YellowKey, GreenPlasma, MiniPlasma : la série de 0-day Windows sans patch

Les faits

Depuis le 13 mai 2026, un chercheur en sécurité opérant sous les pseudonymes "Chaotic Eclipse" et "Nightmare-Eclipse" publie en rafale des preuves de concept (PoC) pour des vulnérabilités Windows non corrigées. Le code source complet et des exécutables précompilés sont mis en ligne sur GitHub sans délai de coordination avec Microsoft, sans notification préalable, sans période de grâce — une rupture délibérée avec les pratiques de divulgation coordonnée.

La première vague, le 13 mai 2026, portait sur deux vulnérabilités simultanées. YellowKey est un contournement de BitLocker affectant Windows 11 et Windows Server 2022/2025. L'attaque consiste à placer un dossier spécialement forgé "FsTx" sur une clé USB ou une partition EFI, puis à redémarrer la machine en mode Windows Recovery Environment (WinRE). En maintenant la touche CTRL au démarrage, l'exploit déclenche un comportement vulnérable dans le mécanisme de replay Transactional NTFS, ouvrant un shell CMD avec accès complet aux volumes chiffrés par BitLocker en configuration TPM-only. La faille a été assignée CVE-2026-45585 avec un score CVSS de 6.8 — un score qui sous-estime sa criticité réelle dans les environnements où BitLocker est la seule protection des données au repos sur les appareils mobiles.

GreenPlasma, publiée simultanément, est une escalade de privilèges locaux (LPE) affectant Windows 11 et Windows Server 2022/2026. Elle exploite le composant CTFMON (CTF Monitor) pour élever les privilèges jusqu'au niveau SYSTEM. Contrairement à YellowKey, GreenPlasma ne nécessite aucun accès physique et peut être déclenchée par n'importe quel utilisateur local disposant de droits standards — y compris un compte de service limité ou un accès RDP bas-privilège.

Le 19 mai 2026, Nightmare-Eclipse publie MiniPlasma, une troisième LPE permettant d'obtenir des droits SYSTEM sur des systèmes Windows 11 entièrement patchés. Le chercheur explique dans un post GitHub accompagnant la publication que cette vulnérabilité avait été signalée à Microsoft Security Response Center (MSRC) en 2020. Six ans de rapports et de correctifs partiels sans résolution complète ont motivé cette divulgation publique. The Register a titré "disgruntled researcher releases two more Microsoft zero-days" le 13 mai 2026, Barracuda Networks a documenté la chronologie complète dans un billet du 19 mai : six failles, six semaines, une cadence inédite depuis SandboxEscaper en 2018-2019.

BlueHammer (CVE-2026-33825) et RedSun, deux LPE antérieures publiées par le même chercheur en avril 2026, avaient commencé à être exploitées dans la nature dans les 72 heures suivant leur mise en ligne — selon Recorded Future et Mandiant. Ce précédent a conduit ThreatLocker, Trend Micro et Bitdefender à émettre des alertes préventives dès la publication de YellowKey. Microsoft a réagi le 16 mai 2026 avec une mitigation pour YellowKey : supprimer l'entrée autofstx.exe de la valeur BootExecute dans l'image WinRE, neutralisant ainsi le mécanisme de replay NTFS exploité.

A la date de publication de cet article, aucun correctif officiel n'a été publié pour GreenPlasma et MiniPlasma. Ces deux failles seraient probablement traitées lors du Patch Tuesday de juin 2026 selon les informations relayées par SecurityWeek et The Hacker News. Schneier on Security et plusieurs autres analystes reconnus ont publié des prises de position nuancées sur les motivations du chercheur et sur les responsabilités partagées dans cette situation.

L'affaire relance un débat de fond dans la communauté cybersécurité mondiale : la divulgation responsable coordonnée est-elle encore viable quand un éditeur de la taille de Microsoft laisse une faille non corrigée pendant six ans malgré des signalements répétés ? La réponse n'est pas simple, mais les victimes collatérales sont clairement identifiées : les administrateurs systèmes qui doivent déployer des mitigations artisanales en urgence et les utilisateurs finaux dont les systèmes restent vulnérables.

Impact et exposition

YellowKey requiert un accès physique à la machine cible, ce qui limite son exploitation à distance mais expose particulièrement les appareils mobiles perdus ou volés. GreenPlasma et MiniPlasma sont exploitables localement par tout utilisateur authentifié sur Windows 11 ou Windows Server 2022/2025 — y compris via un compte de service compromis ou un accès RDP. Ces LPE sont des outils de post-exploitation redoutables : un attaquant ayant pris pied via phishing ou credential stuffing peut élever immédiatement ses privilèges avant de se déplacer latéralement dans le réseau.

Recommandations

• Appliquer immédiatement la mitigation Microsoft pour YellowKey (CVE-2026-45585) : supprimer l'entrée autofstx.exe de la valeur BootExecute dans l'image WinRE
• Activer le PIN de démarrage BitLocker (mode Enhanced PIN) sur tous les appareils mobiles d'entreprise traitant des données sensibles
• Activer les règles de détection Sigma et YARA publiées par ThreatLocker et Trend Micro pour GreenPlasma et MiniPlasma
• Restreindre les connexions RDP et l'exécution de binaires non signés sur les Windows Server exposés
• Surveiller le Patch Tuesday de juin 2026 pour les correctifs officiels de GreenPlasma et MiniPlasma