神秘微软漏洞泄露者持续发布零日漏洞

# 神秘的微软漏洞泄露者持续释放零日漏洞 来源：https://www.theregister.com/security/2026/05/13/disgruntled-researcher-releases-two-more-microsoft-zero-days/5239758 安全 安全专业人士警告称，YellowKey 的声明可能使被盗笔记本电脑变成更大的问题 今年已恶意曝光三个 Windows 零日漏洞的匿名安全研究员，在微软每月补丁星期二更新后，又披露了两个新漏洞。 Nightmare-Eclipse（或根据其使用的别名称为 Chaotic Eclipse）发布了关于 **YellowKey**（https://github.com/Nightmare-Eclipse/YellowKey）和 **GreenPlasma**（https://github.com/Nightmare-Eclipse/GreenPlasma）的详细信息——分别是 BitLocker 绕过漏洞和权限提升漏洞，可使攻击者获得 SYSTEM 访问权限。 接受《The Register》采访的专家警告称，这两个漏洞都带来了严重的安全隐患，尤其是 Nightmare-Eclipse 发布了大量关于利用这些漏洞的技术细节。 Nightmare-Eclipse 将 YellowKey 描述为“我所发现的最疯狂的漏洞之一”。他们提供了需要加载到 USB 驱动器上的文件，如果攻击者正确完成按键序列，就能获得对 BitLocker 保护设备的无限制 shell 访问权限。 对于此类声明，我们通常会保持谨慎，因为该漏洞需要物理访问 Windows PC。然而，鉴于 BitLocker（https://www.theregister.com/security/2026/01/23/surrender-as-a-service-microsoft-unlocks-bitlocker-for-feds/4387769）是 Windows 针对被盗设备的最后一道防线，绕过该技术使窃贼能够访问加密文件。 Forescout 安全情报副总裁 Rik Ferguson 表示：“如果（研究员的声明）成立，那么被盗笔记本电脑就不再是硬件问题，而变成了数据泄露通知。” 尽管需要物理访问，Bridewell 网络威胁情报主管 Gavin Knapp 告诉《The Register》，YellowKey 对于使用 BitLocker 的组织来说仍然是“一个巨大的安全问题”。 引用在网络威胁情报圈中分享的信息，他补充说，可以通过实施 BitLocker PIN 和 BIOS 密码锁来缓解 YellowKey。 Nightmare-Eclipse 暗示 YellowKey 也可能充当后门，据称是由微软植入的，但接受我们采访的人士表示，根据现有信息无法证实这一点。 该研究员还发布了 GreenPlasma 的部分利用代码，而非完整的概念验证利用代码（PoC）。 Ferguson 指出，攻击者需要利用研究员提供的代码自行研究如何将其武器化，这并非易事：在当前状态下，该代码会在默认 Windows 配置下触发 UAC 同意提示，意味着静默利用仍需完善。 Knapp 警告称，此类权限提升漏洞通常被攻击者在获得受害者系统初始立足点后使用。 “这些权限提升漏洞常在后期利用中被武器化，使威胁行为者能够发现并窃取凭证和数据，然后横向移动到其他系统，最终达成数据窃取和/或勒索软件部署等目标。”他说。 “目前，GreenPlasma 尚无已知的缓解措施。当微软修复该问题时，及时打补丁将非常重要。” ### 四个、五个……还有更多？ YellowKey 和 GreenPlasma 是该研究员今年曝光的一系列五个微软零日漏洞中的最新两个。 当 Nightmare-Eclipse 发布 **BlueHammer**（https://www.theregister.com/security/2026/04/14/microsofts-massive-patch-tuesday-its-raining-bugs/5219841）（CVE-2026-32201，6.5）时——该漏洞已于 4 月被微软修复——他们被描述为一名心怀不满的研究员，此后有传闻称其曾是微软员工。 根据他们以 Chaotic Eclipse 别名发表的首篇博客文章，漏洞泄露始于一次所谓的信任违反。 “我从未想过要重新开启一个博客并创建一个新的 GitHub（https://www.theregister.com/software/2026/04/29/mitchell-hashimoto-says-github-no-longer-for-serious-work/5227505）账号来发布代码，”他们写道。“但有人违反了我们的协议，让我无家可归，一无所有。他们知道会发生这种情况，却仍然在背后捅了我一刀，这是他们的决定，不是我的。” 4 月初，该研究员泄露了 Windows Defender 漏洞的概念验证代码，分别称为 RedSun（管理员权限提升漏洞）和 UnDefend（拒绝服务漏洞），以及 BlueHammer。 RedSun 和 UnDefend 至今仍未修复，根据 Huntress（https://www.huntress.com/blog/nightmare-eclipse-intrusion）的说法，发布的概念验证代码很快被实际攻击所利用和滥用。 Ferguson 将 YellowKey 和 GreenPlasma 的曝光描述为针对微软的逐步升级的报复行动中的最新一步，并警告称还会有更多漏洞出现。 “先前的发布包括 BlueHammer 和 RedSun，两者都引起了社区的严重关注和实际的分叉（fork），”他说。 “同一篇关联昨日发布的帖子警告了另一个‘补丁星期二惊喜’，并暗示了未来的 RCE 披露。他们声称拥有一个‘死人开关’，准备好更多漏洞。这位研究员此前所有的威胁都已兑现。” ®