Een anonieme cybersecurity-onderzoeker die drie Microsoft Defender-kwetsbaarheden heeft onthuld, is teruggekeerd met nog eens twee zero-days met een BitLocker-bypass en een escalatie van bevoegdheden die gevolgen heeft voor Windows Collaborative Translation Framework (CTFMON).
De beveiligingsfouten hebben een codenaam gekregen Geel Sleutel En GroenPlasmarespectievelijk door de onderzoeker, die de online aliassen Chaotic Eclipse en Nightmare-Eclipse gebruikt.
De onderzoeker beschreef YellowKey als “een van de meest krankzinnige ontdekkingen die ik ooit heb gevonden”, waarbij hij de BitLocker-bypass vergelijkt met het functioneren als een achterdeur, aangezien de bug alleen aanwezig is in de Windows Recovery Environment (WinRE), een ingebouwd raamwerk dat is ontworpen om veelvoorkomende problemen met niet-opstartbare besturingssystemen op te lossen en te repareren.
YellowKey is van invloed op Windows 11 en Windows Server 2022/2025. Op een hoog niveau gaat het om het kopiëren van speciaal vervaardigde “FsTx”-bestanden naar een USB-station of de EFI-partitie, het aansluiten van het USB-station op de doel-Windows-computer terwijl de BitLocker-beveiliging is ingeschakeld, het opnieuw opstarten in WinRE en het activeren van een shell door de CTRL-toets ingedrukt te houden.
“Ik denk dat het zelfs een tijdje zal duren voordat MSRC de echte oorzaak van het probleem zal vinden. Ik ben er gewoon nooit in geslaagd te begrijpen waarom deze kwetsbaarheid zo goed verborgen is”, legde de onderzoeker uit. “Ten tweede: nee, TPM+PIN helpt niet, het probleem kan hoe dan ook nog steeds worden misbruikt.”
Beveiligingsonderzoeker Will Dormann zei in een bericht gedeeld op Mastodon: “Ik kon (YellowKey) reproduceren met een aangesloten USB-drive”, en voegde eraan toe: “Het lijkt erop dat Transactionele NTFS-bits op een USB-drive het winpeshl.ini-bestand op EEN ANDERE SCHIJF (X:) kunnen verwijderen. En we krijgen een cmd.exe-prompt, met BitLocker ontgrendeld in plaats van de verwachte Windows-herstelomgeving. “
“Hoewel de TPM-only BitLocker-bypass inderdaad interessant is, denk ik dat de verborgen lede hier is dat een map System Volume InformationFsTx op het ene volume de mogelijkheid heeft om de inhoud van een ander volume te wijzigen wanneer het opnieuw wordt afgespeeld,” merkte Dormann op. “Voor mij klinkt dit op zichzelf als een kwetsbaarheid.”
De tweede kwetsbaarheid die door Chaotic Eclipse wordt gesignaleerd, is een geval van escalatie van privileges die kan worden misbruikt om een shell met SYSTEEM-machtigingen te verkrijgen. Het ontstaat als gevolg van wat is beschreven als het maken van willekeurige secties in Windows CTFMON.
De vrijgegeven proof-of-concept (PoC) is onvolledig en mist de benodigde code om een volledige SYSTEEM-shell te verkrijgen. In zijn huidige vorm kan de exploit een niet-bevoorrechte gebruiker in staat stellen willekeurige geheugensectie-objecten te maken binnen directory-objecten die door SYSTEM kunnen worden geschreven, waardoor mogelijk manipulatie van bevoorrechte services of stuurprogramma’s mogelijk wordt gemaakt die deze paden impliciet vertrouwen, aangezien een standaardgebruiker geen schrijftoegang heeft tot de locaties.
De ontwikkeling komt bijna een maand nadat de onderzoeker drie Defender zero-days publiceerde, genaamd BlueHammer, RedSun en UnDefend, nadat hij naar verluidt zijn ontevredenheid had geuit over de manier waarop Microsoft omging met het openbaarmakingsproces van kwetsbaarheden. De tekortkomingen zijn sindsdien actief in het wild geëxploiteerd.
Terwijl BlueHammer officieel de identificatie CVE-2026-33825 kreeg toegewezen en vorige maand door Microsoft werd gepatcht, zei Chaotic Eclipse dat de technologiegigant RedSun “in stilte” lijkt te hebben aangesproken zonder enig advies te geven.
“Ik hoop dat je in ieder geval probeert de situatie op een verantwoorde manier op te lossen. Ik weet niet zeker wat voor soort reactie je van mij verwachtte toen je na BlueHammer meer gas op het vuur gooide”, zei de onderzoeker. ‘Het vuur zal zo lang aanhouden als je wilt, tenzij je het dooft of totdat er niets meer te branden is.’
Chaotic Eclipse beloofde ook een “grote verrassing” voor Microsoft, die samenviel met de volgende Patch Tuesday-release in juni 2026.
Toen hij voor commentaar werd benaderd, had een Microsoft-woordvoerder eerder tegen The Hacker News gezegd dat het “een klanttoezegging heeft om gemelde beveiligingsproblemen te onderzoeken en getroffen apparaten zo snel mogelijk te updaten om klanten te beschermen”, en dat het gecoördineerde openbaarmaking van kwetsbaarheden ondersteunt, wat volgens het bedrijf “helpt ervoor te zorgen dat problemen zorgvuldig worden onderzocht en aangepakt voordat ze openbaar worden gemaakt.”
Downgrade-aanval van BitLocker ontdekt
De ontwikkeling komt op het moment dat het Franse cyberbeveiligingsbedrijf Intrinsec een aanvalsketen tegen BitLocker heeft uitgewerkt die gebruik maakt van een downgrade van de bootmanager door CVE-2025-48804 (CVSS-score: 6,8) te exploiteren om de encryptiebescherming op volledig gepatchte Windows 11-systemen in minder dan vijf minuten te omzeilen.
“Het principe is als volgt: de bootmanager laadt het System Deployment Image (SDI)-bestand en de WIM waarnaar ernaar wordt verwezen, en verifieert de integriteit van de legitieme WIM”, aldus Intrinsec.
“Wanneer echter een tweede WIM wordt toegevoegd aan de SDI met een aangepaste blobtabel, controleert de bootmanager de eerste (legitieme) WIM terwijl hij tegelijkertijd opstart vanaf de tweede (bestuurd door de aanvaller). Deze tweede WIM bevat een WinRE-image die is geïnfecteerd met ‘cmd.exe’, die wordt uitgevoerd met het gedecodeerde BitLocker-volume. “
Hoewel oplossingen die in juli 2025 door Microsoft zijn uitgebracht dit beveiligingsprobleem in juli 2025 hebben gedicht, zei beveiligingsonderzoeker Cassius Garat dat het probleem ligt in het feit dat Secure Boot alleen het handtekeningcertificaat van een binair bestand verifieert, en niet de versie ervan. Als gevolg hiervan kan een kwetsbare versie van “bootmgfw.efi” die de patch niet bevat en is ondertekend met het vertrouwde PCA 2011-certificaat worden gebruikt om de beveiliging van BitLocker te omzeilen.
Het is vermeldenswaard dat Microsoft van plan is volgende maand de oude PCA 2011-certificaten buiten gebruik te stellen. “En zolang het niet wordt ingetrokken, kan zelfs een oude, kwetsbare bootmanager worden geladen zonder een waarschuwing te activeren”, merkte Intrinsec op. Om de aanval uit te voeren, moet een slechte actor fysieke toegang hebben tot de doelmachine.
Om dit risico tegen te gaan, is het essentieel om bij het opstarten een BitLocker-pincode in te schakelen voor preboot-authenticatie en de opstartmanager naar het CA 2023-certificaat te migreren en het oude PCA 2011-certificaat in te trekken.
