AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Descubiertas las Zero-Days YellowKey y GreenPlasma: Riesgos Críticos para la Seguridad en Entornos Windows

admin

#### 1. Introducción

El panorama de amenazas sobre sistemas Windows se vuelve cada vez más sofisticado y peligroso. Recientemente, un investigador independiente ha publicado dos vulnerabilidades zero-day que afectan de manera crítica a la seguridad de los sistemas Windows: YellowKey y GreenPlasma. Mientras que YellowKey permite eludir la protección de BitLocker mediante acceso físico, GreenPlasma posibilita la elevación de privilegios a nivel SYSTEM, abriendo la puerta a ataques con impacto potencial en infraestructuras críticas y entornos corporativos. Este artículo analiza en profundidad ambos hallazgos, sus implicaciones técnicas y operativas, así como las mejores prácticas de mitigación.

#### 2. Contexto del Incidente o Vulnerabilidad

La publicación simultánea de YellowKey y GreenPlasma ha generado preocupación entre profesionales de la ciberseguridad, ya que ambas vulnerabilidades fueron divulgadas sin previo aviso a Microsoft (full disclosure), permitiendo que actores maliciosos puedan explotar los fallos antes de la existencia de parches oficiales. Estos exploits afectan a múltiples versiones de Windows, incluidas Windows 10 y Windows 11 (con parches hasta mayo de 2024), y ponen en entredicho la seguridad de mecanismos tan críticos como el cifrado de disco BitLocker y la gestión de credenciales de privilegio.

#### 3. Detalles Técnicos

**YellowKey: Bypass de BitLocker mediante acceso físico**

YellowKey es una vulnerabilidad que permite a un atacante con acceso físico a un sistema Windows protegido con BitLocker extraer la clave de cifrado y acceder a los datos del disco. El exploit aprovecha una debilidad en la implementación de BitLocker, permitiendo crear una copia de la clave de recuperación aprovechando herramientas forenses en modo WinPE (Windows Preinstallation Environment) o manipulando el arranque mediante dispositivos USB preparados.

– **Vectores de ataque:** Acceso físico, manipulación del arranque, WinPE, dispositivos USB booteables.
– **TTP MITRE ATT&CK:** TA0006 (Credential Access), T1005 (Data from Local System), T1078 (Valid Accounts).
– **Indicadores de Compromiso (IoC):** Uso inusual de entornos WinPE, logs de acceso fuera de horario, dispositivos USB desconocidos conectados.
– **CVE:** En el momento de la publicación, YellowKey no tiene asignado CVE oficial.

**GreenPlasma: Elevación de privilegios a SYSTEM**

GreenPlasma es una vulnerabilidad local de escalada de privilegios (LPE) que permite a un usuario restringido ejecutar código arbitrario con privilegios SYSTEM. El exploit utiliza una combinación de llamadas a APIs vulnerables y manipulación de servicios del sistema para obtener un token de acceso privilegiado. Las pruebas demuestran que es posible explotar GreenPlasma en sistemas totalmente actualizados a fecha de junio de 2024.

– **Vectores de ataque:** Ejecución local de scripts, abuso de servicios del sistema, explotación de DLL hijacking.
– **TTP MITRE ATT&CK:** TA0004 (Privilege Escalation), T1068 (Exploitation for Privilege Escalation).
– **IoC:** Escaladas de privilegio no autorizadas, creación de cuentas con privilegios elevados, modificaciones sospechosas en servicios críticos.
– **CVE:** Pendiente de asignación.

#### 4. Impacto y Riesgos

El impacto de YellowKey es especialmente crítico en entornos donde el cifrado de disco se considera la última línea de defensa, como en portátiles corporativos, estaciones de trabajo móviles y sistemas que contienen información sensible (PII bajo GDPR, secretos industriales, etc.). La posibilidad de acceder al contenido cifrado sin autenticación compromete la confidencialidad y el cumplimiento normativo, exponiendo a las organizaciones a sanciones bajo GDPR y NIS2.

GreenPlasma, por su parte, representa una amenaza significativa en terminales compartidos o donde existan usuarios con privilegios limitados. Un atacante podría escalar privilegios y desactivar soluciones de seguridad, instalar rootkits o exfiltrar información crítica, facilitando movimientos laterales en la red interna.

#### 5. Medidas de Mitigación y Recomendaciones

En ausencia de un parche oficial, se recomienda aplicar las siguientes medidas:

– **YellowKey:**
– Restringir el acceso físico a dispositivos sensibles.
– Deshabilitar el arranque desde dispositivos externos (USB/DVD) en BIOS/UEFI y proteger la configuración con contraseña.
– Monitorizar y auditar el uso de WinPE y el acceso físico.
– Implementar controles de acceso físico reforzados y políticas de seguridad para dispositivos móviles.
– **GreenPlasma:**
– Restringir la ejecución de software no autorizado mediante AppLocker o Windows Defender Application Control.
– Monitorizar logs de eventos en busca de actividades de elevación de privilegios.
– Revisar y auditar cuentas y servicios con privilegios elevados.
– Mantener una segmentación de red adecuada para limitar el movimiento lateral.

#### 6. Opinión de Expertos

Expertos en ciberseguridad como Marcus Hutchins y Kevin Beaumont han señalado que la publicación de exploits de este calibre sin coordinación previa con el fabricante incrementa el riesgo de explotación masiva. Subrayan la necesidad de aplicar controles compensatorios y fortalecer la educación del usuario sobre riesgos de acceso físico. Desde el sector legal, se destaca el posible incumplimiento de GDPR ante una brecha de datos por elusión de BitLocker, lo que podría resultar en multas de hasta el 4% del volumen de negocio anual global.

#### 7. Implicaciones para Empresas y Usuarios

Para las empresas, estos exploits subrayan la importancia de no confiar únicamente en el cifrado de disco y los privilegios del sistema operativo como única barrera de protección. La protección física, la segmentación de privilegios y las auditorías periódicas se vuelven imprescindibles. A nivel de usuario, es fundamental no dejar desatendidos los dispositivos y reportar cualquier comportamiento anómalo.

#### 8. Conclusiones

Las vulnerabilidades YellowKey y GreenPlasma suponen una amenaza significativa para la seguridad de los sistemas Windows, especialmente en organizaciones que dependen del cifrado de disco y la gestión de privilegios como elementos críticos de su postura de seguridad. Ante la falta de parches inmediatos, es imperativo reforzar las medidas de seguridad físicas y de control de ejecución, así como monitorizar en profundidad los sistemas. La coordinación responsable y el intercambio de información entre la comunidad de ciberseguridad y los fabricantes sigue siendo clave para minimizar el impacto de este tipo de zero-days.

(Fuente: www.securityweek.com)