Microsoft enfrenta nuevos exploits YellowKey y GreenPlasma en Windows

Iniciado por Dragora, Mayo 14, 2026, 11:30:35 AM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Mayo 14, 2026, 11:30:35 AM

La seguridad de los sistemas de Microsoft vuelve a estar en el centro de la polémica tras la publicación de dos nuevas vulnerabilidades de día cero denominadas YellowKey y GreenPlasma. Ambos fallos fueron revelados por el investigador conocido como Chaotic Eclipse o Nightmare-Eclipse, quien difundió pruebas de concepto (PoC) funcionales capaces de comprometer equipos con Windows 11 y Windows Server.

Las nuevas amenazas representan un serio desafío para la seguridad empresarial, especialmente porque una de ellas permite eludir la protección de BitLocker, mientras que la otra posibilita una escalada local de privilegios hasta obtener acceso SYSTEM. La publicación de estas herramientas de explotación ocurre en medio de crecientes tensiones entre investigadores independientes y Microsoft por la gestión de vulnerabilidades y los tiempos de respuesta del programa MSRC.

YellowKey: el bypass de BitLocker que preocupa a administradores y empresas

La vulnerabilidad YellowKey, también llamada Eclipse Caótico o Nightmare-Eclipse, ha generado especial preocupación en la comunidad de ciberseguridad debido a que afecta directamente a BitLocker, el sistema de cifrado integrado de Windows utilizado ampliamente en entornos corporativos.

Según el investigador, el fallo reside en el Entorno de Recuperación de Windows (WinRE), un componente diseñado para solucionar problemas críticos de arranque. El exploit aprovecha archivos "FsTx" especialmente manipulados que pueden colocarse en una unidad USB o en la partición EFI del sistema.

Una vez iniciado WinRE y manteniendo presionada la tecla CTRL durante el proceso, el atacante obtiene acceso a una shell con privilegios suficientes para interactuar con el volumen cifrado por BitLocker sin restricciones aparentes.

El investigador aseguró que el exploit funciona en:

  • Windows 11
  • Windows Server 2022
  • Windows Server 2025

La gravedad del problema radica en que BitLocker, configurado únicamente con TPM (Trusted Platform Module), desbloquea automáticamente la unidad cifrada durante el arranque del sistema. Esto facilita que el exploit abuse del proceso legítimo de descifrado automático.

Expertos confirman la validez del exploit

El reconocido investigador de seguridad Kevin Beaumont confirmó públicamente que el exploit YellowKey funciona y calificó el comportamiento como una "puerta trasera funcional" dentro del ecosistema de recuperación de Windows.

Como medida de mitigación inicial, Beaumont recomendó:

  • Habilitar BitLocker con PIN
  • Configurar contraseña en BIOS/UEFI
  • Restringir acceso físico al equipo
  • Supervisar modificaciones sospechosas en particiones EFI

Sin embargo, Chaotic Eclipse afirmó posteriormente que incluso las configuraciones TPM+PIN seguirían siendo vulnerables, aunque decidió no publicar la versión avanzada del exploit debido al impacto potencial que podría generar.

Cómo funciona técnicamente YellowKey

El analista principal de vulnerabilidades de Tharros Labs, Will Dormann, explicó que YellowKey explota el mecanismo de transacciones NTFS combinado con el entorno WinRE.

Durante el arranque de Windows Recovery, el sistema busca directorios específicos llamados:

\System Volume Information\FsTx

Si encuentra registros NTFS manipulados, estos son reproducidos automáticamente. Como consecuencia, el exploit elimina el archivo:

X:\Windows\System32\winpeshl.ini

Al desaparecer este archivo crítico, WinRE no inicia el entorno de recuperación tradicional y en su lugar abre una consola CMD.EXE con el disco ya desbloqueado.

Dormann aclaró que el exploit actual necesita ejecutarse en el dispositivo original, ya que el TPM almacena localmente las claves de cifrado. Esto significa que el ataque no funciona simplemente robando el disco duro, pero sí puede comprometer equipos físicamente accesibles protegidos únicamente mediante TPM.

GreenPlasma: nueva amenaza de escalada de privilegios en Windows

La segunda vulnerabilidad filtrada, denominada GreenPlasma, corresponde a una falla de escalada local de privilegios (LPE) relacionada con CTFMON de Windows.

Chaotic Eclipse describió el problema como una "Vulnerabilidad Arbitraria de Creación de Secciones en Windows CTFMON", permitiendo que usuarios sin privilegios creen objetos de memoria dentro de directorios manipulables por SYSTEM.

En términos prácticos, esto podría utilizarse para:

  • Manipular servicios privilegiados
  • Alterar controladores del kernel
  • Obtener acceso SYSTEM
  • Ejecutar código con privilegios máximos

Aunque el PoC publicado está incompleto y no proporciona una shell SYSTEM totalmente funcional, el investigador aseguró que desarrolladores avanzados podrían convertir fácilmente el exploit en una escalada total de privilegios.

El problema resulta especialmente delicado porque involucra componentes internos del sistema operativo utilizados por servicios críticos y controladores en modo kernel.

Microsoft vuelve a ser criticado por su gestión de vulnerabilidades

La divulgación pública de YellowKey y GreenPlasma ocurre después de que Chaotic Eclipse ya hubiese filtrado anteriormente otros fallos críticos como:

  • BlueHammer (CVE-2026-33825)
  • RedSun

Según el investigador, ambas vulnerabilidades comenzaron a ser explotadas activamente poco después de hacerse públicas.

Chaotic Eclipse acusó a Microsoft de:

  • No responder adecuadamente a reportes de seguridad
  • Aplicar parches silenciosos
  • No asignar identificadores CVE
  • Minimizar ciertos riesgos críticos

El investigador incluso prometió "una gran sorpresa" para el próximo Patch Tuesday, insinuando que podrían publicarse nuevos exploits contra Windows.

Microsoft responde a las filtraciones

Tras las publicaciones, Microsoft
 emitió un comunicado asegurando que la empresa continúa investigando los problemas reportados y trabajando para proteger a los clientes afectados.

La compañía reiteró además su apoyo a la divulgación coordinada de vulnerabilidades, práctica utilizada en la industria para permitir que los proveedores desarrollen parches antes de que los detalles técnicos sean revelados públicamente.

No obstante, hasta el momento no existe un parche oficial disponible para YellowKey ni GreenPlasma, lo que aumenta la preocupación entre administradores de sistemas y responsables de seguridad empresarial.

Riesgos para empresas y usuarios corporativos

La aparición de estos exploits demuestra nuevamente que incluso tecnologías consideradas robustas, como BitLocker, pueden presentar debilidades cuando existen procesos automáticos involucrados.

Las organizaciones que dependen exclusivamente de TPM para proteger datos sensibles podrían enfrentar riesgos importantes si un atacante obtiene acceso físico al equipo.

Entre las principales recomendaciones de seguridad destacan:

  • Activar BitLocker con autenticación TPM+PIN
  • Limitar acceso físico a estaciones críticas
  • Mantener WinRE monitoreado y restringido
  • Aplicar políticas de arranque seguro
  • Supervisar actividad sospechosa en particiones EFI
  • Implementar soluciones EDR avanzadas

Mientras Microsoft trabaja en posibles correcciones, expertos advierten que los administradores deben asumir que los ataques físicos combinados con exploits de recuperación seguirán evolucionando.

La filtración de YellowKey y GreenPlasma marca un nuevo episodio en la creciente tensión entre investigadores independientes y grandes proveedores tecnológicos, especialmente en un contexto donde la rapidez de respuesta ante vulnerabilidades se ha convertido en un factor crítico para la seguridad global.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario