlasma**, est une élévation de privilèges qui peut conduire à l'obtention d'un shell avec des permissions SYSTEM. Elle découle de la création de sections arbitraires par **Windows CTFMON**. La preuve de concept (PoC) publiée est incomplète. Cependant, elle démontre qu'un utilisateur non privilégié peut créer des objets de section mémoire arbitraires au sein d'objets de répertoire inscriptibles par SYSTEM. Cela pourrait permettre la manipulation de services ou de pilotes privilégiés qui font confiance à ces chemins. ### Contexte : Divulgations précédentes et réponse de Microsoft Ces divulgations font suite à la publication précédente par le chercheur de trois zero-days de **Microsoft Defender** (**BlueHammer**, **RedSun** et **UnDefend**), apparemment en raison d'une insatisfaction quant à la gestion des vulnérabilités par **Microsoft**. **BlueHammer** s'est vu attribuer le **CVE-2026-33825** et a été corrigé, mais le chercheur affirme que **RedSun** a été traité "silencieusement" sans avis. Le chercheur a prévenu d'une "grande surprise" pour **Microsoft** coïncidant avec le prochain Patch Tuesday en juin 2026. Un porte-parole de **Microsoft** a précédemment déclaré que l'entreprise s'engageait à enquêter sur les problèmes de sécurité signalés et soutenait la divulgation coordonnée des vulnérabilités. ### Attaque de Downgrade de BitLocker Dans des nouvelles connexes, **Intrinsec**, une entreprise française de cybersécurité, a détaillé une chaîne d'attaque **BitLocker** exploitant un downgrade du gestionnaire de démarrage en utilisant le **CVE-2025-48804** pour contourner le chiffrement sur des systèmes **Windows 11** entièrement patchés en moins de cinq minutes. L'attaque implique le chargement d'une version vulnérable du gestionnaire de démarrage (`bootmgfw.efi`) signée avec le certificat de confiance PCA 2011 pour contourner les protections **BitLocker**. Cela permet de démarrer à partir d'une deuxième image WIM contenant une image WinRE infectée par `cmd.exe`. Bien que **Microsoft** ait publié des correctifs en juillet 2025, le problème persiste car Secure Boot ne vérifie que le certificat de signature d'un binaire, pas sa version. **Microsoft** prévoit de retirer les anciens certificats PCA 2011 le mois prochain. Tant qu'ils ne seront pas révoqués, même les anciens gestionnaires de démarrage vulnérables pourront être chargés sans déclencher d'alertes. Pour atténuer ces risques, il est crucial d'activer un **PIN BitLocker** au démarrage pour l'authentification préalable au démarrage et de migrer le gestionnaire de démarrage vers le certificat CA 2023 tout en révoquant l'ancien certificat PCA 2011.