Em 12 de maio de 2026, sincronizado com o Patch Tuesday da Microsoft, um pesquisador de segurança conhecido como Chaotic Eclipse publicou dois exploits zero-day que afetam o Windows 11 e o Windows Server. O primeiro, chamado YellowKey, permite contornar completamente a criptografia BitLocker através do Windows Recovery Environment usando apenas um pendrive USB. O segundo, batizado de GreenPlasma, explora o componente CTFMON para criar seções de memória arbitrárias em diretórios privilegiados, abrindo caminho para elevação de privilégios até SYSTEM. Nenhum dos dois possui patch disponível até o momento, e ambos já foram observados em campanhas de ataque reais.
Neste artigo do Blog Dolutech, trazemos uma análise completa dessas duas vulnerabilidades, explicamos o contexto dos exploits anteriores do mesmo pesquisador e fornecemos orientações práticas para que administradores possam proteger seus ambientes imediatamente.
Quem é Chaotic Eclipse
Chaotic Eclipse, também conhecido como Nightmare Eclipse no GitHub, é um pesquisador de segurança anônimo que desde abril de 2026 mantém uma campanha pública de divulgação de zero-days contra produtos Microsoft. A motivação declarada é a frustração com o tratamento dado pelo Microsoft Security Response Center (MSRC) aos seus relatórios de vulnerabilidades.
Em uma postagem assinada digitalmente com PGP em seu blog pessoal, o pesquisador escreveu: “Microsoft has chosen to make this worse instead of resolving the situation like adults. My patience is running out, you’re making everyone else paying for it.” E finalizou com uma ameaça direta: “Next Patch Tuesday will have a big surprise for you, Microsoft. And remember, I never failed to deliver a promise.”
Antecedentes: BlueHammer, RedSun e UnDefend
Antes de YellowKey e GreenPlasma, Chaotic Eclipse já havia publicado três exploits direcionados ao Microsoft Defender, todos em abril de 2026.
BlueHammer (CVE-2026-33825, CVSS 7.8)
O BlueHammer explora uma condição de corrida TOCTOU (Time of Check, Time of Use) no fluxo de remediação do Windows Defender. O ataque força o Defender a criar um Volume Shadow Copy durante a remediação de um arquivo malicioso, utiliza a Cloud Files API e Opportunistic Locks para congelar o processo do Defender no momento exato em que o snapshot está montado, e então acessa os hives de registro SAM, SYSTEM e SECURITY diretamente pela shadow copy. Com esses dados, o exploit extrai hashes NTLM, altera temporariamente a senha de um administrador local, cria um serviço do Windows para executar código como NT AUTHORITY\SYSTEM e restaura o hash original para ocultar rastros. A Microsoft corrigiu essa falha no Patch Tuesday de abril de 2026.
RedSun (Sem CVE atribuído)
O RedSun abusa do mecanismo de restauração de cloud files do Defender. Quando o antivírus detecta um arquivo marcado com cloud tag, ele tenta restaurá-lo ao local original. O exploit redireciona essa operação de escrita usando junctions NTFS, fazendo o Defender sobrescrever o binário TieringEngineService.exe em C:\Windows\System32 com uma cópia maliciosa. Em seguida, o objeto COM Storage Tiers Management Engine executa esse binário como SYSTEM. Segundo Chaotic Eclipse, a Microsoft corrigiu silenciosamente o RedSun sem emitir advisory nem atribuir um CVE.
UnDefend
O UnDefend monitora o diretório de definições do Defender e compete para travar arquivos de assinatura antes que o antivírus possa utilizá-los. Quando o serviço WinDefend é parado, o UnDefend imediatamente bloqueia o arquivo mpavbase.vdm, impedindo que o Defender recarregue suas definições ao reiniciar. O efeito persiste enquanto o processo do UnDefend estiver em execução.
Exploração documentada pela Huntress
Em 20 de abril de 2026, a Huntress Labs publicou um relatório detalhando a observação dos três exploits em uma intrusão real. O acesso inicial veio de credenciais comprometidas de SSL VPN FortiGate, com conexões originadas de IPs na Rússia (78.29.48.29), Singapura (212.232.23.69) e Suíça (179.43.140.214). Os binários foram encontrados em diretórios como Pictures e subpastas de Downloads, com nomes como FunnyApp.exe (BlueHammer), RedSun.exe, undef.exe e z.exe. A Huntress também identificou um agente de tunelamento chamado BeigeBurrow que utilizava a biblioteca yamux para estabelecer relay TCP reverso para o domínio staybud.dpdns.org.
YellowKey: Bypass do BitLocker via Recovery Environment
Como funciona
O YellowKey é descrito pelo próprio pesquisador como “one of the most insane discoveries I ever found”. A vulnerabilidade está enraizada no subsistema Transactional NTFS (TxF), mais especificamente na forma como o Windows Recovery Environment processa logs transacionais armazenados no diretório \System Volume Information\FsTx.
Quando o WinRE é carregado, ele detecta automaticamente diretórios FsTx em todos os drives conectados e reproduz os logs transacionais NTFS encontrados neles. O exploit aproveita esse comportamento para executar uma transação que deleta o arquivo X:\Windows\System32\winpeshl.ini. Esse arquivo é responsável por definir qual aplicação o WinRE executa ao iniciar. Sem ele, o WinRE abre diretamente o cmd.exe, com o volume BitLocker já desbloqueado pelo TPM.
Will Dormann, analista principal de vulnerabilidades da Tharros Labs, que reproduziu o exploit com sucesso, explicou: “The result is that the X:\Windows\System32\winpeshl.ini is deleted, and when Windows Recovery is entered, rather than launching the actual Windows Recovery environment, it pops up a CMD.EXE. With the disk still unlocked.”
Um detalhe que chamou a atenção de pesquisadores e da comunidade é que o componente responsável por essa funcionalidade existe apenas dentro da imagem WinRE. O mesmo componente com o mesmo nome está presente na instalação padrão do Windows, mas sem a funcionalidade que possibilita o bypass. Chaotic Eclipse levantou a hipótese de que isso poderia ser um backdoor intencional, embora nenhuma evidência concreta suporte essa alegação.
Passo a passo do ataque
O processo é alarmantemente simples. O atacante copia a estrutura de pastas FsTx fornecida no repositório do exploit para um pendrive USB formatado em NTFS. Em seguida, insere o USB no computador alvo que possui BitLocker ativado. O próximo passo é reiniciar o dispositivo no WinRE, seja segurando Shift ao clicar em Reiniciar, seja forçando um desligamento durante o boot. Ao entrar no WinRE, o atacante segura a tecla Ctrl. O WinRE reproduz os logs transacionais do USB, deleta o winpeshl.ini e abre um prompt de comando com acesso completo ao volume descriptografado.
Existe também uma variante sem mídia externa. Se o atacante conseguir remover o disco rígido do alvo, pode montar a partição EFI, que não é protegida pelo BitLocker, copiar a estrutura FsTx diretamente nela e reinstalar o disco.
Sistemas afetados
O exploit afeta o Windows 11 (todas as builds), Windows Server 2022 e Windows Server 2025. O Windows 10 não é afetado porque a versão do componente WinRE presente nesse sistema não contém a funcionalidade explorada.
A questão do TPM+PIN
A versão publicada do exploit funciona contra configurações TPM only, que é o padrão em muitas organizações. Nessa configuração, o BitLocker desbloqueia o volume automaticamente durante o boot sem exigir interação do usuário. O pesquisador afirmou que o exploit também funciona com TPM+PIN, porém não publicou essa variante: “TPM+PIN does not help, the issue is still exploitable regardless. I’m just not publishing the PoC.”
Testes do pesquisador JaGoTu sugeriram que o sucesso com TPM+PIN pode depender da versão específica do WinRE instalada no dispositivo.
Confirmações independentes
Kevin Beaumont reproduziu o exploit e confirmou que funciona, recomendando BitLocker PIN e senha de BIOS como mitigação. Will Dormann da Tharros Labs também confirmou o funcionamento via USB, embora não tenha conseguido reproduzir a variante via partição EFI. O pesquisador KevTheHermit igualmente validou o exploit em builds recentes do Windows 11.
GreenPlasma: Elevação de Privilégios via CTFMON
Como funciona
O GreenPlasma explora uma falha no componente CTFMON.exe, que faz parte do Collaborative Translation Framework do Windows. Esse framework gerencia métodos de entrada, reconhecimento de fala e outros serviços de tradução no sistema operacional. O CTF já foi alvo de vulnerabilidades anteriores e é reconhecido como tendo uma arquitetura insegura.
O exploit demonstra que um usuário sem privilégios pode abusar do CTF para criar seções de memória arbitrárias em directory objects que deveriam ser acessíveis apenas por processos com privilégio SYSTEM. Serviços e drivers em modo kernel que confiam implicitamente nesses caminhos podem ser manipulados a partir dessas seções, criando um caminho para execução de código com os mais altos privilégios do sistema.
Estado atual do exploit
O PoC publicado é deliberadamente incompleto. Ele demonstra a capacidade de criar seções arbitrárias mas não inclui o código para obter um shell SYSTEM completo. Chaotic Eclipse declarou: “If you’re smart enough, you can turn this into a full privilege escalation.”
Apesar da incompletude, especialistas consideram o risco significativo. Joshua Roback da Swimlane alertou: “Even with limitations around the current proof-of-concept, any path toward System-level privileges deserves close scrutiny.” Ross Filipek, CISO da Corsica Technologies, complementou: “Public zero-day releases always change the risk equation because they shrink the window between discovery and exploitation.”
O bulletin de segurança SB2026051378 cataloga a vulnerabilidade como uma falha de Permissions, Privileges and Access Controls no CTFMON que permite a um usuário local escalar privilégios e executar código arbitrário como SYSTEM.
Exploração ativa em menos de 24 horas
Um dos dados mais preocupantes sobre os exploits de Chaotic Eclipse é a velocidade com que são armados por agentes maliciosos. No caso dos três exploits de abril, a Huntress documentou exploração ativa em apenas 4 dias após a publicação do BlueHammer. Para YellowKey e GreenPlasma, a Forbes reportou que ambos foram observados em campanhas de ataque ativas em menos de 24 horas após a divulgação.
Gavin Knapp, da Bridewell, observou que pesquisadores habilidosos estão aproveitando inteligência artificial para acelerar a pesquisa de vulnerabilidades e o desenvolvimento de exploits, o que explica a velocidade crescente com que falhas históricas de sistemas estão sendo descobertas.
Patch Tuesday de maio de 2026
A sincronização com o Patch Tuesday foi intencional. A Microsoft publicou 138 correções de segurança em maio, o segundo maior volume mensal da história. Nenhuma das vulnerabilidades corrigidas estava sendo explorada ativamente no momento do patch. Entre as mais relevantes estão a CVE-2026-41089, um buffer overflow crítico no Windows Netlogon, a CVE-2026-42831, uma falha de RCE no Microsoft Office via heap overflow, e as CVE-2026-40367 e CVE-2026-40366, ambas vulnerabilidades críticas de RCE no Microsoft Word exploráveis pelo Preview Pane.
Porém, nenhuma correção foi lançada para YellowKey ou GreenPlasma. Até o fechamento desta publicação no Blog Dolutech, nenhum CVE foi atribuído a essas vulnerabilidades.
Como verificar se seu sistema está vulnerável
Para verificar a configuração do BitLocker, execute no PowerShell:
manage-bde -protectors -get C:Se o resultado mostrar apenas “TPM” sem “TPM And PIN”, o sistema está exposto ao PoC público do YellowKey.
Para verificar o status do WinRE:
reagentc /infoPara confirmar se os patches mais recentes foram aplicados:
Get-HotFix | Sort-Object -Property InstalledOn -Descending | Select-Object -First 10Mitigação recomendada pela Dolutech
Para o YellowKey
A ação mais urgente é habilitar o PIN do BitLocker via Group Policy em Computer Configuration, Administrative Templates, Windows Components, BitLocker Drive Encryption, Operating System Drives, configurando “Require additional authentication at startup” para exigir TPM com PIN.
Defina uma senha de BIOS/UEFI para impedir alterações na ordem de boot e desabilite o boot por USB no firmware. Onde operacionalmente viável, considere desabilitar o WinRE com o comando reagentc /disable, mas esteja ciente de que isso impacta os processos de recuperação do Windows.
Monitore a presença de estruturas FsTx em partições EFI e dispositivos USB:
mountvol E: /S
dir "E:\System Volume Information\FsTx" /s 2>nul
mountvol E: /DPara o GreenPlasma
Monitore atividade anômala do processo ctfmon.exe via soluções de EDR. Aplique o princípio de menor privilégio em todas as estações de trabalho. Utilize Application Control (WDAC ou AppLocker) para restringir execução de binários não autorizados. Aplique todas as atualizações do Patch Tuesday de maio para reduzir a superfície de ataque geral.
Para os exploits anteriores
Confirme que o patch de abril de 2026 para CVE-2026-33825 (BlueHammer) foi aplicado. Implemente monitoramento comportamental para enumeração de VSS por processos fora do contexto de backup, registro de Cloud Files sync root por aplicações desconhecidas e alterações consecutivas rápidas de senha em contas de administrador (Event IDs 4723 e 4724). Revise logs de VPN para autenticações da mesma conta a partir de múltiplas localizações geográficas em curto intervalo.
Indicadores de comprometimento
Os indicadores relacionados ao YellowKey incluem a presença de diretórios \System Volume Information\FsTx em USB ou partição EFI com conteúdo não padrão, ausência do arquivo winpeshl.ini no WinRE e sessões cmd.exe abertas no contexto de recuperação.
Para os exploits anteriores documentados pela Huntress, os binários observados foram FunnyApp.exe, RedSun.exe, undef.exe e z.exe. As detecções do Defender associadas são Exploit:Win32/DfndrPEBluHmr.BZ e .BB. O agente de tunelamento BeigeBurrow (agent.exe) conecta a staybud.dpdns.org:443 com hash SHA-256 a2b6c7a9c4490df70de3cdbfa5fc801a3e1cf6a872749259487e354de2876b7c.
Considerações finais
Nós da Dolutech entendemos que este cenário representa um dos momentos mais delicados de 2026 para administradores Windows. Um pesquisador habilidoso publicando zero-days funcionais no exato dia do Patch Tuesday, com promessa de mais para junho, cria uma janela de exposição que não pode ser endereçada apenas com atualizações. Defesa em profundidade, incluindo autenticação pré-boot, segurança física, monitoramento comportamental e controle de aplicações, é a resposta correta.
Continuaremos acompanhando cada desenvolvimento e trazendo análises atualizadas no Blog Dolutech.
Referências
SecurityWeek: https://www.securityweek.com/researcher-drops-yellowkey-greenplasma-windows-zero-days/
The Hacker News: https://thehackernews.com/2026/05/windows-zero-days-expose-bitlocker.html
BleepingComputer: https://www.bleepingcomputer.com/news/security/windows-bitlocker-zero-day-gives-access-to-protected-drives-poc-released/
Ars Technica: https://arstechnica.com/security/2026/05/zero-day-exploit-completely-defeats-default-windows-11-bitlocker-protections/
Huntress Labs: https://www.huntress.com/blog/nightmare-eclipse-intrusion
Cyderes Howler Cell: https://www.cyderes.com/howler-cell/windows-zero-day-bluehammer
Bitdefender: https://www.bitdefender.com/en-us/blog/hotforsecurity/bitlocker-zero-day-poc
Blackfort: https://www.blackfort-tec.de/en/insights/yellowkey-bitlocker-bypass-windows-11-vulnerability
GitHub YellowKey: https://github.com/Nightmare-Eclipse/YellowKey
GitHub GreenPlasma: https://github.com/Nightmare-Eclipse/GreenPlasma
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
