YellowKey e GreenPlasma: Duas Vulnerabilidades Zero-Day do Windows Atingem o BitLocker

Investigadores de segurança divulgaram publicamente duas vulnerabilidades zero-day não corrigidas no Windows, denominadas YellowKey e GreenPlasma, que têm como alvo a encriptação BitLocker e a framework de entrada CTFMON, respetivamente. O código de exploração de prova de conceito já foi divulgado, o que significa que a vulnerabilidade zero-day do BitLocker no Windows não é meramente teórica. Para os milhões de utilizadores e organizações que dependem do BitLocker como pedra angular da sua estratégia de proteção de dados, esta divulgação é um sério sinal de alerta.

O Que o YellowKey e o GreenPlasma Fazem na Prática

O YellowKey é o mais imediatamente preocupante dos dois. Tem como alvo o BitLocker, a funcionalidade de encriptação de disco completo integrada no Windows 10 e 11, bem como no Windows Server 2022 e 2025. Ao explorar uma falha no Ambiente de Recuperação do Windows, a vulnerabilidade permite que um atacante com acesso físico a uma máquina contorne as proteções padrão do BitLocker e aceda ao conteúdo de uma unidade encriptada. Em termos práticos, um portátil roubado que era anteriormente considerado seguro pela encriptação BitLocker poderia ter os seus dados lidos sem o PIN ou a palavra-passe corretos.

O GreenPlasma tem como alvo o CTFMON, um processo em segundo plano do Windows que gere a entrada de texto, o reconhecimento de escrita manual e as definições de idioma. Esta vulnerabilidade permite a escalada de privilégios local, o que significa que um atacante que já tenha ganho acesso a um sistema pode elevar as suas permissões para um nível superior, podendo atingir acesso de administrador ou ao nível do SISTEMA. As duas vulnerabilidades em conjunto representam uma combinação perigosa: uma derruba a barreira que protege os seus dados em repouso, enquanto a outra permite um comprometimento mais profundo do sistema assim que o atacante estiver dentro.

No momento em que este artigo foi escrito, a Microsoft não emitiu correções para nenhuma das vulnerabilidades. O código de prova de conceito está disponível publicamente, o que reduz significativamente a barreira de exploração para agentes de ameaça menos sofisticados.

Quem Está em Risco e Que Dados Estão Expostos

Qualquer pessoa que utilize um sistema Windows 11 ou Windows Server 2022 e 2025 com o BitLocker ativado é potencialmente afetada pelo YellowKey. O requisito de acesso físico limita a superfície de ataque em comparação com uma exploração totalmente remota, mas esta condicionante não deve proporcionar grande conforto. Portáteis utilizados por colaboradores em ambientes de trabalho híbrido, dispositivos armazenados em espaços de escritório partilhados e máquinas apreendidas ou inspecionadas em passagens de fronteira são todos cenários de ameaça realistas.

No caso do GreenPlasma, o perfil de risco é mais abrangente em certos aspetos. As vulnerabilidades de escalada de privilégios locais são frequentemente encadeadas com outras técnicas de ataque. Um e-mail de phishing que entrega uma carga inicial de baixos privilégios, por exemplo, poderia ser seguido de uma exploração do GreenPlasma para obter controlo total do sistema. Ambientes corporativos, agências governamentais e indivíduos que lidam com ficheiros sensíveis estão todos na linha de mira.

Os dados expostos vão desde documentos pessoais e registos financeiros até propriedade intelectual corporativa e credenciais armazenadas em disco. As organizações que operam sob frameworks de conformidade como HIPAA, RGPD ou CMMC terão de avaliar se estas vulnerabilidades afetam as suas obrigações regulatórias.

Por Que os Utilizadores do BitLocker Não Podem Depender Apenas da Encriptação de Disco

A divulgação do YellowKey ilustra uma limitação fundamental que os utilizadores mais atentos à privacidade frequentemente ignoram: a encriptação protege os dados apenas enquanto o próprio mecanismo de encriptação permanecer íntegro. O BitLocker foi concebido para proteger contra ataques offline, principalmente cenários em que uma unidade é removida e lida noutra máquina. Não foi concebido para ser uma fortaleza impenetrável contra um atacante sofisticado equipado com uma exploração zero-day que tem como alvo o próprio processo que gere o desbloqueio da unidade.

Este é o argumento central para a defesa em profundidade. Depender de um único controlo de segurança, por mais fiável que seja, cria um único ponto de falha. Quando esse controlo é contornado, nada mais fica entre o atacante e os seus dados. A mesma lógica aplica-se às ameaças ao nível da rede: encriptar o tráfego em trânsito através de uma VPN não o protege se o seu endpoint já tiver sido comprometido, e proteger o seu endpoint não protege os dados que fluem sem encriptação numa rede não confiável.

O surgimento destas duas vulnerabilidades serve também como lembrete de que os agentes de ameaça nem sempre precisam de infraestruturas sofisticadas para causar danos graves. Como documentado em campanhas como os sites governamentais falsos que visam cidadãos em todo o mundo, a engenharia social e as ferramentas comuns são frequentemente combinadas com explorações disponíveis publicamente com efeitos devastadores. Um PoC público para contornar o BitLocker reduz consideravelmente o nível de competências necessário.

Passos de Defesa em Profundidade: Correções, VPNs e Segurança em Camadas

Até a Microsoft lançar correções oficiais, os utilizadores e administradores devem tomar as seguintes medidas.

Monitorize as atualizações de segurança da Microsoft. Mantenha o Windows Update ativado e verifique se existem correções fora do ciclo habitual, especialmente dada a disponibilidade pública do código PoC. Quando as correções chegarem, priorize a sua implementação.

Ative o BitLocker com um PIN. A configuração padrão do BitLocker apenas com TPM é mais suscetível a esta classe de ataque. Configurar o BitLocker para exigir um PIN de pré-arranque acrescenta uma camada de resistência que eleva a fasquia para os atacantes físicos.

Restrinja o acesso físico. Para máquinas de alto valor, os controlos de segurança física são importantes. Salas de servidores fechadas, bloqueios de cabo para portáteis e políticas claras sobre dispositivos sem vigilância reduzem a superfície de ataque do YellowKey.

Aplique camadas nos seus controlos de segurança. A encriptação de disco é uma camada, não uma estratégia completa. Combine-a com ferramentas de deteção e resposta de endpoint, encriptação ao nível da rede para dados em trânsito, autenticação forte e segmentação de rede. Uma VPN garante que, mesmo que um atacante se mova a partir de um endpoint comprometido, os dados de saída não fiquem expostos em texto simples na rede.

Audite as contas privilegiadas. Dado o risco de escalada de privilégios do GreenPlasma, reveja quais as contas que têm direitos de administrador local nos endpoints. Reduzir os privilégios desnecessários limita o raio de impacto caso uma exploração seja utilizada.

O Que Isto Significa Para Si

As divulgações do YellowKey e do GreenPlasma são um lembrete concreto de que nenhuma ferramenta de segurança por si só oferece proteção completa. Se a sua estratégia de segurança de dados assenta inteiramente no BitLocker, agora é o momento de auditar a pilha de segurança de forma mais abrangente. Considere o que acontece se o BitLocker for contornado: existe outra camada a proteger os seus ficheiros mais sensíveis? O seu tráfego de rede está encriptado de forma independente do seu disco? As suas credenciais e chaves de recuperação estão armazenadas de forma segura?

As medidas proativas importam mais antes de um incidente do que depois. Reveja os seus controlos de segurança atuais, aplique as mitigações disponíveis e trate estas divulgações como uma oportunidade para reforçar as camadas que o BitLocker por si só não consegue cobrir.