Kada se u istoj priči pojave Microsoft, BitLocker, Defender, Windows Recovery Environment i javno objavljeni zero-day exploit-i, lako je sve svesti na jednu rečenicu: "Windows nije bezbedan." To bi bilo pogrešno, ali bi bilo jednako pogrešno reći da je ovo samo još jedna obična vest iz sveta bezbednosti.

Poenta ovih propusta nije da je neko "razbio matematiku" BitLocker enkripcije. Mnogo je važnije to što su napadi pokazali kako se legitimne Windows komponente mogu iskoristiti protiv sistema: recovery okruženje, Defender, CTFMON, TPM-only otključavanje i procesi kojima se inače veruje.

Za firmu je zato korisnije pitanje: šta tačno rade ovi propusti, gde je realan rizik i šta treba proveriti pre nego što se desi incident?

Kratko: šta rade ovi propusti?

U javnim analizama se pominje više propusta iz iste serije objava istraživača poznatog kao Chaotic Eclipse, odnosno Nightmare-Eclipse. Najvažnije ih je razdvojiti po tipu rizika.

  • YellowKey napada BitLocker kroz Windows Recovery Environment. Potreban je fizički pristup računaru, ali cilj je najopasniji: čitanje podataka sa BitLocker zaštićenog diska bez normalnog recovery ključa.
  • GreenPlasma je lokalna eskalacija privilegija. Napadač prvo mora imati uporište na računaru, a zatim pokušava da dobije SYSTEM nivo pristupa preko trusted Windows procesa.
  • BlueHammer, RedSun i UnDefend su Defender propusti koji se pominju kao aktivno iskorišćavani. Prva dva ciljaju eskalaciju privilegija, dok UnDefend slabi Defender tako što ometa ažuriranje zaštitnih definicija.

Ovo su različiti napadi. Jedan je fizički napad na laptop i recovery lanac poverenja, drugi je lokalno podizanje privilegija, a treća grupa napada zaštitni alat koji bi trebalo da brani računar.

YellowKey: kako BitLocker može da padne bez "razbijanja" enkripcije

BitLocker štiti disk tako što podaci na disku nisu čitljivi dok sistem ne dobije ključ za dešifrovanje. U mnogim Windows 11 konfiguracijama taj ključ je vezan za TPM čip. To je praktično za korisnika jer se računar normalno pali bez dodatnog PIN-a, ali znači da sistem automatski otključava disk kada proceni da je boot lanac očekivan.

YellowKey koristi drugačiji ugao. Napadač ne pokušava da pogodi BitLocker ključ. Umesto toga, cilj je recovery okruženje, odnosno WinRE. To je legitimni deo Windows-a koji služi za popravku sistema kada računar ne može normalno da se podigne.

Poslovni laptop sa simbolima enkripcije i USB uređajem
BitLocker nije "pukao" kriptografski; problem je u tome što recovery okruženje može postati deo lanca napada.

Na konceptualnom nivou napad izgleda ovako: osoba koja ima fizički pristup računaru pripremi eksterni medij ili EFI okruženje sa posebno pripremljenim fajlovima, zatim navede računar da uđe u recovery tok. U tom toku Windows koristi komponente koje smeju da komuniciraju sa zaštićenim diskom jer je to normalno potrebno za oporavak sistema. Propust je u tome što napadač pokušava da natera recovery mehanizam da obradi njegove fajlove i da na kraju dobije pristup sadržaju diska.

Drugim rečima: to nije scenario u kome neko preko interneta odjednom otvara sve laptopove. Ali jeste scenario u kome ukraden, pozajmljen ili na kratko ostavljen laptop može biti veći rizik nego što firma misli, posebno ako koristi podrazumevani BitLocker bez dodatnog pre-boot PIN-a i bez kontrole USB boot-a.

GreenPlasma: zašto je SYSTEM pristup toliko opasan

GreenPlasma nije isti tip napada kao YellowKey. On ne počinje ukradenim laptopom, već pretpostavlja da napadač već ima neki nivo pristupa računaru, na primer kroz kompromitovan korisnički nalog, pokrenut maliciozni fajl ili drugi početni upad.

Cilj je CTFMON, Windows proces koji je povezan sa unosom teksta i radi u interaktivnim sesijama. Poenta napada je da se manipulišu registry podešavanja, dozvole i memorijski objekti tako da proces kome sistem veruje uradi nešto korisno za napadača. Kada trusted proces postane sredstvo napada, sistem te akcije teže razlikuje od legitimnog ponašanja.

Ako napadač iz običnog korisničkog konteksta dobije SYSTEM, posledice su ozbiljne: može lakše da krade credentiale, gasi zaštitu, instalira persistence, širi se kroz mrežu i priprema ransomware. Zato eskalacija privilegija retko jeste prvi korak napada, ali često jeste korak koji običan incident pretvara u ozbiljan problem.

BlueHammer, RedSun i UnDefend: kada zaštita postane meta

U Reddit diskusiji zbog koje smo krenuli u ovu temu pominju se tri propusta koji su navodno već aktivno iskorišćavani: BlueHammer, RedSun i UnDefend. Svi su vezani za Microsoft Defender, ali ne rade isto.

  • BlueHammer je lokalna eskalacija privilegija kroz Defender logiku. U praksi, napadač pokušava da iskoristi način na koji Defender obrađuje svoje fajlove, karantin ili update tokove, tako da iz nižeg korisničkog nivoa dođe do SYSTEM privilegija.
  • RedSun je druga putanja ka sličnom cilju: zloupotreba Defender mehanizama i poverenja u sopstvene komponente da bi se dobio viši nivo pristupa.
  • UnDefend nije prvenstveno "dobijanje admina", nego slabljenje zaštite. Ako napadač može da spreči ili izgladni Defender ažuriranja, računar ostaje sa zastarelim definicijama i slabije prepoznaje nove pretnje.

Ovo je važna lekcija za firme: antivirus nije dovoljan ako niko ne proverava da li radi, da li se ažurira i da li su upozorenja primećena. Još gore, zaštitni alat može postati deo napada ako se bez provere pretpostavlja da sve Microsoft-native komponente smeju sve.

Kako bi breach izgledao u firmi, bez exploit uputstva

Da ovo prevedemo na kancelarijski scenario. Zaposleni izgubi laptop, ili neko na kratko dobije fizički pristup uređaju. Ako je laptop Windows 11 sa podrazumevanim BitLocker TPM-only podešavanjem, napadač ne mora da zna korisničku lozinku da bi pokušao napad na recovery tok. Ne krade se šifra, nego se zloupotrebljava način na koji recovery okruženje sme da pristupi već otključanom sistemu.

Drugi scenario je udaljeniji, ali čest u praksi: korisnik pokrene maliciozni fajl ili napadač već ima običan korisnički nalog. Tada GreenPlasma ili Defender propusti postaju korisni jer pomažu da se običan pristup pretvori u SYSTEM. Od tog trenutka napadač može mnogo više nego korisnik: da menja servisna podešavanja, dira zaštitu, traži lozinke i kreće ka drugim računarima.

Treći scenario je tiši: Defender ne mora odmah da bude ugašen. Dovoljno je da se njegova ažuriranja pokvare ili zaustave. Na papiru firma i dalje "ima antivirus", ali u praksi zaštita kasni i propušta ono što bi trebalo da vidi.

Kako se firma štiti praktično

IT tehničar proverava bezbednosnu listu poslovnih uređaja
Zero-day se ne rešava panikom, već redom: evidencija, provera, prioritet i jasna odgovornost.
  • Za YellowKey: proveriti BitLocker konfiguraciju, razmotriti TPM + PIN za rizične laptopove, zaključati UEFI/BIOS, kontrolisati boot sa USB-a i uredno čuvati recovery ključeve.
  • Za GreenPlasma: smanjiti lokalna admin prava, kontrolisati pokretanje nepoznatih aplikacija i skripti, ograničiti šta korisnički nalozi i trusted procesi mogu da rade.
  • Za Defender trio: proveriti da li Defender radi, da li se ažurira, da li se alerti prate i da li postoje uređaji na kojima je zaštita isključena ili zastarela.
  • Za sve zajedno: ažurirati Windows čim stignu zakrpe, testirati backup i imati jasnu proceduru ko proverava uređaje kada se pojavi ovakva ranjivost.

Praktično pravilo: ako firma nema evidenciju uređaja, update status, BitLocker status, backup proveru i kontrolu admin prava, onda ne zna koliki joj je rizik. Zero-day samo ubrza problem koji je već postojao.

Kada ima smisla da pozovete IT podršku

Ako imate nekoliko laptopova koji izlaze iz kancelarije, račune sa lokalnim admin pravima, nejasan BitLocker status ili backup koji nikada nije testiran, bolje je proveriti stanje pre incidenta. To nije velika bezbednosna drama, nego normalno IT održavanje.

NBG TEAM može da proveri Windows update, Defender, BitLocker, recovery ključeve, lokalna admin prava, backup i rizične laptopove u firmi. Posle toga se dobija jasan spisak prioriteta: šta mora odmah, šta može planirano i šta nije realan rizik za vaš način rada.

Izvori i napomena

Ovaj tekst je informativan i namerno ne objavljuje operativne exploit korake. Cilj je da vlasnici i menadžeri razumeju rizik, a ne da dobiju uputstvo za zloupotrebu.

Zaključak

Najvažnija poruka nije da je Windows beskoristan, niti da je BitLocker beskoristan. Poruka je da nijedan sloj zaštite ne sme da bude jedini sloj.

BitLocker i dalje ima smisla. Defender i dalje ima smisla. TPM i dalje ima smisla. Ali za firmu je presudno da se sve to proverava, podešava i kombinuje sa fizičkom zaštitom, ograničenim pravima, backupom i jasnom odgovornošću. Tek tada zero-day vest postaje problem kojim se upravlja, a ne panika koja parališe rad.