Pesquisadores de segurança divulgaram dois novos zero-days no Windows que afetam diretamente o BitLocker e o processo CTFMON, levantando preocupações sobre a segurança de milhões de computadores com Windows 11 e Windows Server. As falhas foram batizadas de “YellowKey” e “GreenPlasma”.
A vulnerabilidade YellowKey permite contornar a proteção do BitLocker utilizando apenas um pendrive e acesso físico ao computador. Segundo os pesquisadores, o exploit explora o ambiente de recuperação do Windows (WinRE), desbloqueando discos criptografados sem exigir a chave de recuperação.
O método utiliza arquivos manipulados dentro de uma pasta FsTx em um dispositivo USB. Ao inicializar o sistema em modo de recuperação, o invasor consegue abrir um prompt de comando com acesso total ao disco descriptografado. Especialistas classificaram a falha como uma espécie de “backdoor” involuntária no Windows.
Já o segundo zero-day, chamado GreenPlasma, afeta o Windows Collaborative Translation Framework (CTFMON). A vulnerabilidade permite escalada de privilégios locais, possibilitando que usuários com permissões limitadas obtenham acesso SYSTEM, o nível máximo de controle dentro do Windows.
As falhas foram divulgadas publicamente pelo pesquisador conhecido como “Chaotic Eclipse” ou “Nightmare-Eclipse”, o mesmo responsável por outros exploits recentes envolvendo o Microsoft Defender e componentes internos do Windows. Segundo relatos, o pesquisador decidiu liberar os códigos após críticas à forma como a Microsoft lida com relatórios de vulnerabilidades.
Até o momento, a Microsoft confirmou apenas que está investigando os casos e ainda não disponibilizou correções oficiais para os exploits divulgados.
Especialistas em cibersegurança recomendam que empresas reforcem medidas de proteção física dos dispositivos, ativem BitLocker com PIN adicional e monitorem comportamentos anômalos relacionados ao processo CTFMON até que patches oficiais sejam liberados.
Comunidades técnicas e administradores de sistemas demonstraram preocupação nas redes sociais, principalmente porque o exploit do BitLocker já possui prova de conceito pública e relatos independentes confirmando seu funcionamento.
