Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

BitLocker и CTFMON погодени од нови Windows zero-day напади

Објавено: 14.05.2026

Анонимен истражувач за сајбер-безбедност, кој претходно објави три ранливости во Microsoft Defender, се врати со уште две zero-day ранливости поврзани со заобиколување на BitLocker и ескалација на привилегии што го засега Windows Collaborative Translation Framework (CTFMON).

Безбедносните пропусти се кодно именувани како YellowKey и GreenPlasma од страна на истражувачот, кој користи онлајн псевдоними Chaotic Eclipse и Nightmare-Eclipse.

Истражувачот го опиша YellowKey како „едно од најлудите откритија што некогаш ги пронашол“, споредувајќи го BitLocker bypass-от со backdoor, бидејќи грешката постои само во Windows Recovery Environment (WinRE) — вградена околина наменета за решавање и поправка на проблеми кога оперативниот систем не може да се стартува.

YellowKey ги засега Windows 11 и Windows Server 2022/2025. На високо ниво, нападот функционира така што:

  • се копираат специјално изработени „FsTx“ датотеки на USB уред или EFI партиција,
  • USB уредот се поврзува со целниот Windows компјутер со вклучен BitLocker,
  • системот се рестартира во WinRE,
  • и се активира shell со држење на CTRL копчето.

„Мислам дека ќе биде потребно време дури и за MSRC да ја открие вистинската причина за проблемот. Никогаш не успеав да разберам зошто оваа ранливост е толку добро сокриена“, објасни истражувачот. „И уште нешто — не, TPM+PIN не помага, ранливоста и понатаму може да се експлоатира.“

Истражувачот за безбедност Will Dormann, во објава на Mastodon, изјави: „Успеав да го репродуцирам [YellowKey] со поврзан USB уред“, додавајќи дека „изгледа дека Transactional NTFS елементите на USB уредот можат да ја избришат winpeshl.ini датотеката на ДРУГ диск (X:). Потоа добиваме cmd.exe prompt, со веќе отклучен BitLocker наместо очекуваната Windows Recovery околина.“

„Иако заобиколувањето на BitLocker со TPM-only е навистина интересно, мислам дека уште поважниот дел е што \System Volume Information\FsTx директориум на еден волумен има можност да ја модифицира содржината на друг волумен кога ќе се репродуцира“, истакна Dormann. „Самото тоа за мене претставува ранливост.“

Втората ранливост означена од Chaotic Eclipse е поврзана со ескалација на привилегии што може да се искористи за добивање shell со SYSTEM дозволи. Таа произлегува од она што е опишано како произволно креирање секции (arbitrary section creation) во Windows CTFMON.

Објавениот proof-of-concept (PoC) е нецелосен и не го содржи потребниот код за добивање целосен SYSTEM shell. Во сегашната форма, exploit-от му овозможува на непривилегиран корисник да креира произволни memory section објекти во директориуми во кои SYSTEM има право на запишување, што потенцијално може да овозможи манипулација со привилегирани сервиси или драјвери што имплицитно им веруваат на тие патеки, бидејќи обичен корисник нормално нема пристап за запишување таму.

Овој развој следува речиси еден месец откако истражувачот објави три Defender zero-day ранливости наречени BlueHammer, RedSun и UnDefend, поради наводно незадоволство од начинот на кој Microsoft го третира процесот на пријавување ранливости. Оттогаш, овие пропусти активно се експлоатираат во реални напади.

Додека BlueHammer официјално го доби идентификаторот CVE-2026-33825 и беше поправен од Microsoft минатиот месец, Chaotic Eclipse тврди дека технолошкиот гигант „тивко“ го поправил RedSun без да објави безбедносно известување.

„Се надевам дека барем ќе се обидете одговорно да ја решите ситуацијата. Не сум сигурен каква реакција очекувавте од мене кога додадовте уште масло на огнот по BlueHammer“, изјави истражувачот. „Огнот ќе продолжи да гори онолку долго колку што сакате — освен ако не го изгаснете или додека не остане ништо за горење.“

Chaotic Eclipse исто така најави „големо изненадување“ за Microsoft, што ќе се совпадне со следното Patch Tuesday ажурирање во јуни 2026 година.

Кога бил побаран коментар, портпарол на Microsoft претходно изјавил за The Hacker News дека компанијата „има обврска кон клиентите да ги истражува пријавените безбедносни проблеми и да ги ажурира засегнатите уреди што е можно побрзо“, додавајќи дека Microsoft го поддржува координираното откривање ранливости, кое „помага проблемите внимателно да се истражат и решат пред јавно објавување.“

Откриен напад за downgrade на BitLocker

Овој развој следува откако француската компанија за сајбер-безбедност Intrinsec опиша нападна низа против BitLocker која користи downgrade на boot manager преку експлоатација на CVE-2025-48804 (CVSS оценка: 6.8) за заобиколување на енкрипциската заштита на целосно ажурирани Windows 11 системи за помалку од пет минути.

„Принципот е следен: boot manager-от ја вчитува System Deployment Image (SDI) датотеката и WIM датотеката поврзана со неа, и го проверува интегритетот на легитимната WIM датотека“, објасни Intrinsec.

„Меѓутоа, кога во SDI се додава втора WIM датотека со модифицирана blob табела, boot manager-от ја проверува првата (легитимна) WIM датотека, додека истовремено се стартува од втората (контролирана од напаѓачот). Оваа втора WIM датотека содржи WinRE слика заразена со cmd.exe, која се извршува со веќе декриптираниот BitLocker волумен.“

Иако поправките објавени од Microsoft во јули 2025 година го затворија овој безбедносен пропуст, истражувачот за безбедност Cassius Garat посочи дека проблемот лежи во тоа што Secure Boot проверува само дали бинарната датотека е потпишана со доверлив сертификат, но не и нејзината верзија.

Како резултат на тоа, ранлива верзија на bootmgfw.efi што не ја содржи закрпата, но е потпишана со доверливиот PCA 2011 сертификат, може да се искористи за заобиколување на BitLocker заштитите.

Важно е да се напомене дека Microsoft планира да ги повлече старите PCA 2011 сертификати следниот месец.

„И сè додека сертификатот не биде повлечен (revoked), дури и стар, ранлив boot manager може да се вчита без да активира предупредување“, истакна Intrinsec.

За успешно изведување на нападот, напаѓачот мора да има физички пристап до целниот уред.

За намалување на ризикот, препорачливо е да се овозможи BitLocker PIN при стартување на системот, односно preboot authentication.

Извори:

  • The Hacker News – Windows Zero-Days Expose BitLocker Bypasses And CTFMON Privilege Escalation The Hacker News