كشف باحث في مجال الأمن السيبراني النقاب عن ثغرتين جديدتين في نظام التشغيل ويندوز، إحداهما تسمح بتجاوز حماية BitLocker، والأخرى تتعلق بتصعيد الامتيازات عبر آلية الترجمة التعاونية في ويندوز (CTFMON). تأتي هذه الاكتشافات بعد فترة وجيزة من كشف الباحث نفسه عن ثلاث ثغرات أخرى في برنامج Microsoft Defender.
تمت تسمية الثغرتين الجديدتين بـ YellowKey و GreenPlasma، وهما تمثلان تهديدًا أمنيًا كبيرًا يتطلب اهتمامًا فوريًا من المستخدمين والإدارة التقنية.
ثغرات خطيرة تهدد نظام ويندوز
YellowKey: تجاوز حماية BitLocker
وصف الباحث، الذي يستخدم الاسم المستعار Chaotic Eclipse، ثغرة YellowKey بأنها “من أغرب الاكتشافات على الإطلاق”، مشيرًا إلى أنها تعمل كـ “باب خلفي” لنظام BitLocker. تكمن خطورة هذه الثغرة في أنها تؤثر فقط على بيئة استرداد ويندوز (WinRE)، وهي بيئة مدمجة مصممة لحل مشكلات النظام.
تؤثر YellowKey على أنظمة Windows 11 و Windows Server 2022/2025. وتتمثل آلية استغلالها في نسخ ملفات “FsTx” معدة خصيصًا على قرص USB أو قسم EFI، ثم توصيل هذا القرص بجهاز الكمبيوتر المستهدف الذي يعمل بنظام ويندوز ويستخدم BitLocker. بعد إعادة التشغيل إلى وضع WinRE، يمكن تنفيذ أمر shell عن طريق الضغط على مفتاح CTRL.
وأفاد الباحث بأن اكتشاف السبب الجذري لهذه الثغرة قد يستغرق وقتًا طويلاً، مشيرًا إلى أن استخدام TPM مع PIN لا يوفر حماية كافية ضد هذا الهجوم. وأكد باحث أمن آخر، Will Dormann، قدرته على إعادة إنتاج الثغرة، موضحًا أن ملفات Transactional NTFS على قرص USB يمكن أن تتسبب في حذف ملف winpeshl.ini على قرص آخر، مما يمنح المهاجم وصولاً إلى cmd.exe مع تجاوز BitLocker.
من جهة أخرى، أشار Dormann إلى أن القدرة على تعديل محتويات قسم آخر من خلال الدليل “System Volume InformationFsTx” على قرص مختلف تعتبر بحد ذاتها ثغرة أمنية خطيرة.
GreenPlasma: تصعيد امتيازات المستخدم
تتعلق الثغرة الثانية، GreenPlasma، بتصعيد الامتيازات، حيث يمكن استغلالها للحصول على صلاحيات SYSTEM (النظام). تنشأ هذه الثغرة من آلية إنشاء أقسام عشوائية في إطار عمل CTFMON بويندوز.
الرمز التجريبي (PoC) الذي تم نشره حاليًا غير مكتمل، ولكنه يسمح للمستخدم غير المتميز بإنشاء كائنات أقسام ذاكرة عشوائية داخل كائنات الدليل التي يمتلك SYSTEM صلاحية الكتابة فيها. هذا قد يتيح للمهاجم التلاعب بالخدمات أو برامج التشغيل ذات الامتيازات التي تثق تلقائيًا بهذه المسارات.
تأتي هذه الاكتشافات بعد أن كشف الباحث نفسه عن ثلاث ثغرات في Microsoft Defender، والتي وصفها بأنها BlueHammer و RedSun و UnDefend، وذلك بعد إعرابه عن عدم رضاه عن طريقة تعامل مايكروسوفت مع عملية الإفصاح عن الثغرات. وقد بدأت هذه الثغرات بالتعرض للاستغلال الفعلي.
وبينما تم تخصيص معرف CVE-2026-33825 لثغرة BlueHammer وتم إصلاحها، يبدو أن مايكروسوفت قامت بمعالجة RedSun “بصمت” دون إصدار أي إشعار رسمي. وقد وعد الباحث بمفاجأة أخرى لمايكروسوفت تزامنًا مع إصدار التحديثات القادم في يونيو 2026.
من جانبها، أكدت مايكروسوفت التزامها بالتحقيق في القضايا الأمنية المبلغ عنها وتحديث الأجهزة المتأثرة لحماية العملاء في أسرع وقت ممكن، مشيرة إلى دعمها لعمليات الإفصاح المنسق عن الثغرات.
هجوم تصعيد BitLocker يعود للظهور
في سياق متصل، كشفت شركة Intrinsec الأمنية الفرنسية عن سلسلة هجمات تستهدف BitLocker، تستغل ثغرة CVE-2025-48804 لتجاوز التشفير في أنظمة ويندوز 11 المحدثة بالكامل في أقل من خمس دقائق. وتعتمد هذه الهجمات على خداع مدير الإقلاع (boot manager) عبر ما يعرف بـ “هجوم تخفيض الإصدار”.
تسمح هذه الآلية للمهاجم بتشغيل نسخة معدلة من WinRE تحتوي على أمر cmd.exe، مما يؤدي إلى فك تشفير وحدة BitLocker. ورغم وجود إصلاحات من مايكروسوفت لهذه الثغرة في يوليو 2025، إلا أن المشكلة تكمن في أن ميزة “التمهيد الآمن” (Secure Boot) تتحقق فقط من شهادة توقيع الملف الثنائي، وليس إصداره.
لذلك، يمكن استخدام إصدار قديم من “bootmgfw.efi” غير محدث وموقع بشهادة موثوقة لتجاوز إجراءات أمان BitLocker. وللتصدي لهذه المخاطر، يُنصح بتمكين رقم PIN عند بدء تشغيل BitLocker، وترحيل مدير الإقلاع إلى شهادة CA 2023 مع إلغاء صلاحية شهادة PCA 2011 القديمة.