Hack Alerta

Windows BitLocker: Zero-day permite acesso a drives protegidos e PoC é liberado

Por Redação Hack Alerta Publicado em 13/05/2026 14:12 Riscos e Ameaças Tempo de leitura: 5 min

Pesquisador de segurança divulgou PoC para duas falhas não corrigidas no Windows: YellowKey e GreenPlasma. Vulnerabilidades permitem contornar BitLocker e escalar privilégios, representando risco crítico para proteção de dados corporativos e conformidade com LGPD.

Descoberta e escopo

Um pesquisador de segurança da informação divulgou proof-of-concept (PoC) para duas vulnerabilidades não corrigidas no Microsoft Windows, nomeadas YellowKey e GreenPlasma. Essas falhas críticas permitem contornar a proteção do BitLocker e escalar privilégios em sistemas comprometidos, representando um risco imediato para a integridade dos dados corporativos. A descoberta ocorre em um momento sensível, onde a proteção de dados em repouso é fundamental para a conformidade com a LGPD e outras regulamentações de privacidade.

O YellowKey atua como um bypass do BitLocker, permitindo que atacantes acessem drives criptografados sem a necessidade da chave de recuperação ou senha do usuário. Já o GreenPlasma é uma falha de escalonamento de privilégios que, quando combinada com o bypass do BitLocker, pode conceder acesso administrativo completo à máquina afetada. A liberação do PoC aumenta a superfície de ataque, pois facilita a replicação da exploração por grupos criminosos.

Análise técnica detalhada

A exploração do YellowKey envolve a manipulação de componentes de gerenciamento de chaves de criptografia no kernel do Windows. Ao invés de quebrar a criptografia em si, o exploit contorna o mecanismo de verificação de integridade que protege o acesso aos volumes criptografados. Isso significa que, mesmo com o BitLocker ativado, um atacante com acesso local ou remoto pode ler o conteúdo do disco.

O GreenPlasma, por sua vez, explora uma falha na lógica de permissões do sistema de arquivos. A vulnerabilidade permite que um usuário padrão execute código com privilégios de administrador, facilitando a instalação de backdoors persistentes. A combinação das duas falhas cria um vetor de ataque completo: acesso ao disco e controle total do sistema.

Os detalhes técnicos indicam que a exploração não requer interação do usuário, o que a torna particularmente perigosa em ambientes corporativos onde a autenticação multifator pode não estar habilitada em todos os pontos de acesso.

Impacto e alcance

As vulnerabilidades afetam versões recentes do Windows, incluindo Windows 11 e Windows 10, especialmente em configurações onde o BitLocker é utilizado para proteção de dados sensíveis. O impacto é amplificado em setores como saúde, financeiro e governo, onde a criptografia de dados é um requisito de conformidade.

Empresas que dependem de dispositivos móveis e laptops corporativos estão em maior risco, pois a perda de um dispositivo físico pode resultar em acesso não autorizado aos dados se as vulnerabilidades forem exploradas. Além disso, a natureza do ataque permite que dados sensíveis sejam exfiltrados sem deixar rastros óbvios de violação de criptografia.

Medidas de mitigação recomendadas

Os CISOs e equipes de segurança devem adotar as seguintes medidas imediatamente:

  • Monitoramento de integridade: Implementar soluções de detecção de intrusão (IDS) que monitorem tentativas de acesso não autorizado ao sistema de arquivos e alterações no kernel.
  • Atualização de patches: Verificar se as correções mais recentes do Microsoft estão instaladas, embora a natureza não corrigida das falhas exija mitigações proativas.
  • Controle de acesso: Restringir o acesso físico e lógico a dispositivos críticos, utilizando autenticação forte e políticas de menor privilégio.
  • Segmentação de rede: Isolar sistemas críticos para limitar o movimento lateral caso um dispositivo seja comprometido.

Implicações regulatórias (LGPD)

A exploração dessas vulnerabilidades pode resultar em vazamento de dados pessoais, acionando obrigações de notificação à Autoridade Nacional de Proteção de Dados (ANPD) sob a Lei Geral de Proteção de Dados (LGPD). Organizações devem avaliar se os dados protegidos pelo BitLocker são considerados dados pessoais e se a violação da criptografia configura um incidente de segurança grave.

A falha na proteção de dados em repouso pode ser interpretada como uma falha na implementação de medidas de segurança adequadas, potencialmente resultando em sanções administrativas e multas.

O que os CISOs devem fazer agora

Além das medidas técnicas, os líderes de segurança devem revisar seus planos de resposta a incidentes para incluir cenários de exploração de vulnerabilidades de criptografia. A comunicação com as equipes de TI e compliance é essencial para garantir que a resposta seja coordenada e eficaz.

A vigilância contínua sobre novas descobertas de segurança e a participação em comunidades de compartilhamento de inteligência de ameaças (ISACs) são fundamentais para antecipar movimentos de atacantes.

Perguntas frequentes

As falhas já estão sendo exploradas em ataques ativos? Até o momento, não há confirmação oficial de exploração em massa, mas a liberação do PoC aumenta o risco iminente.

Qual a severidade das vulnerabilidades? Ambas são classificadas como críticas devido ao impacto direto na confidencialidade e integridade dos dados.

Como saber se meu sistema está afetado? Verifique a versão do Windows e se o BitLocker está ativado. Consulte os advisories oficiais da Microsoft para detalhes específicos de versão.

Baseado em publicação original de BleepingComputer
Tags: #=windows #bitlocker #zero-day #microsoft #vulnerabilidade #privilege-escalation #exploit #segurança #ciso
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar