Zero-day YellowKey: Ο ερευνητής που «εκδικείται» τη Microsoft άδειασε το BitLocker του Windows 11 σε δευτερόλεπτα

Ένας ανώνυμος ερευνητής ασφάλειας που δραστηριοποιείται στο GitHub ως Nightmare-Eclipse και στο Blogspot ως Chaotic Eclipse δημοσίευσε δύο νέα zero-day exploits που πλήττουν Windows 11, Windows Server 2022 και Windows Server 2025. Το πρώτο, με κωδικό YellowKey, περιγράφεται από τον ίδιο ως «one of the most insane discoveries I ever found», εξομοιώνοντάς το με λειτουργική κερκόπορτα (backdoor), καθώς το σφάλμα εντοπίζεται αποκλειστικά στο Windows Recovery Environment (WinRE) — το ενσωματωμένο περιβάλλον αποκατάστασης συστήματος.

Πώς λειτουργεί το YellowKey

Το BitLocker είναι η τεχνολογία πλήρους κρυπτογράφησης δίσκου της Microsoft, με το κλειδί αποκρυπτογράφησης να φυλάσσεται στο Trusted Platform Module (TPM). Αποτελεί υποχρεωτική προστασία για πολλούς οργανισμούς, συμπεριλαμβανομένων κυβερνητικών αναδόχων.

Η επίθεση περιλαμβάνει την τοποθέτηση ειδικά κατασκευασμένων αρχείων «FsTx» σε USB drive ή στο διαμέρισμα EFI, και στη συνέχεια τη σύνδεση του USB σε υπολογιστή-στόχο με ενεργοποιημένο BitLocker. Το αποτέλεσμα: ο ερευνητής Will Dormann επιβεβαίωσε ότι κατάφερε να αναπαράγει το YellowKey με συνδεδεμένο USB drive — τα Transactional NTFS bits του USB μπόρεσαν να διαγράψουν το αρχείο winpeshl.ini σε άλλη μονάδα δίσκου, οδηγώντας σε παράθυρο cmd.exe με το BitLocker ξεκλειδωμένο, αντί για το αναμενόμενο Windows Recovery Environment.

Ο ερευνητής τον χαρακτηρίζει κερκόπορτα διότι το σφάλμα εμφανίζεται μόνο στο WinRE και όχι στα Windows ίδια, τα οποία δεν διαθέτουν την απαιτούμενη λειτουργικότητα για να ενεργοποιηθεί η παράκαμψη. Χαρακτηριστικά, η τεχνική λειτουργεί σε Windows 11 και σε εκδόσεις Server, αλλά αφήνει ανεπηρέαστα τα Windows 10 — ένα στοιχείο που τροφοδοτεί τις εικασίες για σκόπιμο σχεδιασμό. Ο Nightmare-Eclipse επιμένει ότι η συμπεριφορά υποδηλώνει σκόπιμο σχεδιασμό και όχι τυχαίο σφάλμα, επισημαίνοντας ότι το στοιχείο που ενεργοποιεί την επίθεση εμφανίζεται στις επίσημες εικόνες Windows Recovery. Ωστόσο, αυτό παραμένει ερμηνεία και όχι απόδειξη — η Microsoft δεν έχει απαντήσει αν πρόκειται για πραγματική κερκόπορτα ή απλώς κακή αρχιτεκτονική ασφάλειας.

Η εταιρεία ασφάλειας SentinelOne έχει καταχωρήσει την ευπάθεια ως CVE-2025-21210, χαρακτηρίζοντάς την ως ζήτημα αποκάλυψης πληροφοριών μέσω φυσικής πρόσβασης. Αυτό σημαίνει πρακτικά ότι κάποιος χρειάζεται χειροπιαστή πρόσβαση στη συσκευή, καθιστώντας το exploit πιο επικίνδυνο σε σενάρια κλεμμένων φορητών υπολογιστών παρά σε απομακρυσμένες επιθέσεις.

GreenPlasma: Κλιμάκωση δικαιωμάτων μέσω CTFMON

Το δεύτερο zero-day που δημοσίευσε ο ίδιος ερευνητής αφορά κλιμάκωση δικαιωμάτων (privilege escalation) που μπορεί να εκμεταλλευτεί οποιοσδήποτε για να αποκτήσει κέλυφος (shell) με δικαιώματα SYSTEM. Προκύπτει από αυθαίρετη δημιουργία τμήματος στο Windows CTFMON.

Σύμφωνα με τον ερευνητή, το νέο proof-of-concept δοκιμάστηκε σε πλήρως ενημερωμένα Windows 11 και Windows Server 2025 και παρήγαγε επιτυχώς κέλυφος SYSTEM. Εξωτερικοί ερευνητές επιβεβαίωσαν ότι το exploit λειτουργεί. Πιο ανησυχητικό είναι το ιστορικό της ευπάθειας: το σφάλμα είχε ήδη αναφερθεί στη Microsoft έξι χρόνια πριν. Ο ερευνητής υποστηρίζει ότι η Microsoft είτε δεν το διόρθωσε ποτέ, είτε «η επιδιόρθωση αποσύρθηκε σιωπηλά κάποια στιγμή για άγνωστους λόγους».

Έξι zero-days σε έξι εβδομάδες — και μια «εκδίκηση»

Ο Nightmare-Eclipse (γνωστός επίσης ως Dead Eclipse και Eclipse) είναι ένας κακόβουλος δράστης που έχει δημοσιεύσει έξι Windows zero-day exploits από τις αρχές Απριλίου 2026, σε μια εκστρατεία που πολλοί ερευνητές χαρακτηρίζουν ως κλιμακούμενη εκδικητική ενέργεια κατά της Microsoft. Ο ίδιος ισχυρίζεται ότι η Microsoft τον άφησε «άστεγο και χωρίς τίποτα».

Με κάθε νέο exploit που διαρρέει, έχει διαμορφωθεί μια επιχειρησιακή αλυσίδα επίθεσης: τα BlueHammer, RedSun και MiniPlasma αποτελούν τρεις διαφορετικές μεθόδους κλιμάκωσης από απλό χρήστη σε SYSTEM· το UnDefend κάνει το τερματικό να φαίνεται υγιές στο Defender ενώ το καθιστά λιγότερο ικανό να εντοπίζει νέες απειλές· και το YellowKey παρακάμπτει το BitLocker σε κλεμμένες ή κατασχεθείσες συσκευές.

Τα exploits που έχει δημοσιεύσει ο Eclipse έχουν ήδη χρησιμοποιηθεί σε πραγματικές εισβολές, προστέθηκαν στον κατάλογο Known Exploited Vulnerabilities της αμερικανικής υπηρεσίας κυβερνοασφάλειας CISA και ανάγκασαν έκτακτο κύκλο ενημερώσεων. Το αποθετήριο GitHub του ερευνητή έχει ήδη πάνω από 100 forks και σχεδόν 300 αστέρια, γεγονός που υποδηλώνει ότι πιθανοί εισβολείς ενδέχεται ήδη να το εκμεταλλεύονται.

Αυτό που δεν αμφισβητείται είναι ότι ο Nightmare-Eclipse έχει επιδείξει διαρκή ικανότητα εντοπισμού και εκμετάλλευσης zero-day ευπαθειών σε βασικά στοιχεία των Windows, επιλέγοντας να τα χρησιμοποιήσει ως «όπλο» σε μια σκόπιμη εκστρατεία. Πρόκειται για ενέργειες κακόβουλου δράστη — όχι πληροφοριοδότη, υπέρμαχου υπεύθυνης αποκάλυψης ή ουδέτερου ερευνητή.

Η στάση της Microsoft

Εκπρόσωπος της Microsoft δήλωσε ότι η εταιρεία «έχει δέσμευση απέναντι στους πελάτες να διερευνά αναφερόμενα ζητήματα ασφάλειας και να ενημερώνει τις επηρεαζόμενες συσκευές το συντομότερο δυνατό», προσθέτοντας ότι υποστηρίζει την «συντονισμένη αποκάλυψη ευπαθειών», μια ευρέως διαδεδομένη πρακτική του κλάδου. Ωστόσο, δεν ανακοίνωσε συγκεκριμένο χρονοδιάγραμμα για patch.

Ο Will Dormann, Senior Principal Vulnerability Analyst στην Tharros, παρατήρησε ότι η Υπηρεσία Αντιμετώπισης Θεμάτων Ασφάλειας της Microsoft (MSRC) δεν λειτουργεί πλέον τόσο αποτελεσματικά. «Η MSRC συνεργαζόταν άριστα στο παρελθόν. Αλλά για να μειώσει κόστη, η Microsoft απέλυσε τους έμπειρους υπαλλήλους, αφήνοντας άτομα που ακολουθούν απλώς διαγράμματα ροής,» σχολίασε, προσθέτοντας ότι δεν θα τον εξέπληττε αν η εταιρεία έκλεινε την υπόθεση επειδή ο ερευνητής αρνήθηκε να υποβάλει βίντεο του exploit.

Τι πρέπει να κάνετε τώρα

Μέχρι η Microsoft να κυκλοφορήσει επίσημη επιδιόρθωση για το YellowKey, οι χρήστες και οι οργανισμοί μπορούν να μειώσουν τον κίνδυνο λαμβάνοντας τα εξής μέτρα:

• Ενεργοποίηση PIN ή κωδικού πρόσβασης pre-boot για το BitLocker, ώστε η αποκρυπτογράφηση να μην εξαρτάται αποκλειστικά από το TPM.
• Απενεργοποίηση εκκίνησης από USB στις ρυθμίσεις BIOS/UEFI και ενεργοποίηση Secure Boot, ώστε να αποτρέπεται η φόρτωση μη αξιόπιστων μέσων.
• Φυσική ασφάλεια συσκευών: το YellowKey απαιτεί χειροπιαστή πρόσβαση, οπότε η φυσική προστασία εξοπλισμού — ιδίως φορητών υπολογιστών — περιορίζει σημαντικά το attack surface.
• Εφαρμογή όλων των διαθέσιμων ενημερώσεων Windows άμεσα, καθώς η Microsoft ενδέχεται να κυκλοφορήσει patch εκτός του τακτικού κύκλου Patch Tuesday.

Πηγές

• The Hacker News — Windows Zero-Days Expose BitLocker Bypasses And CTFMON Privilege Escalation
• Tweaktown — Security researcher finds zero-day exploit that defeats Windows 11 BitLocker
• Cybernews — Revenge exploit: "stabbed in the back" leaker drops Windows security bomb on GitHub
• Barracuda Networks Blog — Nightmare-Eclipse: six zero-days, six weeks and one big grudge
• Yahoo Tech — Security Researcher Claims Microsoft Secretly Built a Backdoor Into BitLocker
• PC Gamer — Security researcher describes freshly uncovered Windows 11 vulnerability as 'one of the most insane discoveries I ever found'