吳明宜上個月接連公布三個 Windows 漏洞的研究人員,本周在 Microsoft 發布 5 月安全更新後,再度公開兩個零時差漏洞,分別涉及 BitLocker 與 Windows CTFMON 元件。
名為 Chaotic Eclipse(又稱 Nightmare-Eclipse)的研究人員,本周公開代號 YellowKey 與 GreenPlasma 的漏洞。其中 YellowKey 為 BitLocker 繞過漏洞,GreenPlasma 則為權限升級漏洞,兩者皆可能讓攻擊者取得 System 權限。
資安專家警告,由於 Nightmare-Eclipse 已公開大量漏洞濫用技術細節,使相關風險顯著升高。
根據 Nightmare-Eclipse 說法,YellowKey 是其「最狂的發現」。攻擊者需先將特定檔案下載至 USB 隨身碟,再插入受害者電腦。若成功完成指定操作序列,即可繞過 BitLocker 保護,以 shell 方式存取磁碟資料。
雖然實際取得受害電腦通常是網路攻擊的一大門檻,但若裝置遭竊,風險將大幅增加。由於 BitLocker 通常是 Windows PC 遭竊後保護資料的最後一道防線,一旦遭繞過,攻擊者便可能存取原本受加密保護的檔案。
Nightmare-Eclipse 進一步聲稱,YellowKey 屬於 Microsoft 植入的「後門程式」,原因在於形成漏洞的程式碼元件並未公開於網路,而是存在於 WinRE image 之中,且研究人員認為該元件也存在於已發布的 Windows 版本。不過,The Register
引述受訪資安專家指出,目前仍無法驗證這項說法。
至於 GreenPlasma,則是 Windows CTFMON 中的任意建立類 (Arbitrary Section Creation) 權限升級漏洞,最終可讓攻擊者取得 System 存取權。 Ctfmon.exe 是 Windows 負責語言列、輸入法切換與文字輸入服務的核心程序。不過 Nightmare-Eclipse 僅公開部分攻擊程式碼,尚未釋出完整概念驗證 (PoC) 程式。
安全專家指出,攻擊者仍需取得相關程式碼並進一步武器化,這並非小型工程。目前漏洞利用仍會觸發 Windows 預設的 UAC(User Account Control) 提示,代表研究人員可能仍在開發可繞過警示機制的攻擊方法。
這類權限升級漏洞通常會在攻擊者已入侵受害系統後,用於擴大存取權限。攻擊者多半會在「後滲透」(post-exploitation) 階段竊取憑證與資料,並進一步橫向移動至其他系統,以執行最終攻擊目標,例如資料竊取或部署勒索軟體。
目前 GreenPlasma 已確認影響 Windows 11 、 Windows Server 2022 與 Windows Server 2026,且尚無修補程式。至於 Windows 10 是否受影響,目前仍未確認。
Nightmare-Eclipse 今年稍早曾因不滿 Microsoft 處理漏洞通報的方式,陸續公開 BlueHammer 、 RedSun 與 UnDefend 等漏洞資訊。
來源:The Register