Обход BitLocker за минуту и повышение привилегий: серия нулевых уязвимостей Windows ставит под угрозу корпоративные системы

Центральное место в серии занимает уязвимость YellowKey, которой Microsoft уже присвоила идентификатор CVE-2026-45585. Она позволяет обойти защиту BitLocker при физическом доступе к компьютеру. Для эксплуатации достаточно стандартного USB-накопителя и примерно шестидесяти секунд работы. Злоумышленник подключает носитель, перезагружает устройство и входит в среду восстановления Windows (WinRE). На этом этапе TPM (аппаратный модуль доверенной загрузки) автоматически расшифровывает том, а подготовленный набор файлов в формате Transactional NTFS (TxF) подменяет конфигурационный файл winpeshl.ini на ramdisk-е WinRE. Система не находит корректных инструкций и запускает командную строку cmd.exe с правами SYSTEM. В результате злоумышленник получает полный доступ к расшифрованному диску, может копировать данные, извлекать хеши паролей из SAM-базы или внедрять механизмы закрепления.

В отчёте LevelBlue SpiderLabs подробно разбирается механика атаки. В основе лежит компонент autofstx.exe, который обрабатывает транзакционные логи TxF при загрузке WinRE. Поскольку эта утилита запускается ещё до запроса PIN-кода или ключа восстановления, она доверяет записям, размещённым на любом подключённом томе, включая USB-накопитель или EFI-раздел. Microsoft подтвердила, что уязвимость не затрагивает конфигурации TPM+PIN, где дополнительная аутентификация требуется до выдачи ключа. Однако на большинстве корпоративных устройств BitLocker настроен только на TPM - ради прозрачной загрузки, а значит, они остаются в зоне риска.

Вторая публикация - GreenPlasma - демонстрирует метод повышения привилегий через манипуляции с объектным менеджером Windows. Эксплойт создаёт произвольный участок памяти внутри каталога, доступного на запись процессу SYSTEM, используя символические ссылки объектного менеджера и пространство имён, связанное с технологией CTF. Это позволяет внедрить управляемые атакующим объекты в доверенные пути, что фактически даёт возможность повысить свои полномочия в работающей системе.

Третья находка - MiniPlasma - затрагивает драйвер Cloud Files (cldflt.sys), отвечающий за синхронизацию файлов в OneDrive и других облачных сервисах. Эта уязвимость была впервые описана Джеймсом Форшоу из Google Project Zero ещё в 2020 году (CVE-2020-17103) и, по заявлениям актора, остаётся актуальной в текущих сборках Windows. Суть - состояние гонки: эксплойт прерывает операцию гидратации облачного файла с помощью API CfAbortOperation и одновременно переключает контекст олицетворения потока между действительным и анонимным токенами. В результате проверка доступа внутри ядерного обработчика выполняется некорректно. Затем злоумышленник создаёт символическую ссылку на ветку реестра, подменяет переменную окружения windir и помещает исполняемый файл wermgr.exe в подконтрольный каталог. После запуска запланированной задачи Windows Error Reporting система загружает этот файл с повышенными правами, давая атакующему доступ уровня SYSTEM.

Для практической защиты от YellowKey Microsoft выпустила официальные рекомендации. Основная мера - удаление записи autofstx.exe из значения BootExecute в реестре образа WinRE. Это предотвращает запуск компонента, ответственного за повтор транзакций TxF, и полностью разрывает цепочку атаки. Дополнительно компания рекомендует рассмотреть переход на конфигурации TPM+PIN: они требуют ввода PIN-кода до выпуска ключа, что блокирует эксплуатацию даже при физическом доступе.

С точки зрения обнаружения инцидентов, специалистам по информационной безопасности стоит обращать внимание на несколько аномалий. Во-первых, появление каталога \System Volume Information\FsTx\ на USB-носителях или EFI-разделе само по себе подозрительно. Во-вторых, если в GUID ресурсного менеджера внутри этих папок присутствует идентификатор организации (OUI) VMware (00:50:56) на физических устройствах, это почти наверняка указывает на атаку, поскольку легитимная активность TxF на железных машинах не использует такие значения. В-третьих, необъяснимые входы в среду восстановления, отсутствие запроса ключа BitLocker при входе в WinRE и короткие сеансы восстановления, после которых сразу идёт обычная загрузка, должны насторожить администратора.

Для MiniPlasma характерны создание символической ссылки в разделе HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\CloudFiles\BlockedApps, перенаправление на \Registry\User\.DEFAULT\Volatile Environment и изменение параметра windir на нестандартный путь. Также следует мониторить неожиданные запуски задачи QueueReporting для Windows Error Reporting и появление процесса wermgr.exe из каталога, отличного от C:\Windows\System32.

Общая картина, которую рисуют публикации Chaotic Eclipse, настораживает. Речь идёт не об изолированных ошибках, а о системных недостатках модели безопасности Windows, затрагивающих доверенные компоненты загрузки, файловую систему и ядро. Возможность объединить физический обход диска (YellowKey) с последующим повышением привилегий (MiniPlasma, GreenPlasma) превращает каждое устройство с TPM-только BitLocker в потенциальную мишень. Для корпоративных сред, где на кону миллионы записей клиентов и коммерческая тайна, этот сценарий требует немедленного пересмотра стратегии защиты: перехода к многофакторной аутентификации до загрузки, контроля за средой восстановления и внедрения поведенческой аналитики, способной отслеживать аномалии на ранних этапах запуска системы.

SHA256

• 6ac1febd94d0582c259ef5e89b1059bf307d5cddbb7bf935ef23b9700f8e2067