近日,围绕Windows安全研究员ChaoticEclipse公开的两组零日漏洞,安全圈的讨论持续升温,焦点集中在BitLocker绕过与本地提权两条线索上,事情的走向也比外界预期更复杂
先看前情,ChaoticEclipse此前披露的BlueHammer与RedSun已经引发过一轮关注,据公开说法,其中一组漏洞可让Windows Defender失去系统管理员级别控制,微软随后完成修复,另一组则与披露流程争议有关,埋下了后续公开更多细节的伏笔
时间推进到最近,研究员又放出两项新发现,名字分别是YellowKey与GreenPlasma,前者指向BitLocker保护链路,后者则落在CTFMon相关的本地提权路径上,这两条线索都让Windows内部信任边界再次被摆到台面上
YellowKey引发的关注度尤其集中,原因并不只在于它能绕过加密盘,还在于触发路径足够简洁,按公开说明,准备一个U盘,写入特定文件夹结构,再进入Windows恢复环境,就可能打开一条可用的高权限通道
这一过程并不依赖输入密钥,也不需要弹窗确认,进入恢复环境后,系统会导向命令行界面,随后便可能访问原本受BitLocker保护的磁盘内容,这让许多人第一次把注意力放回到了WinRE和磁盘加密之间的边界设计上
据研究员描述,相关文件在使用后会从U盘中消失,呈现出文件自毁的效果,这一点让外界联想到隐蔽性与可复用性的组合,也让它被一些安全从业者归入需要重点审视的类别
公开信息还提到,YellowKey影响的主要对象是Windows Server 2022与Windows Server 2025,Windows 10不在受影响范围内,TPM加PIN的组合也未被列为有效阻断手段,这些细节让它从单纯的加密绕过,变成了企业环境中需要重新评估的配置风险
这个点值得细看,BitLocker长期被视作Windows平台上的核心防护之一,而恢复环境一旦能被用作提权入口,很多原先默认成立的安全假设就会松动,尤其是在服务器与终端分层管理的场景下,影响会被放大
GreenPlasma的公开方式则更偏向系统内部机制层面的利用,研究员给出的描述是借助CTFMon进程,结合特制内存段对象,写入系统用户可操作的Windows对象管理器段,从而绕过常规访问控制,获得SYSTEM级权限
这个过程说明,漏洞并不只存在于表层交互环节,系统对象、进程映射、内存段权限这些平时少被提及的部分,也可能成为权限跃迁的入口,攻防关注点因此被进一步拉高
前后两组披露之间,最引人注意的一点是节奏,BlueHammer和RedSun之后,YellowKey与GreenPlasma接续出现,像是一条逐步展开的技术链,外界因此开始追问,微软在漏洞响应中的处理方式是否存在沟通断层
研究员方面的说法也带着明显的立场表达,他声称这些漏洞若进入交易市场可以带来收益,但自己选择公开,是出于对微软的不满,这种叙述方式让技术披露与厂商关系一并进入舆论场
这类表述吸引流量,也放大情绪,但从内容本身看,真正值得聚焦的仍是漏洞路径本身,尤其是它们为什么能跨过系统边界,为什么企业级加密与权限控制会同时被触及
近两天,多家安全媒体围绕这组漏洞展开跟进,报道内容大体一致,核心都落在两处,一是研究员再次放出零日细节,二是微软截至报道时未对YellowKey与GreenPlasma作出明确公开回应
BleepingComputer、The Hacker News、Tom’s Hardware、Forbes等英文媒体的相关稿件,普遍把YellowKey写成BitLocker绕过案例,把GreenPlasma归类为本地提权案例,这种分类方式与研究员给出的技术方向基本一致
有意思的是,各家报道在语气上并不完全相同,有的强调研究员的对抗姿态,有的侧重企业防护受挑战,还有的把重点放在协调披露的流程上,这也说明同一事件在不同媒体手中会出现侧重点切换
围绕是否属于后门式风险,业内也出现了分化看法,一派认为该路径依赖物理访问与恢复环境,属于边界条件被滥用,另一派则认为只要能在默认信任链中完成绕过,企业就该按高危事件处理
这种分歧并不罕见,因为BitLocker原本解决的是磁盘离线防护,而WinRE设计服务于恢复与修复,两者结合后出现的攻击面,既像系统功能被反向利用,也像设计初衷与现实场景之间出现了偏移
与YellowKey相比,GreenPlasma讨论得稍少,但它的意义并不弱,本地提权一旦稳定存在,攻击者就能从普通用户环境迈向SYSTEM层,随后可触发的操作范围会明显扩大,横向移动、持久化、凭证窃取都可能被带入后续链条
这里还可以把几条关联线索放在一起看,前面的BlueHammer、RedSun、这次的YellowKey、GreenPlasma,名称不同,指向却集中在Windows内部控制权与防护边界,说明研究员选择展示的并不是孤立样本,而是一组连续成果
外界对这组内容的关注,还来自另一个事实,研究员公开的描述里强调了更高级变种的存在,但暂未放出完整概念验证,这意味着当前可见的只是冰山一角,真正的攻击面可能比现有叙述更宽
这也是近两天讨论里反复被提及的一条线,公开多少、保留多少、厂商是否及时回应,都会影响后续走向,尤其在安全研究社区,协调披露与公开披露之间的张力始终存在
从技术细节看,YellowKey的信息量更适合企业管理员阅读,GreenPlasma则更接近系统研究者的关注范围,两者放在一起,像是在提醒大家,Windows安全并不只是外部输入口的较量,内部对象与恢复链路同样关键
还有一层值得补充,针对这类漏洞,单纯强调“物理接触”并不能完全化解风险,因为现实中的服务器、维修场景、资产流转、旧设备回收,都可能给恢复环境留下入口,这也是为什么不少媒体把它视作企业事件
至于微软方面,当前可见的公开信息仍集中在既有漏洞修复与常规安全响应上,针对YellowKey与GreenPlasma,报道所能确认的内容主要是“尚未发布明确回应”,这也让后续补丁动向成为关注焦点
对普通读者来说,BitLocker这一名字通常意味着较高安全门槛,对企业用户来说,它则意味着设备丢失后的数据边界,但这次披露把一个更现实的判断摆了出来,系统恢复链路是否也需要重新审视
围绕这组内容,近两天的信息还带出几个值得同步关注的方向,第一是Windows Server与桌面版的差异,第二是WinRE在企业环境中的使用范围,第三是TPM与PIN组合的实际效果,第四是文件级痕迹是否便于取证
第五是研究员此前披露的BlueHammer、RedSun如何影响了当前事件的舆论基础,第六是是否存在在野利用的迹象,第七是企业是否需要调整恢复分区与外设接触策略,第八是对象管理器与内存段权限的系统层机制,第九是协调披露流程如何改进,第十是后续补丁会落在哪一层
这些方向并不互相冲突,反而把同一事件拉出了更多观察面,技术、流程、资产管理、系统设计都被放到同一张桌面上,事件本身也因此超出了一次普通漏洞曝光的范围
有人把这次披露看成对厂商流程的反击,也有人把它视作一次激烈的安全提醒,两种看法都能在讨论区找到支持者,围绕公开边界的争论不会很快结束,尤其当漏洞细节已经足以引发企业级重估时
但就现有材料而言,最重要的不是把情绪推到前台,而是把事实讲清楚,YellowKey触及BitLocker,GreenPlasma指向本地提权,前者和WinRE结合,后者和CTFMon及对象权限相关,二者都落在Windows信任链的关键部位
这也是为什么同一篇报道里会出现“加密失守”“权限跃迁”“恢复链路可被利用”等多个表述,它们并不是在重复同一件事,而是在不同层面描述同一类风险,层级一旦连通,攻击路径就会被打开
对安全行业来说,接下来值得观察的,不只是微软何时给出回应,还包括是否会出现更完整的复现说明、企业侧是否调整默认配置、媒体是否继续追踪在野案例,这些信息会决定事件热度是否继续延烧
文章写到这里,黄钥匙与绿等离子已经不只是两个命名巧妙的漏洞代号,它们把Windows内部两条关键防线同时推到台前,也把BitLocker、WinRE、对象权限和本地提权这些平时分散的议题重新串了起来
如果后续补丁发布、研究员再放出新变种、企业环境出现更多验证样本,这场围绕Windows安全边界的讨论还会继续扩大,下一轮关注点,可能就不再只停留在漏洞名称本身了
全部评论