📸 Créditos da imagem: reprodução / Tecmundo
Um pesquisador de segurança identificado como Chaotic Eclipse publicou, nesta semana, códigos de exploração para duas vulnerabilidades inéditas no Windows, batizadas de YellowKey e GreenPlasma.
YellowKey: bypass do BitLocker
A vulnerabilidade mais grave das duas é o YellowKey, uma falha que permite burlar o BitLocker, sistema de criptografia de disco nativo do Windows, e acessar arquivos protegidos sem precisar da chave ou da senha do usuário.
O ataque usa o Windows Recovery Environment (WinRE), basicamente o ambiente de recuperação que o Windows inicializa automaticamente quando detecta algum problema no boot.
Esse ambiente tem uma característica pouco conhecida, ao ser carregado, o sistema procura por diretórios com um nome específico em drives conectados e repete automaticamente operações de disco registradas nesses arquivos.
O exploit coloca arquivos especialmente manipulados em um pendrive ou na partição EFI do próprio dispositivo alvo.
Quando o sistema entra no WinRE, esses arquivos deletam um componente de configuração do ambiente de recuperação.
O resultado é que, em vez de abrir a tela normal de recuperação, o Windows abre um prompt de comando com acesso total ao disco ainda descriptografado.
GreenPlasma: escalonamento de privilégios
A segunda vulnerabilidade, o GreenPlasma, é uma falha no CTFMON, componente do Windows responsável por serviços de entrada de texto.
Um usuário comum consegue criar objetos de memória em áreas do sistema que deveriam ser acessíveis apenas ao SYSTEM, o nível mais alto de permissão do Windows.
Serviços e drivers do sistema operacional confiam cegamente nesses caminhos por esperar que usuários comuns não tenham como escrever neles.
Com o GreenPlasma, isso deixa de ser verdade.
Microsoft sob pressão por patches silenciosos
O pesquisador de segurança Chaotic Eclipse afirma que a decisão de vazar os exploits está diretamente ligada à forma como a Microsoft trata as vulnerabilidades reportadas por pesquisadores.
O pesquisador acusa a empresa de ter corrigido silenciosamente o RedSun, uma falha anterior sua, sem emitir nenhum comunicado, sem atribuir um identificador CVE e sem reconhecer publicamente a vulnerabilidade, mesmo enquanto ela era explorada ativamente.
A Microsoft disse que investiga problemas de segurança reportados e que apoia a prática de divulgação coordenada de vulnerabilidades.
O pesquisador prometeu uma nova divulgação no próximo Patch Tuesday.
📰 Leia a notícia completa em: Tecmundo »