本週，一位心懷不滿的安全研究人員公開披露了Windows系統中的兩個零日漏洞，這些漏洞能夠繞過BitLocker加密並提升權限。

BitLocker是Windows內建的全磁碟區加密功能，它依賴TPM（可信任平台模組）提供硬體級安全保護，在裝置被盜或遺失時保護使用者資料免受未經授權的存取。

週二，一位名為Chaotic Eclipse和Nightmare Eclipse的網路安全研究人員發布了一段概念驗證（PoC）程式碼，該程式碼允許擁有Windows 11實體存取權的攻擊者繞過BitLocker，並獲得對儲存磁碟區的完全存取權。該漏洞利用程式被命名為YellowKey。

這並非Chaotic Eclipse首次揭露微軟產品中未修復的漏洞，這位研究人員先前曾表示，他對這家科技巨頭處理漏洞報告的方式感到不滿。

據研究人員稱，YellowKey 的根本問題在於一個隱藏很深的漏洞，目前尚無明確的根本原因，而且很可能是有人故意植入 BitLocker 的後門。

研究人員的攻擊鏈始於將 PoC 資料夾複製到 U 碟，然後將其插入已啟用 BitLocker 的 Windows 電腦。不過，即使不使用可移動驅動器，將檔案複製到 EFI 分割區也能達到目的。

接下來，需要將裝置重新啟動到 Windows 復原環境 (WinRE)。方法是按住 Shift 鍵並點擊“重新啟動”，然後立即放開 Shift 鍵，並按住 Ctrl 鍵直到彈出命令提示字元窗口，從而獲得對受保護磁碟區的存取權限。

「那麼，我為什麼說這是一個後門呢？導致此漏洞的組件除了存在於 WinRE 映像中之外，在任何地方（甚至在互聯網上）都找不到。而真正令人懷疑的是，在正常的 Windows 安裝中也存在完全相同的組件，名稱也完全相同，但卻不具備觸發 BitLocker 繞過問題的功能。」Chaotic Eclipse 指出。

包括 Kevin Beaumont、KevTheHermit 和 Will Dormann 在內的幾位安全研究人員已經測試了該漏洞，並確認它甚至對最新的 Windows 11 版本也有效。

Chaotic Eclipse 警告說，YellowKey 也適用於使用 TPM PIN（用戶定義的、啟動前用於解鎖設備的身份驗證碼）保護的設備，但並未公佈此繞過方法的 PoC（概念驗證）。

根據 JaGoTu 等測試過 PoC 漏洞利用程式的安全研究人員稱，TPM PIN 攻擊的成功似乎取決於 WinRe 的實現。

YellowKey 讓人想起十年前發現的一個 Windows 漏洞，該漏洞允許攻擊者在 Windows 10 功能更新期間按住 SHIFT+F10 鍵繞過 BitLocker。它會產生一個 shell，在 BitLocker 被停用的情況下提供管理員權限。

Chaotic Eclipse 發布的第二個 Windows 零日漏洞利用程式名為 GreenPlasma，它允許攻擊者將權限提升到系統權限。研究人員發布了一個 PoC 漏洞利用程序，其中移除了獲取完整系統 shell 所需的程式碼。

Chaotic Eclipse 指出：“該 PoC 會在任何系統可寫入的目錄對像中創建一個任意內存段對象”，並解釋說它可以用來操縱各種 Windows 服務，包括內核模式驅動程式。

「即使目前的概念驗證存在局限性，任何通往系統級權限的途徑都值得密切關注。如果被完全利用，這種權限提升可能使攻擊者禁用保護措施、操縱受信任的進程、部署惡意軟體，或者將受感染的機器作為跳板，入侵更廣泛的安全環境，」Swimlane 首席安全解決方案架構師 Joshua Roback 表示。

Corsica Technologies 首席資訊安全長 Ross Filipek 表示，新發布的 PoC 程式碼可能使攻擊者能夠快速地將漏洞利用程式武器化，並開始攻擊實際存在的零日漏洞。

「公開的零日漏洞總是會改變風險格局，因為它們縮短了發現漏洞和利用漏洞之間的時間窗口。在這種情況下，YellowKey 和 GreenPlasma 暴露了兩個不同但又相互關聯的問題：訪問受保護的資料以及權限提升的可能性。即使漏洞利用程式存在局限性，概念驗證程式碼也為攻擊者提供了一個起點，他們可以對其權限提升的可能性。即使漏洞利用程式存在局限性，概念驗證程式碼也為攻擊者提供了一個起點，他們可以對其進行測試、修改，並將其融入更廣泛的概念

SecurityWeek 已向微軟發送郵件，就零日漏洞尋求置評，如有回复，我們將更新本文。

4月初，Chaotic Eclipse 發布了針對 BlueHammer 漏洞的 PoC 攻擊程式碼。 BlueHammer 是 Windows Defender 的安全漏洞，微軟已在四月「修補程式星期二」修復了該漏洞。攻擊者在修復程式發布前四天就開始利用該漏洞。