{"id":324924,"date":"2026-05-13T10:08:24","date_gmt":"2026-05-13T08:08:24","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=324924"},"modified":"2026-05-13T11:06:47","modified_gmt":"2026-05-13T09:06:47","slug":"chaotic-eclipse-zwei-0-day-windows-schwachstellen-yellowkey-greenplasma","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/05\/13\/chaotic-eclipse-zwei-0-day-windows-schwachstellen-yellowkey-greenplasma\/","title":{"rendered":"Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams"},"content":{"rendered":"<p><img decoding=\"async\" style=\"margin: 0px 10px 0px 0px; display: inline; float: left;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>Der \"Zoff\" zwischen einem Sicherheitsexperten, der sich Chaotic Eclipse oder Nightmare-Eclipse nennt, und Microsoft geht weiter. Er hat zum 12. Mai 2026 (p\u00fcnktlich zum Patchday) wieder zwei 0-Day-Schwachstellen mit den Namen YellowKey (wirkt auf Bitlocker) und GreenPlasma (CTFMON EoP) \u00f6ffentlich bekannt gemacht. Auch in Microsoft Teams ist eine Schwachstelle bekannt geworden, die Spoofing-Angriffe erm\u00f6glicht. Nach dem Patch ist also vor dem Patch und Microsoft sieht wieder alt aus.<\/p>\n<p><!--more--><\/p>\n<h2>R\u00fcckblick: Chaotic Eclipse \u00e4rgert sich \u00fcber Microsoft<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/e8b6734455fa4bb8b0c0a9ce39dc69f3\" alt=\"\" width=\"1\" height=\"1\" \/>Der unbekannte Sicherheitsexperte Chaotic Eclipse (X-Handle @ChaoticEclipse0), auch unter dem Alias Nightmare-Eclipse auftretend, hatte Microsoft eine 0-day-Schwachstelle im Defender gemeldet. Microsoft gab aber die R\u00fcckmeldung erhalten, dass es keine Schwachstelle sei, die eine Bug-Bounty-Pr\u00e4mie rechtfertige.<\/p>\n<p>Darauf hin hatte der ver\u00e4rgerte Sicherheitsexperte diese 0-day-Schwachstelle, die Windows und den Defender betrifft, zum 3. April 2026 samt Exploit ver\u00f6ffentlicht. \u00dcber die Schwachstelle konnten Angreifer sich Zugriff auf das System und Systemrechte verschaffen. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2026\/04\/09\/bluehammer-windows-0-day-schwachstelle\/\" rel=\"bookmark\">BlueHammer: Windows 0-day-Schwachstelle<\/a> berichtet.<\/p>\n<p>Kurz darauf ver\u00f6ffentlichte der gleiche Sicherheitsexperte noch zwei weitere Schwachstellen, einmal <em>RedSun<\/em> samt 0-Day-Exploit, der jeder App auf einem Windows-System volle Systemadministratorrechte gew\u00e4hrt. Zudem wurde eine Schwachstelle\u00a0 mit Namen <em>UnDefend<\/em> zum Abschalten des Defenders offen gelegt. Ich hatte dies im <a href=\"https:\/\/borncity.com\/blog\/2026\/04\/17\/redsun-naechste-windows-defender-0-day-schwachstelle\/\" rel=\"bookmark\">RedSun: N\u00e4chste Windows Defender 0-Day-Schwachstelle<\/a> aufgegriffen.<\/p>\n<h2>YellowKey und GreenPlasma-Schwachstellen<\/h2>\n<p>Die Nacht ist mir nachfolgender <a href=\"https:\/\/xcancel.com\/etguenni\/status\/2054342038846341481\" target=\"_blank\" rel=\"noopener\">Tweet<\/a>, der auf zwei neue, durch Chaotic Eclipse offen gelegte, 0-Day-Schwachstellen mit den Namen\u00a0YellowKey und GreenPlasma hinweist, untergekommen.<\/p>\n<p><a href=\"https:\/\/xcancel.com\/etguenni\/status\/2054342038846341481\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-324925 size-full\" title=\"Chaotic Eclipse Windows 0-Days YellowKey und GreenPlasm\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/ChaoticEclipse.jpg\" alt=\"Chaotic Eclipse Windows 0-Days YellowKey und GreenPlasm\" width=\"594\" height=\"858\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/ChaoticEclipse.jpg 594w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/ChaoticEclipse-208x300.jpg 208w\" sizes=\"auto, (max-width: 594px) 100vw, 594px\" \/><\/a><\/p>\n<p>Der Tweet fasst bereits die nachfolgend genannten, wichtigsten Kernpunkte bez\u00fcglich dieser <a href=\"https:\/\/xcancel.com\/ChaoticEclipse0\/status\/2054255234352844874\" target=\"_blank\" rel=\"noopener\">auf X<\/a> angek\u00fcndigten Schwachstellen zusammen:<\/p>\n<ul>\n<li><a href=\"https:\/\/github.com\/Nightmare-Eclipse\/YellowKey\" target=\"_blank\" rel=\"noopener\">YellowKey<\/a> umgeht die BitLocker-Verschl\u00fcsselung unter Windows 11 und neueren Serverversionen, indem ein spezieller Ordner auf einen USB-Stick oder die EFI-Partition kopiert wird und anschlie\u00dfend durch Halten bestimmter Tasten beim Neustart vollst\u00e4ndiger Zugriff auf das gesperrte Laufwerk erlangt wird.<\/li>\n<li><a href=\"https:\/\/github.com\/Nightmare-Eclipse\/GreenPlasma\" target=\"_blank\" rel=\"noopener\">GreenPlasma<\/a> erm\u00f6glicht Benutzern einen erweiterten Systemzugriff \u00fcber eine CTFMON-Methode, die Windows 11 und einige Server betrifft. Hier hat man nur ein Teil des Codes als Herausforderung f\u00fcr andere Hacker ver\u00f6ffentlicht.<\/li>\n<\/ul>\n<p>Die Erl\u00e4uterungen von Chaotic Eclipse (aka Nightmare-Eclipse) finden sich in <a href=\"https:\/\/deadeclipse666.blogspot.com\/2026\/05\/two-more-public-disclosures-it-will.html\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a>, wobei er dort die obigen Links auf seine auf GitHub ver\u00f6ffentlichten Details angegeben hat. Den\u00a0 Defender habe er ausgelassen, weil er wisse, dass Microsoft \"die Z\u00fcgel anziehen wird\", wenn er zu oft auf eine bestimmte Komponente abzielt.<\/p>\n<h3>Ziemlich angefressener Sicherheitsexperte<\/h3>\n<p>Chaotic Eclipse scheint ziemlich angefressen zu sein, schreibt er in seiner Offenlegung doch: \"Microsoft hat sich daf\u00fcr entschieden, die Situation noch schlimmer zu machen, anstatt sie wie Erwachsene zu l\u00f6sen; sie haben jedes nur erdenkliche kindische Spielchen gespielt. Meine Geduld ist am Ende, ihr lasst alle anderen daf\u00fcr b\u00fc\u00dfen.\"<\/p>\n<p>Offenbar war Microsofts Reaktion auf die BlueHammer-Ver\u00f6ffentlichung nicht so, wie Chaotic Eclipse das erwartet hat &#8211; er schreibt von \"\u00d6l ins Feuer gie\u00dfen\" und hofft, dass Microsoft dieses Mal zumindest versucht, die Situation verantwortungsbewusst zu l\u00f6sen.<\/p>\n<p>Die\u00a0j\u00fcngsten Handlungen Microsofts h\u00e4tten Chaotic Eclipse dazu gebracht, andere Unternehmen mit in die Thematik zu involvieren.\u00a0Der n\u00e4chste Patch Tuesday werde eine gro\u00dfe \u00dcberraschung f\u00fcr Microsoft bereithalten, droht er.<\/p>\n<h3>Analyse zu YellowKey-BitLocker-Bypass<\/h3>\n<p>Mir ist die Nacht auf X <a href=\"https:\/\/xcancel.com\/weezerOSINT\/status\/2054299771817660433\" target=\"_blank\" rel=\"noopener\">dieser Tweet<\/a> von impulsive (@weezerOSINT) untergekommen, der den YellowKey-BitLocker-Bypass per Reverse-Engineering analysiert hat. Der Sicherheitsforscher schreibt, dass\u00a0Microsoft in jedem Windows-11-Wiederherstellungsimage (WinRE) Code eingebaut habe, der nach einem Flag namens <em>FailRelock<\/em>\u00a0sucht. Ist dieses auf 1 gesetzt, wird das BitLocker-Laufwerk nach der Wiederherstellung zwar entsperrt, aber nie wieder gesperrt. Man braucht dazu lediglich einen USB-Stick.<\/p>\n<p>Dieser Code existiert nur in der Wiederherstellungsumgebung, nicht im normalen Windows. Microsoft habe ein komplettes Debug-Test-Framework in der Produktionsumgebung belassen, schreibt der Verfasser des Tweets.<\/p>\n<h3>Erste Analyse zu GreenPlasma<\/h3>\n<p>In einer <a href=\"https:\/\/xcancel.com\/hetmehtaa\/status\/2054439155585991157\" target=\"_blank\" rel=\"noopener\">Serie von Tweets<\/a> auf X erkl\u00e4rt Het Metha die neue GreenPlasma genannte Schwachstelle im DTFMON Object-Cache.<\/p>\n<p><a href=\"https:\/\/xcancel.com\/hetmehtaa\/status\/2054439155585991157\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-324932\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/GreenPlasma.jpg\" alt=\"GreenPlasma\" width=\"592\" height=\"635\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/GreenPlasma.jpg 592w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/GreenPlasma-280x300.jpg 280w\" sizes=\"auto, (max-width: 592px) 100vw, 592px\" \/><\/a><\/p>\n<p>CTFMON (ctfmon.exe) wird in jeder interaktiven Sitzung als SYSTEM ausgef\u00fchrt und verwaltet mehrere benannte Objekte unter <em>\\Sessions\\&lt;id&gt;\\BaseNamedObjects<\/em>. Darunter befindet sich auch <em>CTF.AsmListCache.FMPWinlogon*<\/em>. Da sich diese Objekte im Verzeichnis <em>BaseNamedObjects<\/em> der Sitzung befinden (in das SYSTEM schreiben kann), stellt die Manipulation der Objekterstellung ein leistungsstarkes Werkzeug f\u00fcr Angriffe dar.\u00a0Die Kerntechnik (was der PoC tats\u00e4chlich tut) besteht aus Folgendem:<\/p>\n<p>1. Missbraucht die Cloud Files-Richtlinienschl\u00fcssel (HKCU\\Software\\Policies\\Microsoft\\CloudFiles) mit einem fl\u00fcchtigen REG_OPTION_CREATE_LINK + SymbolicLinkValue, der auf den eigentlichen Schl\u00fcssel \u201ePolicies\\System\" verweist.<\/p>\n<p>2. Verwendet SetEntriesInAcl + TreeSetNamedSecurityInfo, um \u201eEveryone\" GENERIC_ALL zu gew\u00e4hren, und setzt anschlie\u00dfend die DACLs zur\u00fcck.<\/p>\n<p>3. Ruft wiederholt CfAbortOperation (cldapi.dll) auf, um eine Neuinitialisierung zu erzwingen.<\/p>\n<p>Das Ergebnis: Wenn CTFMON sp\u00e4ter sein Sektionsobjekt erstellt, landet es an einem Ort, auf den der Benutzer mit geringen Berechtigungen nun Einfluss nehmen kann. Details lassen sich in der <a href=\"https:\/\/xcancel.com\/hetmehtaa\/status\/2054439155585991157\" target=\"_blank\" rel=\"noopener\">Serie von Tweets<\/a> nachlesen.<\/p>\n<h2>Auch Microsoft Teams mit Sicherheitsl\u00fccke<\/h2>\n<p>Eine weitere, k\u00fcrzlich bekannt gewordene, Sicherheitsl\u00fccke in Microsoft Teams erm\u00f6glicht Hackern Spoofing-Angriffe.\u00a0Die Schwachstelle offenbare eine kritische Schw\u00e4che im Design von Microsoft Teams, dass die Handhabung des Zugriffs auf Dateien und Verzeichnisse regelt, schreibt <a href=\"https:\/\/cybersecuritynews.com\/microsoft-teams-vulnerability-spoofing\/\" target=\"_blank\" rel=\"noopener\">Cyber Security News<\/a>. Dadurch k\u00f6nnen Angreifer potenziell vertrauensw\u00fcrdige Elemente innerhalb der Anwendung manipulieren oder sich als diese ausgeben.<\/p>\n<p>Im Kern r\u00fchrt die Sicherheitsl\u00fccke daher, dass Dateien oder Verzeichnisse in Microsoft Teams f\u00fcr externe Parteien zug\u00e4nglich sind. Microsoft hat am 12. Mai 2026 die MS Teams Spoofing-Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2026-32185\" target=\"_blank\" rel=\"noopener\">CVE-2026-32185<\/a> (CVSS 3.1 Score von 5.5) offen gelegt und gefixt.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/04\/09\/bluehammer-windows-0-day-schwachstelle\/\" rel=\"bookmark\">BlueHammer: Windows 0-day-Schwachstelle<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/04\/16\/bluehammer-nachlese-defender-patch-vom-14-4-2026-und-analyse-von-fortra\/\" rel=\"bookmark\">BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/04\/17\/redsun-naechste-windows-defender-0-day-schwachstelle\/\" rel=\"bookmark\">RedSun: N\u00e4chste Windows Defender 0-Day-Schwachstelle<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der \"Zoff\" zwischen einem Sicherheitsexperten, der sich Chaotic Eclipse oder Nightmare-Eclipse nennt, und Microsoft geht weiter. Er hat zum 12. Mai 2026 (p\u00fcnktlich zum Patchday) wieder zwei 0-Day-Schwachstellen mit den Namen YellowKey (wirkt auf Bitlocker) und GreenPlasma (CTFMON EoP) \u00f6ffentlich &hellip; <a href=\"https:\/\/borncity.com\/blog\/2026\/05\/13\/chaotic-eclipse-zwei-0-day-windows-schwachstellen-yellowkey-greenplasma\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[301,2557],"tags":[24,4328,8257,4364],"class_list":["post-324924","post","type-post","status-publish","format-standard","hentry","category-windows","category-windows-server","tag-problem","tag-sicherheit","tag-windows-11","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324924","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=324924"}],"version-history":[{"count":7,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324924\/revisions"}],"predecessor-version":[{"id":324933,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324924\/revisions\/324933"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=324924"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=324924"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=324924"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}