كشف باحث أمني مجهول الهوية، سبق له الإبلاغ عن ثلاث ثغرات في Microsoft Defender، عن ثغرتين جديدتين من نوع يوم-صفر (Zero-Day) في أنظمة ويندوز، إحداهما تتعلق بتجاوز حماية BitLocker والأخرى بتصعيد الامتيازات عبر إطار Windows Collaborative Translation Framework (CTFMON).
YellowKey: تجاوز BitLocker عبر WinRE
الثغرة الأولى، التي أطلق عليها الباحث اسم YellowKey، وُصفت بأنها “أحد أكثر الاكتشافات جنوناً”، إذ تعمل بمثابة باب خلفي داخل بيئة استعادة ويندوز (WinRE). تؤثر الثغرة على Windows 11 وWindows Server 2022/2025، وتسمح للمهاجمين بتجاوز حماية BitLocker عبر إدخال ملفات خاصة من نوع “FsTx” على وحدة USB أو قسم EFI، ثم إعادة تشغيل الجهاز في وضع WinRE مع الضغط على مفتاح CTRL للحصول على نافذة أوامر (cmd.exe) مع فك تشفير القرص المحمي.
الباحث الأمني ويل دورمان أكد أنه تمكن من إعادة إنتاج الهجوم، موضحاً أن ملفات FsTx على وحدة USB تستطيع حذف ملف winpeshl.ini على قرص آخر، مما يؤدي إلى تشغيل واجهة أوامر بدلاً من بيئة الاستعادة المتوقعة، مع فك تشفير وحدة التخزين المحمية.
GreenPlasma: تصعيد صلاحيات عبر CTFMON
الثغرة الثانية، المسماة GreenPlasma، تتعلق بإنشاء أقسام ذاكرة عشوائية داخل إطار CTFMON، ما يسمح لمستخدم غير مصرح له بإنشاء كائنات ذاكرة في مسارات يملك النظام صلاحية الكتابة عليها. هذا قد يمكّن من التلاعب بخدمات أو برامج تشغيل ذات صلاحيات عالية. ورغم أن إثبات المفهوم المنشور غير مكتمل ولا يمنح وصولاً كاملاً إلى صلاحيات SYSTEM، فإنه يوضح خطورة إمكانية استغلال هذه الثغرة لتصعيد الامتيازات.
خلفية النزاع مع مايكروسوفت
هذه التطورات تأتي بعد شهر من نشر الباحث ثلاث ثغرات أخرى في Defender تحت أسماء BlueHammer وRedSun وUnDefend، احتجاجاً على ما وصفه بسوء تعامل مايكروسوفت مع عملية الإفصاح. ورغم أن BlueHammer حصلت على رقم CVE رسمي وتم إصلاحها، فإن الباحث أشار إلى أن RedSun جرى التعامل معها “بصمت” دون إصدار تحذير رسمي. الباحث وعد أيضاً بـ”مفاجأة كبيرة” مع إصدار تحديثات يونيو 2026.
هجوم إضافي على BitLocker عبر خفض إصدار Boot Manager
في سياق متصل، كشفت شركة الأمن الفرنسية Intrinsec عن سلسلة هجوم تستهدف BitLocker عبر استغلال ثغرة CVE-2025-48804، حيث يتم خفض إصدار مدير الإقلاع (boot manager) لتحميل نسخة قديمة موقعة بشهادة موثوقة لكنها غير مصححة، مما يسمح بتجاوز حماية BitLocker خلال دقائق معدودة. ورغم أن مايكروسوفت أصلحت هذه الثغرة في يوليو 2025، فإن استمرار اعتماد شهادات PCA 2011 القديمة يتيح للمهاجمين استخدام نسخ ضعيفة من bootmgfw.efi دون إثارة إنذارات، طالما لم تُسحب الشهادة.
هذه الثغرات مجتمعة تؤكد أن حماية BitLocker وطبقات الامتياز في ويندوز تواجه تحديات متزايدة، وأن سرعة التصحيح وإدارة الشهادات الأمنية باتت عوامل حاسمة في حماية المستخدمين والمؤسسات.
