Un investigador anónimo de ciberseguridad que reveló tres vulnerabilidades de Microsoft Defender regresó con dos días cero más que involucran una omisión de BitLocker y una escalada de privilegios que afectan el Marco de traducción colaborativa de Windows (CTFMON).
El defectos de seguridad han sido nombrados en código llave amarilla y plasma verderespectivamente, por el investigador, que utiliza los alias en línea Chaotic Eclipse y Nightmare-Eclipse.
El investigador describió llave amarilla como «uno de los descubrimientos más locos que he encontrado», comparando la derivación de BitLocker con el funcionamiento de una puerta trasera, ya que el error sólo está presente en el entorno de recuperación de Windows (WinRE), un marco integrado diseñado para solucionar y reparar problemas comunes del sistema operativo que no arranca.
YellowKey afecta a Windows 11 y Windows Server 2022/2025. En un nivel alto, implica copiar archivos «FsTx» especialmente diseñados en una unidad USB o en la partición EFI, conectar la unidad USB a la computadora Windows de destino con las protecciones BitLocker activadas, reiniciar en WinRE y activar un shell manteniendo presionada la tecla CTRL.
«Creo que incluso MSRC tardará un tiempo en encontrar la verdadera causa raíz del problema. Simplemente nunca logré entender por qué esta vulnerabilidad está tan bien oculta», afirma el investigador. explicado. «Lo segundo es que no, TPM+PIN no ayuda, el problema aún se puede explotar de todos modos».
El investigador de seguridad Will Dormann, en un correo compartido en Mastodon, dijo: «Pude reproducir [YellowKey] con una unidad USB conectada», y agrega, «parece que los bits NTFS transaccionales en una unidad USB pueden eliminar el archivo winpeshl.ini en OTRA UNIDAD (X:). Y obtenemos un mensaje de cmd.exe, con BitLocker desbloqueado en lugar del entorno de recuperación de Windows esperado».
«Mientras el BitLocker solo para TPM bypass es realmente interesante, creo que la pista oculta aquí es que un directorio \System Volume Information\FsTx en un volumen tiene la capacidad de modificar el contenido de otro volumen cuando se reproduce», señaló Dormann. «Para mí, esto en sí mismo suena como una vulnerabilidad».
La segunda vulnerabilidad señalada por Chaotic Eclipse es un caso de seguridad de escalada de privilegios que podría explotarse para obtener un shell con permisos de SISTEMA. Surge como resultado de lo que se ha descrito como creación de secciones arbitrarias CTFMON de Windows.
La prueba de concepto (PoC) publicada está incompleta y carece del código necesario para obtener un shell del SISTEMA completo. En su forma actual, el exploit puede permitir a un usuario sin privilegios crear objetos de sección de memoria arbitrarios dentro de objetos de directorio que pueden ser escritos por el SISTEMA, permitiendo potencialmente la manipulación de servicios privilegiados o controladores que implícitamente confían en esas rutas, ya que un usuario estándar no tiene acceso de escritura a las ubicaciones.
El desarrollo se produce casi un mes después de que el investigador publicó tres días cero de Defender denominados BlueHammer, RedSun y UnDefend después de supuestamente expresar su insatisfacción con el manejo por parte de Microsoft del proceso de divulgación de vulnerabilidades. Desde entonces, las deficiencias han sido objeto de explotación activa en la naturaleza.
Si bien a BlueHammer se le asignó oficialmente el identificador CVE-2026-33825 y Microsoft lo parchó el mes pasado, Chaotic Eclipse dijo que el gigante tecnológico parece haberse dirigido «silenciosamente» a RedSun sin emitir ningún aviso.
«Espero que al menos intentes resolver la situación de manera responsable. No estoy seguro de qué tipo de reacción esperabas de mí cuando echaste más leña al fuego después de BlueHammer», dijo el investigador. «El fuego durará todo el tiempo que quieras, a menos que lo apagues o hasta que no quede nada que quemar.»
Chaotic Eclipse también prometió una «gran sorpresa» para Microsoft, coincidiendo con el próximo lanzamiento del Patch Tuesday en junio de 2026.
Cuando se le contactó para hacer comentarios, un portavoz de Microsoft había dicho previamente a The Hacker News que «tiene el compromiso del cliente de investigar los problemas de seguridad reportados y actualizar los dispositivos afectados para proteger a los clientes lo antes posible», y que apoya la divulgación coordinada de vulnerabilidades, lo que, según la compañía, «ayuda a garantizar que los problemas se investiguen y aborden cuidadosamente antes de la divulgación pública».
Se descubre un ataque de degradación de BitLocker
El desarrollo se produce cuando la empresa francesa de ciberseguridad Intrinsec detalló un cadena de ataque contra BitLocker que aprovecha una degradación del administrador de arranque al explotar CVE-2025-48804 (puntuación CVSS: 6,8) para evitar la protección de cifrado en sistemas Windows 11 completamente parcheados en menos de cinco minutos.
«El principio es el siguiente: el administrador de arranque carga el archivo de imagen de implementación del sistema (SDI) y el WIM al que hace referencia, y verifica la integridad del WIM legítimo», Intrinsec dicho.
«Sin embargo, cuando se agrega un segundo WIM al SDI con una tabla de blobs modificada, el administrador de arranque verifica el primer WIM (legítimo) mientras arranca simultáneamente desde el segundo (controlado por el atacante). Este segundo WIM contiene una imagen de WinRE infectada con 'cmd.exe', que se ejecuta con el volumen BitLocker descifrado».
Si bien las correcciones publicadas por Microsoft en julio de 2025 solucionaron este defecto de seguridad en julio de 2025, el investigador de seguridad Cassius Garat dijo que el problema radica en el hecho de que Secure Boot solo verifica el certificado de firma de un binario, no su versión. Como resultado, se puede utilizar una versión vulnerable de «bootmgfw.efi» que no contiene el parche y está firmada con el certificado PCA 2011 confiable para eludir las salvaguardas de BitLocker.
Vale la pena señalar que Microsoft planea retirar los antiguos certificados PCA 2011 el próximo mes. «Y siempre que no se revoque, incluso un administrador de arranque antiguo y vulnerable se puede cargar sin generar una alerta», señaló Intrinsec. Para llevar a cabo el ataque, un mal actor necesita tener acceso físico a la máquina objetivo.
Para contrarrestar el riesgo, es esencial habilitar una PIN de BitLocker al inicio para autenticación previa al arranque y migrar el administrador de arranque al Certificado CA 2023 y revocar el antiguo certificado PCA 2011.
