BitLocker nel mirino: pubblicati due nuovi exploit zero-day per Windows senza patch

Il ricercatore Chaotic Eclipse ha pubblicato due exploit zero-day per Windows denominati YellowKey e GreenPlasma. Il primo bug di sicurezza consente di aggirare BitLocker tramite WinRE, mentre il secondo permette LPE a SYSTEM sfruttando CTFMON. Gli esperti confermano la validità degli attacchi e avvertono che queste falle possono facilitare portare a movimenti laterali, furto di credenziali e ransomware.

Insoddisfatto delle azioni di Microsoft, il ricercatore di sicurezza Chaotic Eclipse (noto anche come Nightmare-Eclipse) ha pubblicato su GitHub altri due exploit per vulnerabilità non ancora corrette. Questa volta si tratta di YellowKey, una vulnerabilità che aggira BitLocker, e GreenPlasma, una vulnerabilità di escalation dei privilegi che consente agli aggressori di accedere ai privilegi di SYSTEM.

Ricordiamo che nell’aprile del 2026 il ricercatore pubblicò gli exploit BlueHammer , RedSun e UnDefend , affermando di averlo fatto per protestare contro il trattamento riservato agli specialisti della sicurezza informatica dal Microsoft Security Response Center (MSRC). Sostenne inoltre di essere stato minacciato da rappresentanti di Microsoft che gli avrebbero promesso di “rovinargli la vita”.

Inoltre, nel suo precedente post, Chaotic Eclipse aveva minacciato di continuare a pubblicare exploit per l’esecuzione di codice remoto (RCE) dopo ogni patch rilasciata da Microsoft, e intendeva rendere ogni post successivo “ancora più divertente”.

Il ricercatore ha mantenuto la promessa e, dopo il Patch Tuesday di maggio, ha rilasciato exploit per altre due vulnerabilità zero-day. “Ho notato che Microsoft ha corretto silenziosamente la vulnerabilità RedSun, senza un CVE o altro, solo con un aggiornamento furtivo. Non è sorprendente, visto che non ammettono mai i loro errori, ma dato che la vulnerabilità è stata attivamente sfruttata, la mancanza di qualsiasi notifica è semplicemente incredibile”, scrive il ricercatore.

Chaotic Eclipse definisce la nuova vulnerabilità YellowKey una delle sue “scoperte più folli”. L’exploit interessa Windows 11 e Windows Server 2022/2025 e consente l’accesso a un’unità protetta da BitLocker tramite l’ambiente di ripristino di Windows (WinRE).

L’attacco consiste nel posizionare file FsTx appositamente creati su un’unità USB o una partizione EFI. Dopo aver caricato WinRE e premuto il tasto CTRL, l’attaccante ottiene una shell con accesso all’unità decrittografata. Il ricercatore afferma che il problema è legato al modo in cui WinRE gestisce le transazioni NTFS.

Will Dormann, rinomato specialista in sicurezza informatica e analista di vulnerabilità di spicco presso Tharros, ha già confermato la funzionalità dell’attacco tramite unità USB e ha spiegato che Windows Recovery riproduce automaticamente i log NTFS dalle directory System Volume InformationFsTx. Di conseguenza, viene avviato cmd.exe anziché l’ambiente di ripristino standard, mentre l’unità rimane sbloccata.

Anche il ricercatore di sicurezza indipendente Kevin Beaumont ha confermato che l’exploit funziona e ha raccomandato di utilizzare un PIN di BitLocker insieme alla password del BIOS. Tuttavia, Chaotic Eclipse afferma che la vulnerabilità può essere sfruttata anche in configurazioni TPM+PIN, sebbene non abbia ancora pubblicato una prova di concetto per questo scenario.

Gli esperti sottolineano che la versione attuale di YellowKey non consente semplicemente di collegare un’unità rubata a un altro PC e accedere ai dati. L’exploit funziona solo sul dispositivo originale, dove il TPM memorizza le chiavi di decrittazione di BitLocker.

Il secondo exploit, GreenPlasma , prevede l’escalation dei privilegi locali tramite il meccanismo CTFMON. Questa vulnerabilità consente a un utente standard di creare oggetti partizione di memoria arbitrari in directory accessibili da SYSTEM. Ciò apre potenzialmente la strada alla manipolazione di servizi e driver che dipendono da tali percorsi.

La Proof-of-Concept pubblicata per GreenPlasma è incompleta e non consente ancora di ottenere una shell SYSTEM completamente funzionante fin da subito. Tuttavia, Chaotic Eclipse segnala che un attaccante esperto potrebbe facilmente perfezionare l’exploit.

Gli esperti avvertono che tali vulnerabilità sono particolarmente pericolose nella fase successiva allo sfruttamento. Dopo aver ottenuto l’accesso iniziale a un sistema, gli aggressori sfruttano queste falle di sicurezza per rubare le credenziali, navigare nella rete e lanciare attacchi ransomware.

I rappresentanti di Microsoft hanno già dichiarato ai media che l’azienda sta indagando sulle segnalazioni di vulnerabilità al fine di “aggiornare i dispositivi interessati il prima possibile per proteggere i clienti”.

Non sono ancora disponibili patch né per YellowKey né per GreenPlasma. Chaotic Eclipse, tuttavia, promette una “sorpresa” per il prossimo “Patch Tuesday” e afferma che continuerà a pubblicare exploit zero-day per Windows.

Tutto questo ci fa venire in mente la disputa a suon di exploit avvenuta molto tempo fa tra Microsoft e Sandboxescaper, una ricercatrice di bug che sfidò apertamente Microsoft a suon di exploit e pubblicazioni di bug prive di patch. Non so quanti si ricordano come andò a finire. Venne assunta da Microsoft e divenne una loro dipendente.

Carolina Vivianti

Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.

Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance