Um pesquisador anônimo de cibersegurança, conhecido online como Chaotic Eclipse e Nightmare-Eclipse, revelou duas novas vulnerabilidades zero-day após divulgar anteriormente três falhas no **Microsoft Defender**. As novas vulnerabilidades, nomeadas **YellowKey** e **GreenPlasma**, representam riscos significativos para sistemas **Windows**. ### YellowKey: Bypass do BitLocker **YellowKey**, descrita pelo pesquisador como "uma das descobertas mais insanas que já fiz", é uma vulnerabilidade de bypass do **BitLocker** que afeta o **Windows 11** e o **Windows Server 2022/2025**. Essa vulnerabilidade reside no **Windows Recovery Environment (WinRE)**. O ataque envolve a cópia de arquivos "FsTx" criados para uma unidade USB ou a partição EFI. Inicializar o computador **Windows** alvo (com **BitLocker** ativado) no **WinRE** e acionar um shell (mantendo CTRL pressionado) permite o bypass. O pesquisador observou: "Acho que levará um tempo até mesmo para o **MSRC** encontrar a causa raiz real do problema... Segunda coisa é, não, TPM+PIN não ajuda, o problema ainda é explorável independentemente." O pesquisador de segurança Will Dormann confirmou o exploit, afirmando: "Consegui reproduzir [YellowKey] com uma unidade USB conectada... parece que os bits do Transactional NTFS em uma unidade USB são capazes de excluir o arquivo winpeshl.ini em OUTRA UNIDADE (X:). E obtemos um prompt cmd.exe, com o **BitLocker** desbloqueado em vez do ambiente esperado do **Windows Recovery**." Dormann destacou ainda que a capacidade de um diretório `\System Volume Information\FsTx` em um volume modificar o conteúdo de outro volume é uma vulnerabilidade em si. ### GreenPlasma: Escalonamento de Privilégios A segunda vulnerabilidade, **GreenPlasma**, é um escalonamento de privilégios que pode levar à obtenção de um shell com permissões SYSTEM. Ela decorre da criação de seções arbitrárias no **Windows CTFMON**. O proof-of-concept (PoC) liberado está incompleto. No entanto, ele demonstra que um usuário sem privilégios pode criar objetos de seção de memória arbitrários dentro de objetos de diretório graváveis pelo SYSTEM. Isso poderia permitir a manipulação de serviços ou drivers privilegiados que confiam nesses caminhos. ### Contexto: Divulgações Anteriores e Resposta da Microsoft Essas divulgações seguem a publicação anterior do pesquisador de três zero-days do **Microsoft Defender** (**BlueHammer**, **RedSun** e **UnDefend**), supostamente devido à insatisfação com o gerenciamento de vulnerabilidades da **Microsoft**. O **BlueHammer** recebeu o **CVE-2026-33825** e foi corrigido, mas o pesquisador afirma que o **RedSun** foi abordado "silenciosamente" sem um aviso. O pesquisador alertou sobre uma "grande surpresa" para a **Microsoft** coincidindo com o próximo Patch Tuesday em junho de 2026. Um porta-voz da **Microsoft** declarou anteriormente que a empresa está comprometida em investigar problemas de segurança relatados e apoia a divulgação coordenada de vulnerabilidades. ### Ataque de Downgrade do BitLocker Em notícias relacionadas, a **Intrinsec**, uma empresa francesa de cibersegurança, detalhou uma cadeia de ataques ao **BitLocker** que utiliza o downgrade do gerenciador de inicialização, explorando o **CVE-2025-48804** para contornar a criptografia em sistemas **Windows 11** totalmente corrigidos em menos de cinco minutos. O ataque envolve o carregamento de uma versão vulnerável do gerenciador de inicialização (`bootmgfw.efi`) assinada com o certificado confiável PCA 2011 para contornar as proteções do **BitLocker**. Isso permite a inicialização a partir de uma segunda imagem WIM contendo uma imagem WinRE infectada com `cmd.exe`. Embora a **Microsoft** tenha lançado correções em julho de 2025, o problema persiste porque o Secure Boot verifica apenas o certificado de assinatura de um binário, não sua versão. A **Microsoft** planeja aposentar os antigos certificados PCA 2011 no próximo mês. Até que sejam revogados, mesmo gerenciadores de inicialização antigos e vulneráveis podem ser carregados sem disparar alertas. Para mitigar esses riscos, é crucial habilitar um **PIN do BitLocker** na inicialização para autenticação preboot e migrar o gerenciador de inicialização para o certificado CA 2023, revogando o antigo certificado PCA 2011.