サイバーセキュリティ研究者が、BitLocker回避とプリビレッジエスカレーション脆弱性であるYellowKeyとGreenPlasmaという2つの未パッチのMicrosoft Windows脆弱性の概念実証(PoC)エクスプロイトを公開しました。
Chaotic EclipseまたはNightmare Eclipseとして知られている研究者は、このBitLocker回避問題はバックドアのように機能すると説明しており、脆弱なコンポーネントはWindowsの起動関連の問題を修復するために使用されるWindows Recovery Environment(WinRE)にのみ存在しています。
最新のエクスプロイトは、研究者による以前のRedSun脆弱性の公開に続くものです。GitHubのChaotic EclipseまたはNightmare-Eclipseは、ドキュメント化されていないWindows脆弱性のエクスプロイトを引き続きリークし、来月のパッチチューズデーで「大きなサプライズ」を約束していると述べています。
YellowKey BitLocker回避
研究者によると、YellowKeyはBitLocker回避で、Windows 11およびWindows Server 2022/2025に影響します。USBドライブまたはEFIパーティションに特別に細工された「FsTx」ファイルを配置し、WinREに再起動してCTRLキーを押して保持しシェルをトリガーします。
さらに、BitLocker回避はターゲットドライブのEFIパーティションにファイルをコピーすることで、外部ストレージなしでも機能するはずです。
Chaotic/Nightmare Eclipseによると、生成されたシェルはBitLockerで保護されたストレージボリュームへの無制限アクセスを取得します。
独立系セキュリティ研究者Kevin BeautmontはYellowKeyエクスプロイトが有効であることを確認し、BitLockerにバックドアがあることに同意しました。彼はBitLocker PINとBIOSパスワードを軽減策として推奨しています。
本日のアップデートで、Chaotic Eclipseは「真の根本原因はまだ一般大衆には不明[原文ママ]」であり、この脆弱性はTPM(信頼できるプラットフォームモジュール)およびPIN環境でも悪用可能であると述べました。ただし、このバージョンのエクスプロイトはリリースされていません。
「MSRCでも根本原因を見つけるのに時間がかかると思います。この脆弱性がなぜこんなに巧妙に隠されているのか、私は理解できませんでした」と研究者は述べた。
「いいえ、TPM+PINは役に立ちません。この問題は関係なく悪用可能です。私はこの問題を自分に問いかけました。TPM+PIN環境でもまだ動作するのか?はい、動作します。ただし、PoC公開はしていません。すでに出回っているもので十分に悪いと思っています。」
Tharros LabsのプリンシパルVulnerability AnalystであるWill Dormannは、YellowKeyエクスプロイトがUSBドライブ上のFsTxファイルで機能したことを確認したものの、EFIパーティションを使用してバグを再現することはできませんでした。
彼はBleepingComputerに「YellowKeyはWindows Recovery イメージと組み合わせてNTFSトランザクションを悪用します。このPINプロンプトはWindows Recoveryが入力される前に発生します」と説明しました。
Dormannはエクスプロイトプロセスを明確にし、Windows Recoveryをブートするために「Windowsは接続されているドライブ上の\System Volume Information\FsTxディレクトリを探し、すべてのNTFSログをリプレイします」と述べました。
「その結果、X:\Windows\System32\winpeshl.iniが削除され、Windows Recoveryが入力されると、実際のWindows Recovery環境を起動する代わりにCMD.EXEがポップアップします。ディスクはまだロック解除されたままです」- Will Dormann
デフォルトでは、TPM限定BitLocker構成は、ユーザーインタラクションを必要とさずに暗号化されたドライブを自動的にロック解除します。システムが利便性のためにディスクを透過的に復号化できる場合、攻撃者がそのプロセスを悪用する方法を見つける可能性があることは合理的に予想できます。
「YellowKeyはそのような脆弱性を悪用するエクスプロイトの一例です」とDormannは述べており、起動時のオートアンロック機能を活用しているため、現在のYellowKeyエクスプロイトはTMP+PIN環境では機能しないと説明しています。
YellowKeyをBitLocker保護されたドライブでテストする場合、TPMが暗号化キーを保存するオリジナルデバイスで実行する必要があることは注目に値します。
そのため、Chaotic EclypseのYellowKeyエクスプロイトは盗まれたドライブでは機能しませんが、認証情報なしでTPM限定BitLockerで保護されたディスクへのアクセスを許可します。
GreenPlasmaエクスプロイト
GreenPlasmaはシステム権限を持つシェルを取得するために悪用できるプリビレッジエスカレーションセキュリティ問題です。Chaotic Eclipseはこれを「Windows CTFMON任意セクション作成プリビレッジエスカレーション脆弱性」と説明しています。
権限のないユーザーは、SYSTEM書き込み可能なディレクトリオブジェクト内で任意のメモリセクションオブジェクトを作成でき、その場所を信頼する特権サービスまたはドライバーの操作を可能にする可能性があります。
ただし、リークされたPoCは不完全で、完全なシステムシェルを実現するために必要なコンポーネントが不足しています。しかし、「十分な知識があれば、これを完全なプリビレッジエスカレーションに変えることができます」とChaotic Eclipseは述べています。
不満の研究者は、新しく作成されたセクションは、データを操作し、カーネルモードドライバーを含むさまざまなサービスを、標準ユーザーがアクセスできない特定のパスを信頼するように影響される可能性があると追加しました。
Chaotic Eclipseのエクスプロイトリークの流出を引き起こした正確な状況は不明なままですが、研究者は来月のパッチチューズデーでMicrosoftに「大きなサプライズ」を約束しています。
さらに、彼らは「Microsoftはサイレントにi RedSun脆弱性をパッチしました」と述べ、この静かな活動と、BlueHammerの場合と同様に脆弱性の識別子を割り当てないことに対して会社を批判しました。
BleepingComputerはChaotic Eclipseの最新エクスプロイトリークについてコメントのためMicrosoftに連絡したところ、同社は報告されたセキュリティ問題の調査に取り組んでいると述べた報道官は述べたとのことです。「影響を受けたデバイスをできるだけ早く更新して顧客を保護します。」
「また、調整された脆弱性の公開は業界で広く採用されている慣行をサポートしており、問題が公開開示前に慎重に調査および対処されることを確保し、顧客保護とセキュリティ研究コミュニティの両方をサポートしています」とMicrosoftの報道官がBleepingComputerに述べました。
Mythosが見つけたもののうち99%がまだパッチされていません。
AIが4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が来ています。
Autonomous Validation Summit(5月12日&14日)では、自律的で文脈を理解した検証がどのように悪用可能なものを見つけ、コントロールが機能することを証明し、修復ループを閉じるかをご覧ください。
