Um pesquisador de segurança identificado como Chaotic Eclipse divulgou duas novas vulnerabilidades críticas no Windows, batizadas de YellowKey e GreenPlasma. As falhas afetam versões recentes do Windows 11, Windows Server 2022 e Windows Server 2025, e podem permitir desde o acesso a discos protegidos pelo BitLocker até a obtenção de controle total do sistema.

O caso chamou a atenção da comunidade de segurança porque os códigos de exploração (exploits) foram publicados antes da disponibilização de correções oficiais pela Microsoft, aumentando o risco de ataques contra usuários e empresas.

YellowKey: falha permite contornar o BitLocker

A vulnerabilidade YellowKey é considerada a mais preocupante das duas. Ela afeta o BitLocker, recurso de criptografia de disco nativo do Windows utilizado para proteger dados armazenados em notebooks, desktops e servidores.

Em condições normais, o BitLocker impede que terceiros acessem os arquivos mesmo que tenham acesso físico ao equipamento. Porém, a falha descoberta permite contornar essa proteção sem exigir a senha ou a chave de recuperação.

Como o ataque funciona?

O ataque explora o Windows Recovery Environment (WinRE), ambiente utilizado pelo Windows para recuperação do sistema em caso de falhas durante a inicialização.

Segundo o pesquisador, o WinRE processa determinados arquivos antes de solicitar qualquer autenticação ao usuário. Um invasor pode preparar arquivos especialmente modificados em um pendrive ou na própria partição EFI do sistema.

Quando o computador entra no modo de recuperação, esses arquivos alteram o comportamento do ambiente de recuperação e fazem com que o Windows abra um Prompt de Comando com acesso ao disco já descriptografado.

Na prática, isso significa que um atacante pode acessar arquivos protegidos sem conhecer a senha do usuário.

O problema afeta o modo padrão do BitLocker

A vulnerabilidade explora principalmente sistemas configurados com o modo TPM-only, que é amplamente utilizado em ambientes corporativos.

Nesse modelo, o chip TPM (Trusted Platform Module) libera automaticamente as chaves necessárias para desbloquear o disco durante a inicialização.

Embora seja uma configuração conveniente para os usuários, ela cria uma oportunidade que o YellowKey consegue explorar.

Pesquisadores afirmam que o código divulgado não funciona em sistemas configurados com TPM + PIN, onde o usuário precisa informar um código antes da inicialização do Windows.

GreenPlasma permite obter privilégios máximos

A segunda vulnerabilidade divulgada recebeu o nome de GreenPlasma.

Ela afeta o componente CTFMON, responsável por funções relacionadas à entrada de texto e idiomas no Windows.

A falha permite que um usuário comum consiga manipular áreas do sistema que normalmente deveriam ser acessíveis apenas pela conta SYSTEM, o nível mais alto de privilégio dentro do Windows.

Microsoft é criticada por correções silenciosas

O pesquisador responsável pela divulgação, conhecido como Chaotic Eclipse, afirmou que decidiu publicar os detalhes após discordâncias com a forma como a Microsoft trata vulnerabilidades reportadas por pesquisadores independentes.

Segundo ele, falhas anteriores descobertas por sua equipe teriam sido corrigidas silenciosamente, sem divulgação pública, atribuição de identificadores CVE ou reconhecimento oficial.

A Microsoft declarou que investiga todas as vulnerabilidades reportadas e continua apoiando práticas de divulgação coordenada de falhas de segurança.

O pesquisador afirmou ainda que pretende divulgar novas informações durante os próximos ciclos de atualização da empresa.

Recomendações de segurança

Enquanto não há correções oficiais disponíveis, especialistas recomendam algumas medidas para reduzir a exposição aos ataques:

  1. Habilitar o BitLocker utilizando TPM + PIN, evitando o modo TPM-only.
  2. Configurar senha na BIOS ou UEFI para dificultar ataques com acesso físico.
  3. Restringir o acesso físico a notebooks e servidores corporativos.
  4. Monitorar eventos relacionados ao WinRE e ao processo de recuperação do Windows.
  5. Aplicar atualizações de segurança imediatamente quando a Microsoft disponibilizar correções.
  6. Revisar controles de privilégio mínimo para reduzir impactos de possíveis explorações locais.

Conclusão

As vulnerabilidades YellowKey e GreenPlasma demonstram que até mesmo recursos de segurança amplamente utilizados podem apresentar falhas críticas quando combinados com técnicas avançadas de exploração.

O maior risco está na divulgação pública dos códigos de ataque antes da disponibilização de correções oficiais. Por isso, organizações que utilizam Windows 11 ou Windows Server devem revisar suas configurações de segurança e adotar medidas preventivas até que patches sejam liberados pela Microsoft.