YellowKey : 0-day BitLocker bypass WinRE et GreenPlasma LPE SYSTEM

Les faits

La semaine du 12 mai 2026 a vu l'emergence de deux zero-days Windows particulierement preoccupants, divulgues publiquement par un chercheur en securite operant sous les pseudonymes Chaotic Eclipse et Nightmare-Eclipse. Ces deux vulnerabilites, baptisees respectivement YellowKey et GreenPlasma, ont ete rendues publiques sans coordination prealable avec Microsoft — ce type de divulgation est qualifie de full disclosure ou divulgation unilaterale — et sont accompagnees de preuves de concept (PoC) rendues publiques simultanement. Microsoft n'avait pas encore publie de correctif au moment de la redaction de cet article (20 mai 2026), et aucun CVE n'a ete formellement assigne a ces deux vulnerabilites par la MITRE CVE Numbering Authority.

YellowKey est une vulnerabilite de contournement de BitLocker exploitant l'environnement de recuperation Windows (Windows Recovery Environment, WinRE). BitLocker, le mecanisme de chiffrement integral de disque de Microsoft, est largement deploye en entreprise pour proteger les donnees en cas de vol physique d'un appareil. L'attaque YellowKey fonctionne en placant des fichiers FsTx (NTFS transaction files) specialement forges sur une cle USB ou une partition EFI, puis en redemarrant le systeme cible dans WinRE. Lors d'une etape specifique du processus de recuperation, le maintien de la touche CTRL declenche l'ouverture d'un shell avec des privileges eleves, depuis lequel le contenu du disque protege par BitLocker peut etre lu ou modifie. L'exploitation repose sur une combinaison de transactions NTFS et du comportement de l'image WinRE, qui s'execute dans un contexte avec acces au volume BitLocker deja dechiffre en memoire, selon l'analyse publiee par les chercheurs de Hive Security et de LevelBlue (SpiderLabs).

La portee de YellowKey est large : la vulnerabilite affecte Windows 11 dans toutes ses versions, y compris la plus recente 24H2, ainsi que Windows Server 2022 et Windows Server 2025. Selon le chercheur Chaotic Eclipse — qui a publiquement qualifie cette faille de "backdoor architectural" dans la conception de WinRE — la vulnerabilite n'est pas specifique a une configuration particuliere de BitLocker mais affecte le comportement intrinseque de l'environnement de recuperation. Les systemes proteges uniquement par le TPM (mode par defaut dans la grande majorite des deployments d'entreprise) sont pleinement vulnerables, tandis que l'activation d'un PIN de pre-demarrage BitLocker constitue la principale mitigation disponible en attendant un correctif officiel de Microsoft.

YellowKey a ete confirme et analyse de maniere independante par plusieurs equipes de recherche, dont les chercheurs de Hive Security, LevelBlue SpiderLabs, et ThreatLocker, qui ont tous reproduit l'exploitation sur des systemes Windows 11 24H2 entierement a jour. La couverture mediatique a ete large : BleepingComputer, SecurityWeek, The Hacker News et Cybernews ont tous rapporte la divulgation dans les 24 heures suivant la publication du PoC, soulignant l'impact potentiel sur les millions d'appareils professionnels utilisant BitLocker en mode TPM-only.

GreenPlasma est une vulnerabilite d'elevation de privileges locaux (LPE, Local Privilege Escalation) exploitant le composant CTFMON.EXE de Windows. CTFMON est le gestionnaire de services de saisie de texte (Text Input Services) de Windows, qui s'execute avec des privileges SYSTEM dans les sessions utilisateur interactives. GreenPlasma exploite une faiblesse dans la gestion des objets de sections memoire partagee (memory section objects) : un utilisateur sans privileges peut creer des objets de section memoire arbitraires dans des repertoires d'objets Windows ou SYSTEM dispose d'autorisations d'ecriture. Ces sections memoire servent de substrat a la memoire partagee entre processus ; en injectant une section malveillante dans un chemin de confiance SYSTEM, tout service ou pilote implicititement confiant envers ce chemin peut etre amene a executer du contenu controle par l'attaquant, permettant une elevation vers SYSTEM.

Le PoC publie pour GreenPlasma est incomplet dans sa forme actuelle : il demontre la capacite a creer des objets de section memoire arbitraires dans des repertoires SYSTEM, mais ne fournit pas le code complet pour obtenir un shell SYSTEM fonctionnel. Cependant, la demonstration de la primitive d'exploitation est suffisamment claire pour que des chercheurs et acteurs malveillants chevronnees puissent developper un exploit complet dans un delai relativement court. GreenPlasma affecte Windows 11 (toutes versions), Windows Server 2022 et Windows Server 2026. Une troisieme variante, baptisee MiniPlasma, a egalement ete divulguee par le meme chercheur et cible Windows 11 entierement a jour — confirmant que la classe de vulnerabilite CTFMON ne se limite pas a une version specifique du systeme.

La simultaneite de ces deux divulgations le meme jour, accompagnees de preuves de concept, a cree une onde de choc dans la communaute de la securite Windows. Selon Chaotic Eclipse, ces vulnerabilites avaient ete initialement communiquees a Microsoft via des canaux de signalement responsable, mais la reponse de l'editeur n'aurait pas ete jugee satisfaisante, l'amenant a opter pour une full disclosure. Ce type de situation illustre les tensions persistantes entre la culture de la divulgation coordonnee et les delais de reponse des grands editeurs. Microsoft a confirme travailler sur des correctifs, sans fournir de calendrier precis a ce jour.

Du point de vue de la menace, YellowKey presente une particularite importante : elle requiert un acces physique a la machine cible pour etre exploitee (connexion d'une cle USB, redemarrage sur WinRE). Ce pre-requis la distingue des exploits reseau, mais ne la rend pas negligeable. Les scenarios d'utilisation malveillante sont nombreux et realistes : vol d'appareil suivi d'exfiltration de donnees chiffrees, intrusion physique dans un bureau (technicien malveillant, attaque de type evil maid attack), compromission de postes laptops laisses sans surveillance lors de deplacements professionnels. Pour les organisations traitant des donnees hautement sensibles sur des postes mobiles, YellowKey represente une menace directe a la confidentialite meme en cas de vol ou d'acces physique non autorise.

GreenPlasma, en revanche, ne necessite qu'un acces local avec un compte standard (sans privileges administrateur) pour etre exploitee — un vecteur beaucoup plus large. Dans les environnements d'entreprise, GreenPlasma offrirait une voie d'escalade vers SYSTEM apres un acces initial simple : hameconnage, execution de code par un utilisateur non-administrateur, malware installe par un employe. Une fois les privileges SYSTEM obtenus, un attaquant peut desactiver les protections de securite (antivirus, EDR), extraire des credentials depuis la memoire (LSASS dump), deployer des outils de persistance, ou preparer un mouvement lateral vers d'autres systemes du reseau.

Impact et exposition

YellowKey expose potentiellement tout appareil Windows 11 ou Windows Server 2022/2025 protege par BitLocker en mode TPM-only (sans PIN pre-boot), qui est la configuration par defaut dans la grande majorite des deployments d'entreprise. Les appareils mobiles (laptops, tablettes Surface, ultrabooks professionnels) sont les plus exposes en raison du risque de vol ou d'acces physique non supervise. Les secteurs particulierement concernes sont ceux traitant des donnees hautement confidentielles : cabinets d'avocats, professions medicales, dirigeants d'entreprise, journalistes, fonctionnaires traitant des informations sensibles.

GreenPlasma expose tout systeme Windows 11 ou Windows Server 2022/2026 sur lequel un utilisateur non privilegie peut executer du code — ce qui correspond a la quasi-totalite des environnements Windows professionnels standards. L'existence d'un PoC partiel public augmente significativement le risque que des acteurs malveillants developpent rapidement un exploit complet, en particulier des groupes disposant de capacites offensives avancees : groupes APT etatiques, fournisseurs de spywares commerciaux, groupes ransomware bien finances. La troisieme variante MiniPlasma, affectant Windows 11 entierement patche, confirme que la surface d'attaque est large et independante du niveau de maintenance du systeme.

L'absence de CVE formels et de correctifs Microsoft pour YellowKey et GreenPlasma cree une situation delicate pour les equipes securite : les outils de scan de vulnerabilites classiques bases sur des signatures CVE/CVSS ne detecteront pas ces failles. La remediation doit s'appuyer sur des mesures de durcissement proactives et des politiques de securite robustes plutot que sur des signatures de vulnerabilites connues. Dans ce contexte, un accompagnement par des experts en securite Windows est particulierement precieux pour evaluer le niveau d'exposition reel et implementer les contre-mesures adaptees.

Recommandations immediates

• YellowKey — mitigation principale : activer le PIN de pre-demarrage BitLocker sur tous les appareils mobiles et postes a risque via Group Policy (Computer Configuration — Administrative Templates — Windows Components — BitLocker Drive Encryption — Operating System Drives — Require additional authentication at startup — activer le PIN de demarrage)
• YellowKey — mitigation complementaire : desactiver WinRE sur les postes sensibles via commande administrateur : reagentc /disable (noter que cela desactive egalement la recuperation automatique Windows — a evaluer selon le contexte operationnel)
• YellowKey : verrouiller les demarrages depuis USB dans le BIOS/UEFI avec un mot de passe administrateur UEFI et activer le Secure Boot pour prevenir le chargement de medias de recuperation non autorises
• GreenPlasma : surveiller les creations d'objets de sections memoire inhabituelles via Windows Event Auditing (Event ID 4663 sur les repertoires d'objets SYSTEM) et les solutions EDR capables d'intercepter les appels systeme lies a CTFMON
• GreenPlasma : restreindre les permissions d'execution sur CTFMON.EXE via AppLocker ou Windows Defender Application Control (WDAC) si la fonctionnalite de saisie de texte avancee n'est pas necessaire dans vos environnements
• Surveiller regulierement les publications du Microsoft Security Response Center (MSRC) pour l'attribution de CVEs et la disponibilite de correctifs — les appliquer immediatement des leur disponibilite