文章总结： 匿名研究员ChaoticEclipse于2026年5月12日公开两个Windows零日漏洞：YellowKey可通过物理接触绕过BitLocker加密，GreenPlasma为本地提权漏洞。这是其第三轮报复性披露，前两轮漏洞已被实战利用。YellowKey影响Win11/Server系统，GreenPlasma利用CTFMON攻击面，概念验证不完整。微软尚未正式回应，建议及时关注官方补丁。 综合评分： 78 文章分类： 漏洞分析,威胁情报,恶意软件,应急响应,红队

一名匿名研究员的「补丁日特别表演」：YellowKey 与 GreenPlasma 把微软逼到墙角

原创

🅼🅰🆈 🅼🅰🆈

独眼情报

2026年5月14日 10:45 湖北

在小说阅读器读本章

去阅读

长话短说

一名自称 Chaotic Eclipse / Nightmare-Eclipse 的匿名研究员，于 2026 年 5 月 12 日微软「补丁星期二」当天，向 GitHub 公开释出第四、第五枚 Windows 零日漏洞利用代码：YellowKey（BitLocker 加密绕过）与 GreenPlasma（本地权限提升至 SYSTEM）。

这是 2026 年 3 月底以来这名研究员对微软发起的第三轮报复性公开披露。前两轮的 BlueHammer、RedSun、UnDefend 已被实战利用——其中 BlueHammer 被纳入美国网络安全和基础设施安全局（CISA）的「已知被利用漏洞」目录，要求联邦机构限期修补。

YellowKey 的杀伤力在于：仅需对目标设备的物理接触即可绕过 BitLocker 完整磁盘加密——这意味着「丢失的笔记本电脑」从一桩硬件资产事件直接升格为数据泄露通报事件。GreenPlasma 是不完整版本的概念验证代码，作者刻意把最后一步留作「夺旗赛挑战」，但其依赖的 CTFMON 攻击面在补丁出来前都将是企业内部横向移动的现成踏板。

截至发稿，微软尚未就 YellowKey 和 GreenPlasma 公开作出技术回应。

五枚漏洞的全景

第一批（4 月 2 日 ~ 4 月 16 日）：Defender 三件套

BlueHammer（CVE-2026-33825，CVSS 7.8）：基于 Windows Defender 修复流程中「检查时间—使用时间」（TOCTOU）竞争条件的本地提权，已修复。攻击链结合伪造文件触发 Defender、批量机会锁（oplock）暂停修复操作、路径重定向，最终把 SYSTEM 级别的文件写操作重定向到攻击者目标。

RedSun：BlueHammer 的「写路径孪生」——同一攻击面但用作把任意文件写入 C:\Windows\System32，让 Windows 以 SYSTEM 权限执行替换后的二进制文件。截至发稿仍未修复。

UnDefend：让标准用户阻断 Defender 接收签名更新，或在微软推送重大 Defender 更新时直接禁用 Defender。截至发稿仍未修复。

Huntress 在 4 月中旬披露的事件复盘显示，三件套并非纯概念验证测试，已经被一组通过 FortiGate SSL VPN 入侵的攻击者作为后渗透工具实际部署。攻击者使用了 Go 语言编译的隧道工具 BeigeBurrow，命令行 agent.exe -server staybud.dpdns.org:443 -hide，源 IP 跨俄罗斯、新加坡、瑞士三地切换。

第二批（5 月 12 日）：YellowKey 与 GreenPlasma

YellowKey —— 跨过 BitLocker 这道「最后防线」。

技术路径：把研究员提供的 FsTx 目录拷贝到 USB 盘的 System Volume Information 特定路径下，将设备插入目标机；按住 Shift 点重启进入 Windows 恢复环境（WinRE），松开 Shift 按住 CTRL；若时机正确，系统弹出对 BitLocker 受保护卷的无限制访问命令行。研究员同时说明：若能短暂从目标机取出磁盘把 FsTx 文件直接写入 EFI 系统分区，再装回机器，攻击同样成立。

影响面：Windows 11 和 Windows Server 2022/2025 受影响；Windows 10 不受影响。

研究员声称该漏洞「躲过了所有内部审查」，进一步暗示是微软主动注入的后门——并补充称即使 BitLocker 配置为 TPM+PIN 模式（被普遍视为最强配置）漏洞依然存在，但 TPM+PIN 版本的概念验证未公开。独立研究员 Kevin Beaumont 已确认 USB 路径有效；Will Dormann（Tharros Labs 漏洞分析师）验证了 USB 路径，但无法复现 EFI 分区路径。

GreenPlasma —— CTFMON 任意内存节创建本地提权。

技术路径：滥用 CTFMON（ctfmon.exe，在每个交互会话中以 SYSTEM 运行、负责文本输入功能）。普通用户通过一连串注册表与权限操控，在 SYSTEM 可写的目录对象中创建任意内存节对象，让 CTFMON 与攻击者构造的内存交互，进而注入 shellcode 或伪造动态链接库。

概念验证不完整——研究员故意留下「最后一步」让攻击者自行补完，类似夺旗赛题目。Forescout 安全情报副总裁 Rik Ferguson 指出：当前形态在默认 Windows 配置下会触发用户账户控制（UAC）同意提示，要实现静默利用仍需额外工程。Bridewell 网络威胁情报首席分析师 Gavin Knapp 警告：此类提权漏洞「常被攻击者用于初始立足之后，便于发现并采集凭据与数据、横向移动至其他系统，最终走向数据窃取或勒索软件部署」。

https://github.com/Nightmare-Eclipse

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 🅼🅰🆈 🅼🅰🆈《一名匿名研究员的「补丁日特别表演」：YellowKey 与 GreenPlasma 把微软逼到墙角》