Дослідник з кібербезпеки Chaotic Eclipse оприлюднив дані про два нові критичні експлойти для Windows — YellowKey та GreenPlasma. Найбільшу загрозу становить YellowKey, який дозволяє обійти шифрування BitLocker без використання ключів відновлення. Вразливість актуальна для Windows 11, а також Windows Server 2022 та 2025. На момент публікації офіційної реакції або патчів від Microsoft немає.
Метод активації YellowKey вражає своєю простотою: зловмиснику достатньо скопіювати папку «FsTx» зі спеціальним вмістом на USB-накопичувач і перезавантажити комп’ютер у середовище відновлення, утримуючи клавішу Ctrl. Видання Tom’s Hardware перевірило метод і підтвердило його працездатність — система відкриває командний рядок з повним доступом до зашифрованих файлів без запиту пароля. Журналісти зауважили, що після використання файли на флешці зникають автоматично, що притаманно навмисно прихованим бекдорам.
Другий експлойт, GreenPlasma, маніпулює процесом CTFMon, дозволяючи будь-якій програмі отримати доступ до системної пам’яті в обхід стандартних обмежень. Це надає зловмисникам права вищі за рівень адміністратора, що критично для серверних середовищ. Дослідник також додав, що навіть конфігурації з TPM та PIN-кодом не забезпечують повного захисту, оскільки він має окреме рішення для таких сценаріїв, яке поки не оприлюднював.
Публікація вразливостей стала наслідком ігнорування звітів дослідника з боку Microsoft. Раніше Chaotic Eclipse вже виявляв прогалини в Windows Defender (BlueHammer та RedSun), частину з яких корпорація закрила без офіційного визнання. Автор підкреслив, що свідомо відмовився від продажу цих експлойтів на користь публічного розголосу, аби стимулювати розробників до реального посилення безпеки операційної системи.
