セキュリティ
セキュリティ専門家は、YellowKeyの主張が盗難ノートパソコンをさらに大きな問題にする可能性があると警告
既に今年3つのWindowsゼロデイを悪意を持って公開した匿名のセキュリティ研究者が、さらに2つの脆弱性を公開し、Microsoftの月次パッチチューズデーアップデートの直後にそれらを公開しました。
Nightmare-EclipseまたはChaotic Eclipse(どちらの別名を好むかによります)は、YellowKeyとGreenPlasmaの詳細を公開しました。それぞれBitLockerバイパスと権限昇格の欠陥であり、攻撃者にSYSTEMアクセス権を付与します。
The Registerの専門家は、両方の脆弱性が深刻なセキュリティ上の懸念をもたらすと警告し、特にNightmare-Eclipseがそれらを悪用するための詳細な技術情報を公開したことを指摘しました。
Nightmare-EclipseはYellowKeyを「これまで見つけた中で最も信じられない発見の一つ」と説明しました。彼らはUSBドライブに読み込む必要があるファイルを提供し、攻撃者がキーシーケンスを正しく完了すると、BitLockerで保護されたマシンへの無制限のシェルアクセスが付与されます。
このような主張に関しては、このバグがWindows PCへの物理的なアクセスを必要とするため、通常は注意を払う必要があります。しかし、BitLockerは盗まれたデバイスに対するWindowsの最後の防衛線として機能しているため、この技術をバイパスすることは泥棒に暗号化されたファイルへのアクセスを可能にします。
ForescoutのセキュリティインテリジェンスVPであるRik Fergusonは、「[研究者の主張]が成り立つ場合、盗まれたラップトップはハードウェア問題ではなく、違反通知になります」とコメントしました。
物理的なアクセスの必要性にもかかわらず、Bridewellのサイバー脅威インテリジェンスプリンシパルリードであるGavin KnappはThe Registerに、YellowKeyは「BitLockerを使用している組織にとって大きなセキュリティ上の問題である」と述べました。
サイバー脅威インテリジェンスサークルで共有された情報を引用して、彼はYellowKeyはBitLocker PINとBIOSパスワードロックを実装することで軽減できると述べました。
Nightmare-EclipseはYellowKeyが疑われるMicrosoftによって注入されたバックドアとしても機能することをほのめかしましたが、話を聞いた専門家たちは利用可能な情報に基づいてこれを検証することは不可能だと述べました。
研究者はまた、完全に形成された概念実証エクスプロイト(PoC)ではなく、GreenPlasmaの部分的なエクスプロイトコードを公開しました。
Fergusonは、攻撃者が研究者によって提供されたコードを利用して、それを自分たちで兵器化する方法を理解する必要があると指摘しました。これはそれほど簡単な作業ではありません。現在の状態では、デフォルトのWindows構成ではUAC同意プロンプトがトリガーされるため、サイレント状態でのエクスプロイトはまだ開発中です。
Knappは、このような権限昇格の欠陥は攻撃者が被害者のシステムに初期の足がかりを得た後に頻繁に使用されると警告しました。
「これらの権限昇格の脆弱性は事後搾取中に頻繁に兵器化され、脅威行為者がデータ盗難やランサムウェアの配備などの最終目標の前に、他のシステムへの横展開の前に、認証情報とデータを発見・収集できるようにします」と彼は述べました。
「現在、GreenPlasmaに対する既知の軽減策はありません。Microsoftが問題に対処する際にパッチを適用することが重要です。」
4つ、5つ…そしてそれ以上?
YellowKeyとGreenPlasmaは、研究者が今年公開した5つのMicrosoftゼロデイバグシリーズの最新です。
Nightmare-EclipseがBlueHammerをリリースした際(CVE-2026-32201、スコア6.5)- 4月にMicrosoftによってパッチが適用されました – 彼らは不満を持つ研究者として説明され、その後元マイクロソフト従業員である可能性が示唆されていました。
Chaotic Eclipseの別名での最初のブログ投稿によれば、バグ流出は信頼の違反が疑われる事件の後に始まったとのことです。
「ブログを再度開き、新しいGitHubアカウントでコードをドロップしたいとは決して思いませんでした」と彼らは書きました。「しかし、誰かが私たちの合意に違反し、私を何も持たずにホームレスに残しました。彼らはこれが起こることを知っていたのに、それでも私を背中から刺しました。これは私の決定ではなく、彼らの決定です。」
4月初旬、研究者はRedSunおよびUnDefendと名付けたWindows Defenderエクスプロイトの概念実証コード – それぞれ別の管理者権限昇格バグとサービス拒否フロー – およびBlueHammerをリークしました。
RedSunとUnDefendは両方ともまだ修正されていなく、Huntressによると、リリースされた概念実証コードは実際の攻撃で迅速に拾い上げられて悪用されました。
Fergusonは、YellowKeyとGreenPlasmaの暴露をMicrosoftに対する段階的でさらに報復的なキャンペーンの最新として説明し、より多くの暴露が来ることを警告しました。
「以前のリリースにはBlueHammerとRedSunが含まれており、両方ともコミュニティからの深刻な注目と実際のフォークを引き付けました」と彼は述べました。
「昨日のリリースをリンクする同じ投稿は、別のパッチチューズデーサプライズを警告し、将来のRCE開示をほのめかしています。彼らは死後スイッチを持つと主張しており、さらに多くの準備ができています。この研究者は以前のあらゆる脅迫に従ってきました。」 ®
ITを支える手に噛みつく
