YellowKey e GreenPlasma: Due Zero-Day di Windows Colpiscono BitLocker

YellowKey e GreenPlasma: Due Zero-Day di Windows Colpiscono BitLocker

I ricercatori di sicurezza hanno divulgato pubblicamente due vulnerabilità zero-day non patchate per Windows, denominate YellowKey e GreenPlasma, che prendono di mira rispettivamente la crittografia BitLocker e il framework di input CTFMON. Il codice exploit proof-of-concept è già stato rilasciato, il che significa che la vulnerabilità zero-day di Windows BitLocker non è puramente teorica. Per i milioni di utenti e organizzazioni che fanno affidamento su BitLocker come elemento fondamentale della propria strategia di protezione dei dati, questa divulgazione rappresenta un serio campanello d'allarme.

Cosa Fanno Concretamente YellowKey e GreenPlasma

YellowKey è la più allarmante delle due nell'immediato. Prende di mira BitLocker, la funzionalità di crittografia dell'intero disco integrata in Windows 10 e 11, nonché in Windows Server 2022 e 2025. Sfruttando una debolezza nell'Ambiente di Ripristino di Windows, la vulnerabilità consente a un aggressore con accesso fisico a un dispositivo di aggirare le protezioni predefinite di BitLocker e accedere al contenuto di un'unità crittografata. In termini pratici, un laptop rubato precedentemente considerato sicuro grazie alla crittografia BitLocker potrebbe avere i propri dati letti senza il PIN o la password corretti.

GreenPlasma prende di mira CTFMON, un processo in background di Windows che gestisce l'input di testo, il riconoscimento della scrittura a mano e le impostazioni della lingua. Questa vulnerabilità consente l'escalation locale dei privilegi, il che significa che un aggressore che ha già ottenuto un punto d'appoggio su un sistema può elevare i propri permessi a un livello superiore, potenzialmente raggiungendo l'accesso a livello di amministratore o SYSTEM. Le due vulnerabilità insieme rappresentano una combinazione pericolosa: una abbatte il muro che protegge i dati a riposo, mentre l'altra consente una compromissione più profonda del sistema una volta che l'aggressore è all'interno.

Al momento della stesura di questo articolo, Microsoft non ha rilasciato patch per nessuna delle due vulnerabilità. Il codice proof-of-concept è disponibile pubblicamente, il che abbassa significativamente la soglia di sfruttamento da parte di attori meno sofisticati.

Chi È a Rischio e Quali Dati Sono Esposti

Chiunque utilizzi un sistema Windows 11 o Windows Server 2022 e 2025 con BitLocker abilitato è potenzialmente interessato da YellowKey. Il requisito dell'accesso fisico limita la superficie d'attacco rispetto a un exploit completamente remoto, ma questo fattore non dovrebbe offrire molto conforto. I laptop utilizzati dai dipendenti in ambienti di lavoro ibridi, i dispositivi conservati in spazi ufficio condivisi e le macchine sequestrate o ispezionate ai valichi di frontiera sono tutti scenari di minaccia realistici.

Per GreenPlasma, il profilo di rischio è più ampio sotto certi aspetti. Le vulnerabilità di escalation locale dei privilegi vengono spesso concatenate con altre tecniche di attacco. Un'e-mail di phishing che consegna un payload iniziale a basso privilegio, ad esempio, potrebbe essere seguita da un exploit GreenPlasma per ottenere il controllo completo del sistema. Gli ambienti aziendali, le agenzie governative e i privati che gestiscono file sensibili sono tutti nel mirino.

I dati esposti spaziano da documenti personali e registrazioni finanziarie fino alla proprietà intellettuale aziendale e alle credenziali memorizzate su disco. Le organizzazioni che operano nell'ambito di framework di conformità come HIPAA, GDPR o CMMC dovranno valutare se queste vulnerabilità influenzano i propri obblighi normativi.

Perché gli Utenti di BitLocker Non Possono Affidarsi Alla Sola Crittografia del Disco

La divulgazione di YellowKey illustra una limitazione fondamentale che gli utenti attenti alla privacy spesso trascurano: la crittografia protegge i dati solo finché il meccanismo di crittografia stesso rimane non compromesso. BitLocker è stato progettato per proteggere dagli attacchi offline, principalmente scenari in cui un'unità viene rimossa e letta su un'altra macchina. Non è stato progettato per essere una fortezza impenetrabile contro un aggressore sofisticato armato di un exploit zero-day che prende di mira il processo stesso che gestisce lo sblocco dell'unità.

Questo è il principio fondamentale della difesa in profondità. Affidarsi a un singolo controllo di sicurezza, per quanto affidabile, crea un unico punto di fallimento. Quando quel controllo viene aggirato, non rimane nulla tra un aggressore e i propri dati. La stessa logica si applica alle minacce a livello di rete: crittografare il traffico in transito tramite una VPN non protegge se l'endpoint è già stato compromesso, e proteggere l'endpoint non protegge i dati che fluiscono non crittografati su una rete non affidabile.

L'emergere di queste due vulnerabilità serve anche a ricordare che gli attori delle minacce non hanno sempre bisogno di infrastrutture sofisticate per causare danni gravi. Come documentato in campagne come i siti governativi falsi che prendono di mira i cittadini di tutto il mondo, l'ingegneria sociale e gli strumenti comuni vengono frequentemente combinati con exploit disponibili pubblicamente con effetti devastanti. Un PoC pubblico per aggirare BitLocker abbassa considerevolmente la soglia di competenza richiesta.

Passi per la Difesa in Profondità: Patch, VPN e Sicurezza a Strati

Fino a quando Microsoft non rilascerà patch ufficiali, gli utenti e gli amministratori dovrebbero adottare i seguenti accorgimenti.

Monitorare gli aggiornamenti di sicurezza Microsoft. Mantenere Windows Update abilitato e verificare la presenza di patch fuori banda, soprattutto data la disponibilità pubblica del codice PoC. Quando le patch arrivano, dare priorità al loro rilascio.

Abilitare BitLocker con un PIN. La configurazione predefinita di BitLocker con solo TPM è più suscettibile a questa classe di attacchi. Configurare BitLocker in modo da richiedere un PIN pre-avvio aggiunge un livello di attrito che innalza la soglia per gli aggressori fisici.

Limitare l'accesso fisico. Per le macchine di alto valore, i controlli di sicurezza fisica sono importanti. Sale server chiuse a chiave, lucchetti per cavi per laptop e politiche chiare sui dispositivi incustoditi riducono tutti la superficie d'attacco per YellowKey.

Stratificare i controlli di sicurezza. La crittografia del disco è uno strato, non una strategia completa. Combinarla con strumenti di rilevamento e risposta degli endpoint, crittografia a livello di rete per i dati in transito, autenticazione forte e segmentazione della rete. Una VPN garantisce che anche se un aggressore si sposta da un endpoint compromesso, i dati in uscita non siano esposti in chiaro sulla rete.

Verificare i account con privilegi. Dato il rischio di escalation dei privilegi di GreenPlasma, rivedere quali account dispongono di diritti di amministratore locale sugli endpoint. Ridurre i privilegi non necessari limita il raggio d'azione in caso di utilizzo di un exploit.

Cosa Significa Questo Per Te

Le divulgazioni di YellowKey e GreenPlasma sono un promemoria concreto che nessuno strumento di sicurezza singolo offre una protezione completa. Se l'intera strategia di sicurezza dei dati si basa su BitLocker, è giunto il momento di verificare lo stack più ampio. Considera cosa accade se BitLocker viene aggirato: c'è un altro livello che protegge i file più sensibili? Il traffico di rete è crittografato indipendentemente dal disco? Le credenziali e le chiavi di ripristino sono conservate in modo sicuro?

Le misure proattive contano di più prima di un incidente che dopo. Rivedi i controlli di sicurezza attuali, applica le mitigazioni disponibili e considera queste divulgazioni come un'opportunità per rafforzare i livelli che BitLocker da solo non può coprire.