Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams

Veröffentlicht am 13. Mai 2026 von Günter Born

WindowsDer "Zoff" zwischen einem Sicherheitsexperten, der sich Chaotic Eclipse oder Nightmare-Eclipse nennt, und Microsoft geht weiter. Er hat zum 12. Mai 2026 (pünktlich zum Patchday) wieder zwei 0-Day-Schwachstellen mit den Namen YellowKey (wirkt auf Bitlocker) und GreenPlasma (CTFMON EoP) öffentlich bekannt gemacht. Auch in Microsoft Teams ist eine Schwachstelle bekannt geworden, die Spoofing-Angriffe ermöglicht. Nach dem Patch ist also vor dem Patch und Microsoft sieht wieder alt aus.

Rückblick: Chaotic Eclipse ärgert sich über Microsoft

Der unbekannte Sicherheitsexperte Chaotic Eclipse (X-Handle @ChaoticEclipse0), auch unter dem Alias Nightmare-Eclipse auftretend, hatte Microsoft eine 0-day-Schwachstelle im Defender gemeldet. Microsoft gab aber die Rückmeldung erhalten, dass es keine Schwachstelle sei, die eine Bug-Bounty-Prämie rechtfertige.

Darauf hin hatte der verärgerte Sicherheitsexperte diese 0-day-Schwachstelle, die Windows und den Defender betrifft, zum 3. April 2026 samt Exploit veröffentlicht. Über die Schwachstelle konnten Angreifer sich Zugriff auf das System und Systemrechte verschaffen. Ich hatte im Blog-Beitrag BlueHammer: Windows 0-day-Schwachstelle berichtet.

Kurz darauf veröffentlichte der gleiche Sicherheitsexperte noch zwei weitere Schwachstellen, einmal RedSun samt 0-Day-Exploit, der jeder App auf einem Windows-System volle Systemadministratorrechte gewährt. Zudem wurde eine Schwachstelle  mit Namen UnDefend zum Abschalten des Defenders offen gelegt. Ich hatte dies im RedSun: Nächste Windows Defender 0-Day-Schwachstelle aufgegriffen.

YellowKey und GreenPlasma-Schwachstellen

Die Nacht ist mir nachfolgender Tweet, der auf zwei neue, durch Chaotic Eclipse offen gelegte, 0-Day-Schwachstellen mit den Namen YellowKey und GreenPlasma hinweist, untergekommen.

Chaotic Eclipse Windows 0-Days YellowKey und GreenPlasm

Der Tweet fasst bereits die nachfolgend genannten, wichtigsten Kernpunkte bezüglich dieser auf X angekündigten Schwachstellen zusammen:

  • YellowKey umgeht die BitLocker-Verschlüsselung unter Windows 11 und neueren Serverversionen, indem ein spezieller Ordner auf einen USB-Stick oder die EFI-Partition kopiert wird und anschließend durch Halten bestimmter Tasten beim Neustart vollständiger Zugriff auf das gesperrte Laufwerk erlangt wird.
  • GreenPlasma ermöglicht Benutzern einen erweiterten Systemzugriff über eine CTFMON-Methode, die Windows 11 und einige Server betrifft. Hier hat man nur ein Teil des Codes als Herausforderung für andere Hacker veröffentlicht.

Die Erläuterungen von Chaotic Eclipse (aka Nightmare-Eclipse) finden sich in diesem Artikel, wobei er dort die obigen Links auf seine auf GitHub veröffentlichten Details angegeben hat. Den  Defender habe er ausgelassen, weil er wisse, dass Microsoft "die Zügel anziehen wird", wenn er zu oft auf eine bestimmte Komponente abzielt.

Ziemlich angefressener Sicherheitsexperte

Chaotic Eclipse scheint ziemlich angefressen zu sein, schreibt er in seiner Offenlegung doch: "Microsoft hat sich dafür entschieden, die Situation noch schlimmer zu machen, anstatt sie wie Erwachsene zu lösen; sie haben jedes nur erdenkliche kindische Spielchen gespielt. Meine Geduld ist am Ende, ihr lasst alle anderen dafür büßen."

Offenbar war Microsofts Reaktion auf die BlueHammer-Veröffentlichung nicht so, wie Chaotic Eclipse das erwartet hat – er schreibt von "Öl ins Feuer gießen" und hofft, dass Microsoft dieses Mal zumindest versucht, die Situation verantwortungsbewusst zu lösen.

Die jüngsten Handlungen Microsofts hätten Chaotic Eclipse dazu gebracht, andere Unternehmen mit in die Thematik zu involvieren. Der nächste Patch Tuesday werde eine große Überraschung für Microsoft bereithalten, droht er.

Analyse zu YellowKey-BitLocker-Bypass

Mir ist die Nacht auf X dieser Tweet von impulsive (@weezerOSINT) untergekommen, der den YellowKey-BitLocker-Bypass per Reverse-Engineering analysiert hat. Der Sicherheitsforscher schreibt, dass Microsoft in jedem Windows-11-Wiederherstellungsimage (WinRE) Code eingebaut habe, der nach einem Flag namens FailRelock sucht. Ist dieses auf 1 gesetzt, wird das BitLocker-Laufwerk nach der Wiederherstellung zwar entsperrt, aber nie wieder gesperrt. Man braucht dazu lediglich einen USB-Stick.

Dieser Code existiert nur in der Wiederherstellungsumgebung, nicht im normalen Windows. Microsoft habe ein komplettes Debug-Test-Framework in der Produktionsumgebung belassen, schreibt der Verfasser des Tweets.

Erste Analyse zu GreenPlasma

In einer Serie von Tweets auf X erklärt Het Metha die neue GreenPlasma genannte Schwachstelle im DTFMON Object-Cache.

GreenPlasma

CTFMON (ctfmon.exe) wird in jeder interaktiven Sitzung als SYSTEM ausgeführt und verwaltet mehrere benannte Objekte unter \Sessions\<id>\BaseNamedObjects. Darunter befindet sich auch CTF.AsmListCache.FMPWinlogon*. Da sich diese Objekte im Verzeichnis BaseNamedObjects der Sitzung befinden (in das SYSTEM schreiben kann), stellt die Manipulation der Objekterstellung ein leistungsstarkes Werkzeug für Angriffe dar. Die Kerntechnik (was der PoC tatsächlich tut) besteht aus Folgendem:

1. Missbraucht die Cloud Files-Richtlinienschlüssel (HKCU\Software\Policies\Microsoft\CloudFiles) mit einem flüchtigen REG_OPTION_CREATE_LINK + SymbolicLinkValue, der auf den eigentlichen Schlüssel „Policies\System" verweist.

2. Verwendet SetEntriesInAcl + TreeSetNamedSecurityInfo, um „Everyone" GENERIC_ALL zu gewähren, und setzt anschließend die DACLs zurück.

3. Ruft wiederholt CfAbortOperation (cldapi.dll) auf, um eine Neuinitialisierung zu erzwingen.

Das Ergebnis: Wenn CTFMON später sein Sektionsobjekt erstellt, landet es an einem Ort, auf den der Benutzer mit geringen Berechtigungen nun Einfluss nehmen kann. Details lassen sich in der Serie von Tweets nachlesen.

Auch Microsoft Teams mit Sicherheitslücke

Eine weitere, kürzlich bekannt gewordene, Sicherheitslücke in Microsoft Teams ermöglicht Hackern Spoofing-Angriffe. Die Schwachstelle offenbare eine kritische Schwäche im Design von Microsoft Teams, dass die Handhabung des Zugriffs auf Dateien und Verzeichnisse regelt, schreibt Cyber Security News. Dadurch können Angreifer potenziell vertrauenswürdige Elemente innerhalb der Anwendung manipulieren oder sich als diese ausgeben.

Im Kern rührt die Sicherheitslücke daher, dass Dateien oder Verzeichnisse in Microsoft Teams für externe Parteien zugänglich sind. Microsoft hat am 12. Mai 2026 die MS Teams Spoofing-Schwachstelle CVE-2026-32185 (CVSS 3.1 Score von 5.5) offen gelegt und gefixt.

Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle

Dieser Beitrag wurde unter Windows, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

6 Kommentare zu Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams

  1. FlowRyan sagt:
    13. Mai 2026 um 10:19 Uhr

    Diese BitLocker-Geschichte klingt für mich wie eine bewusst platzierte Backdoor.

    Antworten
    • Werner sagt:
      13. Mai 2026 um 10:38 Uhr

      Der Gedanke drängt sich bei 'anschließend durch Halten bestimmter Tasten beim Neustart' geradezu auf. So ne Tastenabfrage erstellt sich ja nicht von selbst, das klingt nach ner Backdoor für Ermittlungsbehörden, die verschlüsselte Rechner beschlagnahmt hat.

      Es ist eine Sache, Ermittlungsbehörden besondere Software zur Verfügung zu stellen. Diese Software aber ins Produkt einzubauen ist mMn höchst fahrlässig.

      Antworten
      • Jan sagt:
        13. Mai 2026 um 10:42 Uhr

        Fahrlässig?
        Das ist wohl eher Vorsatz…

        Und ein Grund mehr, dem Müll schnellstmöglich den Rücken zu kehren, wenn man halbwegs intelligent ist.

        Antworten
      • Jack68 sagt:
        13. Mai 2026 um 10:54 Uhr

        Naja, die Erklärung für die Tastenkombination lautet, "Microsoft habe ein komplettes Debug-Test-Framework in der Produktionsumgebung belassen." Kann man glauben, muss man aber nicht.

        Antworten
  2. David Jones sagt:
    13. Mai 2026 um 10:53 Uhr

    0-day Weisheit:
    wer kostenlos studiert,wird später kostenlos arbeiten

    Antworten
  3. Daniel Blum sagt:
    13. Mai 2026 um 11:06 Uhr

    normalerweise wäre eine Fristsetzung der richtige Weg bevor man den exploit aufs Internet loslässt. schon ziemlich grenzwertiger "Sicherheitsexperte". wäre vielleicht mal gut wenn der Staatsanwalt anklopft.

    Antworten

Antworte auf den Kommentar von FlowRyan Antwort abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.