开发者生态
morning
神秘的微软漏洞泄露者让零日漏洞不断到来
2026-05-14
1 阅读
e12e
安全之谜 微软错误泄密者让零日漏洞不断出现 安全专家警告 YellowKey 的说法可能会使笔记本电脑被盗成为一个更大的问题 康纳·琼斯 康纳·琼斯 网络安全记者 发布于 2026 年 5 月 13 日// 17:16 UTC 今年已经恶意曝光了三个 Windows 零日漏洞的匿名安全研究人员又透露了另外两个漏洞,并在微软每月的补丁星期二更新后将其删除。 Nightmare-Eclipse 或 Chaotic Eclipse(具体取决于您喜欢哪个别名)发布了有关 YellowKey 和 GreenPlasma 的详细信息 - 分别是 BitLocker 绕过和权限升级缺陷,将系统访问权限交给了攻击者。接受 The Register 采访的专家警告说,这两个漏洞都带来了严重的安全问题,特别是在 Nightmare-Eclipse 发布了有关利用它们的大量技术信息之后。 REG AD Nightmare-Eclipse 将 YellowKey 描述为“我发现的最疯狂的发现之一”。他们提供了必须加载到 USB 驱动器上的文件,如果攻击者正确完成按键序列,他们将被授予对受 BitLocker 保护的计算机进行不受限制的 shell 访问。 REG AD 当涉及此类声明时,我们通常会谨慎行事,因为此错误需要对 Windows PC 进行物理访问。然而,由于 BitLocker 是 Windows 针对被盗设备的最后一道防线,绕过该技术使窃贼能够访问加密文件。 Forescout 安全情报副总裁 Rik Ferguson 表示:“如果[研究人员的说法]成立,那么被盗的笔记本电脑就不再是硬件问题,而是成为违规通知。”尽管存在物理访问要求,Bridewell 网络威胁情报首席负责人 Gavin Knapp 告诉 The Register,YellowKey 仍然是“对于使用 BitLocker 的组织来说是一个巨大的安全问题”。他援引网络威胁情报界共享的信息补充说,可以通过实施 BitLocker PIN 和 BIOS 密码锁来缓解 YellowKey 的影响。 Nightmare-Eclipse 暗示 YellowKey 也充当后门,据称是由微软注入的,尽管我们采访的人表示根据现有信息无法验证这一点。研究人员还发布了 GreenPlasma 的部分漏洞利用代码,而不是完整的概念验证漏洞利用 (PoC)。 Ferguson 指出,攻击者需要获取研究人员提供的代码,并弄清楚如何自行将其武器化,这不是一项小任务:在当前状态下,它会在默认 Windows 配置中触发 UAC 同意提示,这意味着静默攻击仍在进行中。 Knapp 警告说,攻击者在受害者系统中获得初步立足点后,通常会使用此类权限升级缺陷。他说:“这些特权提升漏洞通常在后利用过程中被武器化,使威胁行为者能够在横向转移到其他系统之前、在数据盗窃和/或勒索软件部署等最终目标之前发现和获取凭证和数据。”更多背景 周二补丁包括 30 个关键的 Microsoft CVE 微软的大规模补丁星期二:漏洞如雨点般 研究人员声称 Windows Defender 可能会被欺骗而删除数据库 作为一项服务投降:微软为联邦调查局解锁 BitLocker “目前,GreenPlasma 还没有已知的缓解措施。当微软解决这个问题时,打补丁将非常重要。”四个、五个……还有更多? YellowKey 和 GreenPlasma 是研究人员今年曝光的一系列五个 Microsoft 零日漏洞中的最新漏洞。当 Nightmare-Eclipse 发布 BlueHammer(CVE-2026-32201, 6.5)(微软于 4 月份修补)时,他们被描述为一名心怀不满的研究人员,此后有传言称他是微软前员工。根据他们以 Chaotic Eclipse 别名发布的首篇博客文章,该错误泄漏是在涉嫌违反信任之后开始的。 “我从来不想重新打开博客和新的 GitHub 帐户来删除代码,”他们写道。 “但是有人违反了我们的协议,让我无家可归,一无所有。他们知道会发生这种事,但他们仍然在背后捅我一刀,这是他们的决定,不是我的。” 4 月初,研究人员泄露了 Windows Defender 漏洞的概念验证代码,他们称之为 RedSun 和 UnDefend(分别是另一个管理员权限升级漏洞和拒绝服务漏洞)以及 BlueHammer。 REG AD RedSun 和 UnDefend 都尚未修复,根据 Huntress 的说法,发布的概念验证代码很快就在现实世界的攻击中被利用和滥用。弗格森将 YellowKey 和 GreenPlasma 的曝光描述为针对微软不断升级的报复行动中的最新一起,并警告称还会有更多行动发生。 “之前的版本包括 BlueHammer 和 RedSun,两者都引起了社区的严重关注和真正的分叉,”他说。 “链接昨天发布的同一篇文章警告周二补丁会再次出现意外,并暗示未来的 RCE 问题