研究者がYellowKey、GreenPlasma Windowsゼロデイを公開

不満を持つセキュリティ研究者が今週、BitLockerのバイパスと権限昇格を可能にするWindowsの2つのゼロデイ脆弱性を公開しました。

BitLockerはWindowsの組み込みフルボリューム暗号化機能で、TPM（信頼できるプラットフォームモジュール）に依存してハードウェアベースのセキュリティを提供し、デバイスが盗まれたり紛失したりした場合にユーザーのデータを不正アクセスから保護します。

火曜日、Chaotic EclipseおよびNightmare Eclipseとして知られるサイバーセキュリティ研究者が、Windows 11を実行しているマシンへの物理的アクセス権を持つ攻撃者がBitLockerをバイパスしてストレージボリュームへの無制限のアクセスを得ることを可能にするPoC（概念実証）コードを公開しました。このエクスプロイトはYellowKeyと呼ばれています。

これはChaotic Eclipseがマイクロソフト製品の未パッチ脆弱性を公開するのは初めてではなく、研究者は以前、大手テック企業の脆弱性報告への対応に不満があることを示唆していました。　

研究者によると、YellowKeyの根本的な問題は、明確な根本原因のない非常に隠れた脆弱性であり、BitLockerに意図的に植え込まれたバックドアの可能性があります。

研究者のエクスプロイトチェーンはPoC フォルダをUSBドライブにコピーし、BitLockerが有効なWindowsマシンに接続することから始まります。ただし、リムーバブルドライブなしでEFIパーティションにファイルをコピーすることでも実行できます。

次に、「再起動」をクリックしながらShiftキーを押し続けてWindows回復環境（WinRE）にデバイスを再起動し、その後すぐにShiftを離してCtrlキーを押し続け、コマンドプロンプトウィンドウが表示されるまで保持して、保護されたボリュームへのアクセスを提供する必要があります。

「では、なぜこれがバックドアだと言うのでしょうか？このバグを担当するコンポーネントはWinREイメージ内以外のどこにも（インターネット上にさえも）存在しませんが、疑惑を生じさせるのは、全く同じコンポーネントが通常のWindows インストールでも全く同じ名前で存在しているという事実ですが、BitLockerバイパスの問題をトリガーする機能がないということです」とChaotic Eclipse述べています。

KevinBeaumont、KevTheHermit、Will Dormannを含む複数のセキュリティ研究者がエクスプロイトをテストし、最近のWindows 11ビルドに対しても機能することを確認しました。

Chaotic Eclipseは、YellowKeyはTPM PINで保護されたデバイス（マシンのロックを解除するために必要なユーザー定義のプリブート認証コード）でも機能することを警告しましたが、このバイパスのPoC公開は控えました。

JaGoTuなどのPoC エクスプロイトをテストしたセキュリティ研究者によると、TPM PINアタックの成功はWinRe実装に依存するようです。　

YellowKeyは10年前に発見されたWindows脆弱性を思い出させます。これはWindows 10の機能更新中にSHIFT+F10を押したままにすることでBitLockerをバイパスできました。BitLockerが無効な間に管理者特権を提供するシェルを生成しました。

Chaotic Eclipseがドロップした2番目のゼロデイWindowsエクスプロイトはGreenPlasmaという名前で、攻撃者が特権をSystemに昇格させることができます。研究者は完全なSystemシェルを達成するために必要なコードを削除したPoC エクスプロイトを公開しました。

「PoCは、Systemで書き込み可能な任意のディレクトリオブジェクト内に任意のメモリセクションオブジェクトを作成します」とChaotic Eclipseは述べ、カーネルモードドライバを含む様々なWindowsサービスを操作するために使用できることを説明しました。

「現在の概念実証の制限があっても、System レベルの特権への道は詳しく調査する価値があります。完全に悪用された場合、そのような昇格により、攻撃者は保護を無効にし、信頼できるプロセスを操作し、マルウェアをデプロイするか、侵害されたマシンをより広い環境への足がかりとして使用できます」とSwimLane主任セキュリティソリューションアーキテクトJoshua Robackは述べました。

Corsica Technologies CISOのRoss Filipekによると、新しくリリースされたPoC コードにより、攻撃者は独自のエクスプロイトをすぐに兵器化し、野生のゼロデイの欠陥を標的にし始めることができます。

「公開されたゼロデイリリースは常にリスク方程式を変更します。発見から悪用までの時間を縮めるためです。この場合、YellowKeyとGreenPlasmaは2つの異なるが関連する懸念を公開しています。保護されたデータへのアクセスと権限昇格の可能性です。エクスプロイトに制限がある場合でも、概念実証コードは攻撃者にテスト、変更、より広い侵入チェーンに組み込むことができる出発点を提供します」とFilipekは述べました。

SecurityWeekはゼロデイエクスプロイトに関する声明をマイクロソフトにメールで送信しており、会社が応答した場合はこの記事を更新します。

4月初旬、Chaotic EclipseはBlueHammerを対象とするPoC エクスプロイトコードを公開しました。これはマイクロソフトが4月のパッチチューズデイにパッチを当てたWindows Defender セキュリティの欠陥です。脅威アクターは修正がロールアウトされる4日前に悪用を開始しました。