BitLocker zero-day: sblocca dischi cifrati via USB/WinRE
PoC di YellowKey rilasciato: bypass zero-day BitLocker tramite WinRE, attacco fisico con USB su Windows 11 e Server. Verificato indipendentemente.
Contenuto
Il ricercatore Chaotic Eclipse, noto anche come Nightmare Eclipse, ha pubblicato il 13 maggio 2026 i proof-of-concept di una coppia di zero-day Windows non patchate: YellowKey bypassa BitLocker sfruttando il Windows Recovery Environment con una chiavetta USB preparata, mentre GreenPlasma resta un work-in-progress per privilege escalation locale via CTFMON.
La pubblicazione di codice funzionante abbassa la barriera all’attacco fisico e mette in allerta le organizzazioni che usano BitLocker in modalità TPM-only, poiché il volume risulta sbloccato durante il boot in WinRE. L’incertezza sulle future disclosure e sul dead man’s switch annunciato alimenta uno scenario di minaccia prolungato.
- YellowKey sfrutta il Windows Recovery Environment per aprire volumi BitLocker ancora sbloccati: una chiavetta USB con una directory
FsTxmanipola i log NTFS in WinRE, causando la cancellazione diwinpeshl.inie l’esecuzione dicmd.exeal posto dell’ambiente di recovery. - L’exploit interessa Windows 11, Windows Server 2022 e Windows Server 2025; il ricercatore esclude invece Windows 10 dal perimetro della vulnerabilità, senza fornire dettagli tecnici sul motivo di questa differenza.
- Esiste un conflitto non risolto sulla protezione TPM+PIN: Will Dormann di Tharros Labs afferma che il PoC rilasciato si basa sull’auto-unlock e non funziona con TPM+PIN, ma Chaotic Eclipse sostiene di possedere un metodo per aggirare anche quella configurazione senza pubblicarlo.
- GreenPlasma, la seconda vulnerabilità, è una privilege escalation locale via
ctfmon.exeche sfrutta la creazione arbitraria di sezioni di memoria in percorsi trusted; il PoC pubblicato è tuttavia incompleto e manca del componente necessario a ottenere una shell con privilegi SYSTEM.
Come funziona YellowKey: il filesystem che inganna WinRE
Il ricercatore Chaotic Eclipse ha pubblicato un proof-of-concept dettagliato per YellowKey, un bypass del crittovolume BitLocker che non richiede password né chiavi di recupero, ma solo la possibilità di collegare un dispositivo USB preparato e riavviare la macchina. Al boot, il Windows Recovery Environment cerca directory denominate FsTx all’interno di unità collegate, inclusa la chiavetta; quando le rileva, riproduce i log NTFS in modo che il file X:\Windows\System32\winpeshl.ini venga eliminato.
Con winpeshl.ini cancellato, WinRE non avvia più l’ambiente di recovery ma esegue direttamente cmd.exe. Il volume BitLocker resta sbloccato grazie all’auto-unlock, lasciando aperta una shell con accesso illimitato ai dati. Will Dormann di Tharros Labs ha verificato autonomamente il vettore USB, spiegando che il disco risulta ancora decriptato quando compare il prompt dei comandi. KevTheHermit ha confermato il funzionamento dell’exploit, precisando tuttavia che la procedura di boot con la chiavetta inserita e la pressione del tasto CTRL possono richiedere più tentativi prima di riuscire.
Il ricercatore descrive anche un vettore alternativo che sfrutterebbe una partizione EFI, ma Dormann non ha riprodotto questa variante. Resta quindi un limite concreto nella verifica indipendente, mentre l’attacco tramite USB è già documentato e ripetibile.
"The result of this is that the X:\Windows\System32\winpeshl.ini is deleted, and when Windows Recovery is entered, rather than launching the actual Windows Recovery environment, it pops up a CMD.EXE. With the disk still unlocked" — Will Dormann (Tharros Labs)
Il perimetro delle versioni vulnerabili e l’esclusione di Windows 10
Secondo quanto dichiarato da Chaotic Eclipse, YellowKey interessa Windows 11, Windows Server 2022 e Windows Server 2025. Il ricercatore esclude invece esplicitamente Windows 10 dal perimetro della vulnerabilità, senza però fornire nel dettaglio i motivi tecnici di questa differenza.
La mappa di esposizione è pertanto concentrata sui sistemi più recenti, inclusi i server aziendali e i workstation moderni che affidano la protezione dei dati a BitLocker con configurazione TPM-only. L’assenza di Windows 10 nella lista non costituisce garanzia assoluta: non esistono al momento prove pubbliche che escludano completamente la tecnica su quella versione, ma il ricercatore non l’ha inclusa nelle dichiarazioni di impatto.
TPM+PIN: mitigazione efficace o limite temporaneo del PoC?
Un punto di frizione tecnicamente rilevante — e non risolto — riguarda l’efficacia della configurazione TPM+PIN contro YellowKey. Will Dormann sostiene che il PoC rilasciato sfrutti l’auto-unlock del volume e che, di conseguenza, non funzioni dove sia attivo un PIN aggiuntivo richiesto dal TPM. In altre parole, l’esempio pubblico si arresterebbe laddove il boot richieda un secondo fattore locale.
La contro-dichiarazione del ricercatore è netta. Chaotic Eclipse afferma: «No, TPM+PIN does not help, the issue is still exploitable regardless, I asked myself this question, can it still work in a TPM+PIN environment ? Yes it does, I'm just not publishing the PoC».
Questa affermazione non è stata verificata indipendentemente e non esiste, al momento, codice pubblico che dimostri il bypass. L’incertezza lascia aperta una falla nel risk assessment aziendale: le organizzazioni non possono contare sul PIN come mitigazione certa, ma non dispongono nemmeno di evidenza oggettiva di un attacco confermato contro quella configurazione. Fino a un chiarimento tecnico indipendente o alla replica del claim, il dibattito resta sospeso tra supposizione e prudenza.
GreenPlasma: privilege escalation incompleta via CTFMON
Parallelamente a YellowKey, Chaotic Eclipse ha divulgato GreenPlasma, descrivendola come vulnerabilità di privilege escalation legata alla creazione arbitraria di sezioni tramite CTFMON. La tecnica sfrutta il processo ctfmon.exe, eseguito con privilegi SYSTEM, per creare sezioni di memoria arbitrarie all’interno di directory objects scrivibili dal sistema.
L’analista Het Mehta ha esaminato la catena d’attacco, descrivendo una sequenza di manipolazioni sul registro e sulle permission rules volte a influenzare memoria trusted partendo da un processo utente non privilegiato. Il meccanismo teorico apre la strada a una privilege escalation locale, ma il PoC rilasciato il 13 maggio 2026 è incompleto: manca del componente finale necessario per ottenere una shell SYSTEM. Senza quel tassello, la dimostrazione resta un esercizio di analisi piuttosto che un’arma pronta all’uso.
Il ricercatore ha presentato GreenPlasma come una challenge CTF, suggerendo che la comunità debba completare l’ultimo stadio dell’exploit. Fino a quel punto, la minaccia resta circoscritta a sessioni interattive locali e non esistono evidenze di exploitation in-the-wild.
Cosa fare adesso
- Passare da TPM-only a TPM+PIN sui sistemi Windows 11 e Server 2022/2025, perché il PoC rilasciato e verificato si basa sull’auto-unlock e non funziona contro il PIN secondo Will Dormann; tenere però conto che la claim non dimostrata del ricercatore su un bypass futuro lascia un margine di incertezza.
- Rafforzare il controllo fisico degli endpoint e limitare la possibilità di boot da dispositivi USB esterni, dato che l’attacco richiede il riavvio della macchina con una chiavetta preparata.
- Audit immediato della configurazione BitLocker per identificare i volumi in modalità TPM-only privi di PIN, prioritaria su workstation e server fisicamente accessibili.
- Monitorare i canali ufficiali Microsoft e le disclosure del ricercatore per aggiornamenti sullo stato di patch e per eventuali rilasci futuri collegati al dead man’s switch annunciato.
La pubblicazione di YellowKey conferma che il perimetro di sicurezza di Windows non può essere disegnato solo attorno al sistema operativo attivo: l’ombra di WinRE, un ambiente di recovery nascosto ma potente, offre una superficie d’attacco ignorata troppo a lungo. Finché Microsoft non chiuderà il ciclo con una patch verificata e il ricercatore non chiarirà i confini reali del bypass, ogni valutazione del rischio resterà una misura provvisoria. La vicenda segnala inoltre come la decisione di rendere pubblico un PoC zero-day — pur nella sua incompletezza per GreenPlasma — possa accelerare la pressione sui vendor più che la protezione degli utenti.
Domande frequenti
YellowKey richiede la password di BitLocker o una chiave di recupero?
No. L’exploit non necessita di password né di chiave di recupero: sfrutta il meccanismo di auto-unlock in WinRE per accedere al volume mentre è ancora sbloccato, bypassando la richiesta credenziale.
Se il sistema usa Windows 10, è esposto?
Secondo il ricercatore, Windows 10 non rientra tra le versioni vulnerabili a YellowKey. Al momento non esistono però dettagli tecnici pubblici che spieghino il motivo di questa esclusione, né verifiche indipendenti che confermino la dichiarazione.
GreenPlasma può essere sfruttata da remoto?
No. Entrambe le vulnerabilità richiedono un accesso locale al sistema: YellowKey necessita del riavvio fisico con un dispositivo USB preparato, mentre GreenPlasma opera su sessioni interattive locali e il suo PoC è ancora incompleto.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.