Une faille « zero-day » de BitLocker expose les disques Windows

Un code d'exploitation public soulève de nouvelles inquiétudes concernant le chiffrement des disques Windows et l'élévation de privilèges locaux.

YellowKey cible la récupération Windows

Un chercheur a publié un code d'exploitation de type preuve de concept (PoC) pour deux failles non corrigées de Windows, dont un contournement de BitLocker permettant d'exposer les disques chiffrés sur les systèmes affectés.

Cette faille BitLocker, nommée YellowKey, a été publiée par un chercheur utilisant les pseudonymes Chaotic Eclipse et Nightmare Eclipse. Elle affecte Windows 11 et Windows Server 2022/2025 et exploite l'environnement de récupération Windows, utilisé pour le dépannage des problèmes de démarrage.

Selon des rapports publics, la PoC utilise des fichiers FsTx spécialement conçus sur des supports amovibles, puis exploite le comportement du démarrage en mode de récupération pour ouvrir une invite de commandes alors que le disque protégé reste accessible. Des chercheurs ayant testé cette technique confirment son fonctionnement sur les versions récentes de Windows 11, bien que toutes les variantes n'aient pas pu être reproduites.

Pourquoi BitLocker basé uniquement sur le TPM est vulnérable

Le risque est le plus immédiat pour les appareils utilisant BitLocker basé uniquement sur le TPM, une configuration courante qui déverrouille automatiquement le disque du système d'exploitation au démarrage. Cette facilité d'utilisation rend l'exploitation du temps de récupération dangereuse : l'appareil peut se déchiffrer avant même que l'utilisateur ne prouve son identité.

Les recommandations de Microsoft concernant BitLocker indiquent que les codes PIN de démarrage et autres protections peuvent ajouter une authentification avant démarrage pour les appareils à haut risque. Cependant, le chercheur affirme qu'une méthode distincte utilisant à la fois le TPM et un code PIN existe et n'a pas été entièrement divulguée, ce qui laisse les équipes de sécurité avec une vision technique incomplète.

GreenPlasma soulève des problèmes de privilèges

Le second problème, GreenPlasma, est décrit comme une faille d'élévation de privilèges Windows CTFMON. Sa preuve de concept (PoC) est incomplète, mais elle montrerait comment un utilisateur non privilégié pourrait créer des objets arbitraires dans des sections de mémoire à des emplacements de confiance pour des composants privilégiés.

Cela complique les choses, car une élévation de privilèges locale transforme souvent une première prise d'appui en compromission de la machine. Même une PoC inachevée peut fournir aux attaquants suffisamment d'informations pour construire une chaîne d'exploitation fonctionnelle, en particulier lorsqu'elle est combinée à d'autres vecteurs d'accès.

Microsoft encourage la divulgation coordonnée des vulnérabilités

Microsoft a déclaré enquêter sur les problèmes de sécurité signalés et soutenir la divulgation coordonnée des vulnérabilités, ce qui permet aux fournisseurs de valider et de corriger les bogues avant leur publication. Aucun correctif ni CVE pour YellowKey ou GreenPlasma n'était disponible au moment de la publication.

Les administrateurs doivent revoir la politique BitLocker, privilégier la sécurité physique, restreindre l'accès à la récupération, surveiller toute utilisation suspecte de WinRE et envisager une protection renforcée avant le démarrage sur les ordinateurs portables et les systèmes hébergeant des données sensibles.