文章总结： 研究人员公布两个Windows零日漏洞概念验证：YellowKey可绕过BitLocker加密，通过在WinRE环境中利用NTFS事务访问受保护驱动器；GreenPlasma是权限提升漏洞，允许创建内存节对象操纵系统服务。专家建议使用BitLockerPIN码和BIOS密码缓解风险，微软表示将尽快修复。 综合评分： 82 文章分类： 漏洞分析,恶意软件,应急响应,终端安全,漏洞预警

【安全圈】研究人员公布概念验证，利用 Windows BitLocker 零日漏洞可访问受保护驱动器

安全圈

2026年5月14日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

一名网络安全研究人员公布了针对两个未修复的微软 Windows 漏洞的概念验证（PoC）利用程序，这两个漏洞分别名为 YellowKey 和 GreenPlasma，其中 YellowKey 可绕过 BitLocker 加密，GreenPlasma 是一个权限提升漏洞。

这位名为 Chaotic Eclipse 或 Nightmare Eclipse 的研究人员称，BitLocker 绕过漏洞就像一个后门，因为存在漏洞的组件仅在 Windows 恢复环境（WinRE）中出现，该环境用于修复 Windows 系统的启动相关问题。

此次公布的漏洞利用紧随该研究人员之前披露的 BlueHammer（CVE – 2026 – 33825）和 RedSun（无编号）本地权限提升（LPE）零日漏洞，这两个漏洞在公开披露后不久便开始在实际中被利用。

与之前的情况一样，该研究人员表示，公开披露 YellowKey 和 GreenPlasma 漏洞以及如何利用它们，是因为对微软处理漏洞报告的方式不满。

Chaotic Eclipse（在 GitHub 上名为 Nightmare – Eclipse）表示，他们将继续泄露针对未记录的 Windows 漏洞的利用程序，甚至承诺在下一个 “补丁星期二” 给大家 “一个大惊喜”。

YellowKey：绕过 BitLocker 加密

该研究人员称，YellowKey 可绕过 BitLocker 加密，影响 Windows 11 以及 Windows Server 2022/2025 系统。利用方法是在 USB 驱动器或 EFI 分区上放置特制的 “FsTx” 文件，重启进入 WinRE，然后按住 CTRL 键触发一个命令行窗口。

此外，无需外部存储设备，将文件复制到目标驱动器的 EFI 分区，也能实现对 BitLocker 的绕过。

据 Chaotic/Nightmare Eclipse 称，触发的命令行窗口可无限制访问受 BitLocker 保护的存储卷。

独立安全研究员凯文・博蒙特（Kevin Beaumont）证实 YellowKey 漏洞利用有效，并认同 BitLocker 存在后门。他建议使用 BitLocker PIN 码和 BIOS 密码作为缓解措施。

Chaotic Eclipse 在今日的更新中表示，“公众仍不清楚真正的根本原因”，并且即使在启用可信平台模块（TPM）和 PIN 码的环境中，该漏洞依然可被利用。不过，针对此版本的漏洞利用程序尚未发布。

该研究人员称：“我认为即使对微软安全响应中心（MSRC）来说，要找到问题的真正根本原因也需要一些时间。我一直不明白为什么这个漏洞隐藏得如此之深。”

“不，TPM + PIN 码并无帮助，无论如何该漏洞都可被利用。我问过自己，它在 TPM + PIN 码环境下还能起作用吗？答案是肯定的，我只是不发布这个概念验证，我觉得目前已公开的内容已经够糟糕了。”

萨罗斯实验室（Tharros Labs）的首席漏洞分析师威尔・多尔曼（Will Dormann）也证实，使用 USB 驱动器上的 FsTx 文件，YellowKey 漏洞利用确实有效，但使用 EFI 分区无法复现该漏洞。

他向 BleepingComputer 解释说：“YellowKey 结合 Windows 恢复镜像，利用了 NTFS 事务。PIN 码提示出现在进入 Windows 恢复环境之前。”

多尔曼详细说明了漏洞利用过程，为了启动 Windows 恢复环境，“Windows 会在连接的驱动器上查找 \System Volume Information\FsTx 目录，并会重放任何 NTFS 日志。”

默认情况下，仅使用 TPM 的 BitLocker 配置会自动解锁加密驱动器，无需用户干预。如果系统为了方便能透明解密磁盘，那么攻击者最终可能找到滥用该过程的方法，这并不意外。

多尔曼说：“YellowKey 就是利用此类弱点的一个例子。” 他解释说，由于该漏洞利用了启动时的自动解锁功能，当前的 YellowKey 漏洞利用在 TPM + PIN 码环境下不起作用。

值得注意的是，使用受 BitLocker 保护的驱动器测试 YellowKey，必须在 TPM 存储加密密钥的原始设备上进行。

因此，Chaotic Eclypse 目前的 YellowKey 漏洞利用对被盗驱动器无效，但可在无需凭证的情况下访问仅用 TPM 保护的 BitLocker 磁盘。

GreenPlasma 漏洞利用

GreenPlasma 是一个权限提升安全漏洞，可被利用来获取具有 SYSTEM 权限的命令行窗口。Chaotic Eclipse 将其描述为 “Windows CTFMON 任意节创建权限提升漏洞”。

普通用户可在 SYSTEM 可写的目录对象内创建任意内存节对象，这可能导致对信任这些位置的特权服务或驱动程序进行操纵。

不过，泄露的概念验证并不完整，缺少实现完整 SYSTEM 权限命令行窗口所需的组件。尽管如此，Chaotic Eclipse 表示：“如果你足够聪明，就能将其转化为完全的权限提升。”

这位不满的研究人员补充说，新创建的节可被影响，从而操纵数据以及包括内核模式驱动在内的各种服务，使其信任标准用户无法访问的特定路径。

虽然尚不清楚是什么确切原因导致 Chaotic Eclipse 大量泄露漏洞利用程序，但该研究人员暗示在下个月的 “补丁星期二” 会给微软 “一个大惊喜”。

此外，他们还称 “微软悄悄修复了 RedSun 漏洞”，并批评微软这种悄无声息的做法，以及未像 BlueHammer 漏洞那样为该漏洞分配编号。

BleepingComputer 已联系微软，就 Chaotic Eclipse 最新泄露漏洞利用程序一事征求评论，微软发言人表示，公司致力于调查报告的安全问题，“并尽快更新受影响设备，以保护客户。”

微软发言人告诉 BleepingComputer：“我们也支持协调漏洞披露，这是一种被广泛采用的行业做法，有助于确保在公开披露前，对问题进行仔细调查和处理，既保护客户，也支持安全研究社区。”

END

阅读推荐

【安全圈】苹果修复 macOS 和 iOS 系统数十个漏洞

【安全圈】Windows 11遭新型BitUnlocker降级攻击：5分钟内可解密加密磁盘

【安全圈】Exim 新 BDAT 漏洞致 GnuTLS 构建面临代码执行风险

【安全圈】警惕！你的蓝牙可能正被监听 改一个设置就能有效防护

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】研究人员公布概念验证，利用 Windows BitLocker 零日漏洞可访问受保护驱动器》