'YellowKey' solo está presente en el Entorno de Recuperación de Windows (WinRE)

Un investigador anónimo de ciberseguridad que reveló tres vulnerabilidades de Microsoft Defender ha vuelto con dos vulnerabilidades de día cero más que implican una elusión de BitLocker y una escalada de privilegios que afecta al Marco de Traducción Colaborativa de Windows (CTFMON).

El investigador, que utiliza los alias en línea Chaotic Eclipse y Nightmare-Eclipse, ha denominado a los fallos de seguridad con los nombres en clave YellowKey y GreenPlasma, respectivamente.

El investigador describió YellowKey como "uno de los descubrimientos más descabellados que he encontrado", comparando la forma de eludir BitLocker con el funcionamiento de una puerta trasera, ya que el fallo solo está presente en el Entorno de Recuperación de Windows (WinRE), un marco integrado diseñado para solucionar y reparar problemas comunes de sistemas operativos que no arrancan.

YellowKey afecta a Windows 11 y Windows Server 2022/2025. En términos generales, consiste en copiar archivos "FsTx" especialmente diseñados en una unidad USB o en la partición EFI, conectar la unidad USB al ordenador Windows de destino con las protecciones BitLocker activadas, reiniciar en WinRE y acceder a una consola manteniendo pulsada la tecla CTRL.

"Creo que incluso a MSRC le llevará un tiempo encontrar la verdadera causa raíz del problema. Nunca he logrado comprender por qué esta vulnerabilidad está tan bien oculta", explicó el investigador. "En segundo lugar, no, TPM+PIN no ayuda; el problema sigue siendo explotable de todos modos".

El investigador de seguridad Will Dormann, en una publicación compartida en Mastodon, dijo: "Logré reproducir YellowKey con una unidad USB conectada", y agregó: "Parece que los bits NTFS transaccionales en una unidad USB pueden eliminar el archivo winpeshl.ini en OTRA UNIDAD (X:). Y obtenemos un indicador de cmd.exe, con BitLocker desbloqueado en lugar del entorno de recuperación de Windows esperado".

"Si bien la elusión de BitLocker mediante TPM es interesante, creo que lo más importante aquí es que un directorio \System Volume Information\FsTx en un volumen tiene la capacidad de modificar el contenido de otro volumen cuando se reproduce", señaló Dormann. "Para mí, esto en sí mismo suena a vulnerabilidad".

La segunda vulnerabilidad detectada por Chaotic Eclipse es un caso de escalada de privilegios que podría explotarse para obtener una shell con permisos de SYSTEM. Surge como resultado de lo que se ha descrito como la creación arbitraria de secciones CTFMON de Windows.

La prueba de concepto (PoC) publicada está incompleta y carece del código necesario para obtener una shell completa del sistema. En su forma actual, la vulnerabilidad permite a un usuario sin privilegios crear objetos de sección de memoria arbitrarios dentro de directorios con permisos de escritura para el sistema, lo que podría permitir la manipulación de servicios o controladores privilegiados que confían implícitamente en esas rutas, ya que un usuario estándar no tiene acceso de escritura a dichas ubicaciones.

Este acontecimiento se produce casi un mes después de que el investigador publicara tres vulnerabilidades de día cero en Defender, denominadas BlueHammer, RedSun y UnDefend, tras supuestamente expresar su descontento con la gestión de Microsoft en el proceso de divulgación de vulnerabilidades. Desde entonces, estas deficiencias han sido objeto de explotación activa.

Si bien a BlueHammer se le asignó oficialmente el identificador CVE-2026-33825 y Microsoft lo parcheó el mes pasado, Chaotic Eclipse afirmó que el gigante tecnológico parece haber abordado RedSun "silenciosamente" sin emitir ningún aviso.

"Espero que al menos intenten resolver la situación de forma responsable. No sé qué tipo de reacción esperaban de mí cuando echaron más leña al fuego tras el incidente de BlueHammer", dijo el investigador. "El fuego seguirá ardiendo todo el tiempo que quieran, a menos que lo apaguen o que no quede nada que quemar".

Chaotic Eclipse también prometió una "gran sorpresa" para Microsoft, coincidiendo con el próximo lanzamiento de Patch Tuesday en junio de 2026.