ADSENSE
|
Questo post é stato letto 50 volte!
Sicurezza windows 11: due zero-day minacciano bitlocker e privilegi system
Due nuove vulnerabilità zero-day, denominate YellowKey e GreenPlasma, riaccendono i timori sulla sicurezza windows 11 zero-day.
Queste criticità, scoperte da un ricercatore di sicurezza noto come Nightmare-Eclipse, mettono a rischio il sistema di crittografia BitLocker, l’ambiente di ripristino WinRE e l’elevazione dei privilegi utente al livello SYSTEM.
La pubblicazione di queste falle segue un braccio di ferro tra il ricercatore e Microsoft, con Nightmare-Eclipse che denuncia la gestione delle segnalazioni da parte del Microsoft Security Response Center.
Yellowkey e il bypass di bitlocker tramite winre
La vulnerabilità YellowKey colpisce Windows 11 e Windows Server 2022/2025, sfruttando componenti caricati nel Windows Recovery Environment (WinRE).
L’exploit permette di ottenere accesso completo a un volume protetto con BitLocker, richiedendo accesso fisico alla macchina e l’uso di un supporto USB.
Il ricercatore suggerisce che il modulo responsabile del comportamento anomalo esista solo nell’immagine WinRE, sollevando, seppur in modo speculativo, l’ipotesi di una possibile backdoor intenzionale.
Dal punto di vista tecnico, il problema sembra risiedere nella gestione delle chiavi di sblocco e nella fiducia concessa ai componenti di recovery durante la fase di boot.
Se un attaccante riesce a manipolare il percorso di avvio o a caricare componenti considerati attendibili, può estrarre o utilizzare materiale crittografico senza conoscere la chiave di ripristino di BitLocker.
Il bypass di BitLocker si concretizza copiando una cartella specifica (FsTx) su un supporto USB avviabile e riavviando il sistema in modalità WinRE.
WinRE, durante l’avvio, esamina o inizializza alcune strutture presenti in “System Volume Information”.
Se trova la struttura FsTx nel formato atteso, la tratta come materiale legittimo, permettendo l’apertura di una shell con accesso al volume protetto. È importante sottolineare che BitLocker non viene “rotto” crittograficamente, ma l’attacco sfrutta un percorso fiduciario dell’ambiente di ripristino.
Mitigare yellowkey: l’importanza del PIN pre-avvio
La tecnica descritta nel repository GitHub di YellowKey sembra colpire principalmente i sistemi configurati con BitLocker in modalità TPM-only, senza autenticazione aggiuntiva all’avvio.
In questa configurazione, il chip TPM rilascia automaticamente il materiale crittografico.
La situazione cambia significativamente quando BitLocker utilizza la modalità TPM+PIN.
In questo caso, il TPM non libera la chiave di sblocco senza l’inserimento manuale del PIN pre-boot.
Anche se un attaccante riuscisse a manipolare l’ambiente di recupero, il volume rimarrebbe cifrato in assenza dell’autenticazione aggiuntiva.
Per questo motivo, si consiglia sempre di attivare la protezione con PIN all’avvio del sistema.
Greenplasma e l’acquisizione dei diritti SYSTEM
Il secondo progetto, GreenPlasma, descrive una vulnerabilità di acquisizione dei privilegi legata a CTFMON, che consente la creazione arbitraria di “section object” all’interno di “directory object” considerati affidabili da Windows.
Secondo Nightmare-Eclipse, il bug permetterebbe a un utente locale con privilegi limitati di creare oggetti condivisi in percorsi normalmente considerati attendibili da servizi Windows e dal driver kernel.
Il ricercatore sostiene che diversi servizi effettuino controlli insufficienti sui “section object” presenti in directory accessibili, permettendo a un processo senza privilegi particolari di influenzare strutture utilizzate da codice in esecuzione con i diritti SYSTEM, rendendo possibile l’elevazione dei privilegi.
Al momento, il repository GitHub descrive il comportamento vulnerabile e fornisce elementi per riprodurre il problema, ma non un framework automatizzato pronto all’uso.
La tempistica della pubblicazione
La scelta di pubblicare i nuovi zero-day immediatamente dopo il Patch Tuesday di Microsoft non sembra casuale.
Questa tempistica assicura che le falle rimangano esposte per settimane prima della patch successiva, aumentando l’impatto mediatico e la pressione su Microsoft.
Il comportamento di Nightmare-Eclipse suggerisce una strategia che va oltre la “full disclosure”, con i tool pubblicati che formano quasi una catena offensiva per compromettere diversi aspetti della sicurezza di Windows.
Questo post é stato letto 50 volte!