涉及BitLocker绕过和本地提权! Win11两个未修复漏洞曝光

科技媒体BleepingComputer昨日发布消息，网络安全研究团队Chaotic Eclipse披露了两个影响Windows系统的安全漏洞，分别被命名为YellowKey与GreenPlasma。根据披露，受影响的系统包括Windows 11、Windows Server 2022以及Windows Server 2025。

其中，YellowKey漏洞的核心风险在于可能绕过BitLocker磁盘加密防护。攻击者可以通过在USB设备中放置特制的FsTx文件，或向目标磁盘的EFI分区写入特定数据，随后重启系统进入Windows恢复环境（WinRE）。此时，若在启动过程中按住CTRL键触发命令行界面，便有可能获得一个能够直接访问已自动解锁的BitLocker加密卷的shell，从而读取本应受保护的数据。

这一漏洞的有效性已得到独立安全研究员Kevin Beaumont的确认。他建议用户通过启用BitLocker PIN码以及设置BIOS密码来增加额外的防护层，缓解潜在风险。另一位研究员Will Dormann也确认了基于USB设备中FsTx文件的攻击链，不过他未能复现通过EFI分区路径的利用方式。

值得注意的是，对于普通用户而言，当前公开的YellowKey概念验证利用条件存在一定限制。它主要针对那些仅启用TPM芯片进行BitLocker保护、但未设置额外启动密码的设备。这意味着，如果用户已经配置了PIN码，受到的影响相对有限。

另一个被披露的漏洞GreenPlasma，则属于本地权限提升类型。其原理在于，普通权限的用户可以在一个SYSTEM账户拥有写入权限的目录对象中，创建任意的内存节对象。这可能会影响到那些信任该路径的高权限系统服务或驱动程序，从而为攻击者提升至SYSTEM权限打开一扇门。

不过，目前关于GreenPlasma的概念验证代码并不完整，缺少获取完整SYSTEM权限shell的关键组件。因此，安全社区暂时只能将其视为一个已验证的提权思路，而非一个可以立即投入使用的完整攻击工具。

GreenPlasma漏洞演示截图

相关技术细节与讨论可参考以下来源：

• YellowKey
• Chaotic Eclipse
• GreenPlasma